UNIVERSIDAD TCNICA DEL NORTE

FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECONMICAS

ESCUELA DE CONTABILIDAD SUPERIOR Y AUDITORA

NOMBRE: Tamia Soledad Farinango Iaquiza

CURSO: 9no C1

Ibarra, octubre 2012

COBIT

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma

en que trabajan los profesionales de TI. Vinculando tecnologa informtica y prcticas de

control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un

recurso crtico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las

computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la

filosofa de que los recursos de TI necesitan ser administrados por un conjunto de

procesos naturalmente agrupados para proveer la informacin pertinente y confiable que

requiere una organizacin para lograr sus objetivos.

PARA QU SIRVE?

Independientemente de la realidad tecnolgica de cada caso concreto, COBIT determina,

con el respaldo de las principales normas tcnicas internacionales, un conjunto de

mejores prcticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son

necesarias para alinear TI con el negocio, identificar riesgos, entregar valor al negocio,

C Control

OB Objectives

I for Information

T and Related Technology

Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas

gestionar recursos y medir el desempeo, el cumplimiento de metas y el nivel de madurez

de los procesos de la organizacin.

Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas

generalmente aceptadas, indicadores, procesos y las mejores prcticas para ayudar a ellos

en el maximizar las ventajas sacadas por el empleo de tecnologa de informacin y

desarrollo de la gobernacin apropiada TI y el control en una empresa.

Proporciona ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician

de COBIT porque esto provee de ellos de una fundacin sobre cual TI las decisiones

relacionadas e inversiones pueden estar basadas. La toma de decisiones es ms eficaz

porque COBIT ayuda la direccin en la definicin de un plan de TI estratgico, la definicin

de la arquitectura de la informacin, la adquisicin del hardware necesario TI y el software

para ejecutar una estrategia TI, la aseguracin del servicio continuo, y la supervisin del

funcionamiento del sistema TI. TI usuarios se benefician de COBIT debido al

aseguramiento proporcionado a ellos si los usos que ayudan en la reunin, el tratamiento,

y el reportaje de informacin cumplen con COBIT ya que esto implica mandos y la

seguridad es en el lugar para gobernar los procesos. COBIT beneficia a interventores

porque esto les ayuda a identificar cuestiones de control de TI dentro de la infraestructura

TI de una empresa. Esto tambin les ayuda a corroborar sus conclusiones de auditoria.

MISIN DE COBIT

Investigar, desarrollar, publicar y promover un conjunto actualizado e internacional de

objetivos de control de TRecnologia de la Informacion generalmente aceptado, para su

uso diario por los administradores del negocio y los auditores.

USUARIOS DE COBIT

La Gerencia: Para apoyar sus decisiones de inversin en TI y control sobre el

rendimiento de las mismas, analizar el costo beneficio del control.

Los Usuarios Finales: Quienes obtienen una garanta sobre la seguridad y el control

de los productos que adquieren interna y externamente.

Los Auditores: Para soportar sus opiniones sobre los controles de los proyectos de

TI, su impacto en la organizacin y determinar el control mnimo requerido.

Los Responsables de TI: Para identificar los controles que requieren en sus reas.

Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de

negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por

todos aquellos con responsabilidades en el campo de la TI en las empresas.

CARACTERSTICAS DE COBIT

Orientado al negocio

Alineado con estndares y regulaciones "de facto"

Basado en una revisin crtica y analtica de las tareas y actividades en TI

Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

COMPONENTES DE COBIT

Resumen Ejecutivo

Las decisiones de negocio estn basadas en la informacin oportuna, relevante y concisa.

Expresamente diseado para directores ejecutivos embutidos de tiempo y gerentes, el

Resumen COBIT Ejecutivo, consiste en una descripcin ejecutiva que proporciona una

conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios.

Tambin incluido es un resumen del Marco, que proporciona un entendimiento ms

detallado de estos conceptos y principios, identificando los cuatro dominios del COBIT (la

Planificacin y la Organizacin, la Adquisicin y la Puesta en prctica, la Entrega y el

Apoyo, la Supervisin) y 34 procesos de TI.

Marco

Una organizacin acertada es construida sobre un marco slido de datos e informacin. El

Marco explica como los procesos de TI entregan la informacin que el negocio tiene que

alcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto nivel,

un para cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cul

de los siete criterios de la informacin (la eficacia, la eficacia, la confidencialidad, la

integridad, la disponibilidad, el cumplimiento y la fiabilidad), as como que recursos TI (la

gente, usos, tecnologa, instalaciones y datos) son importantes para los procesos de TI

para totalmente apoyar el objetivo de negocio.

Resumen Ejecutivo

Marco

Objetivos de control

Directrices de Auditora

Instrumento de puesta en prctica

Directrices de Direccin

Objetivos de Control

Los Objetivos de Control del COBIT proveen la idea crtica para delinear una prctica clara

de poltica y buena para mandos de TI.

Un Objetivo de Control se define como "La declaracin del resultado deseado o propuesto que se ha de alcanzar mediante la aplicacin de procedimientos de control en cualquier actividad de TI".

Directrices De auditora

Analizar, evaluar, hacer de intrprete, reaccionar el instrumento. Para alcanzar los

objetivos deseados constantemente se debe revisar los procedimientos. Directrices de

auditora perfilan y aconsejan actividades reales, para ser realizadas correspondiente a

cada uno de los 34 objetivos de control de TI de alto nivel, justificando el riesgo de

objetivos de control no siendo encontrados. Directrices de auditora son un instrumento

inestimable para interventores de sistemas de informacin en el aseguramiento de

direccin que provee el consejo para la mejora.

Instrumento de puesta en prctica

Un Instrumento de Puesta en prctica, que contiene la Conciencia de Direccin y el

Diagnstico de Control de TI, y la Gua de Puesta en prctica, estudios de caso de

organizaciones actualmente que usan COBIT, y las presentaciones de diapositiva que

pueden ser usadas introducir COBIT en organizaciones.

Directrices de Direccin

Para asegurar una empresa acertada, se debe manejar la unin eficaz entre procesos de

negocio y sistemas de informacin. Las nuevas Directrices de Direccin son compuestas de

Modelos de Madurez, ayudar determinar las etapas y los niveles de expectativa de control

y compararlos contra normas de industria; factores de xito crticos, para identificar las

acciones ms importantes para alcanzar control de los procesos de TI; indicadores de

objetivo claves, para definir los niveles objetivo de funcionamiento; e Indicadores de

funcionamiento claves, para medir si un proceso de control de TI encuentra su objetivo.

Estas Directrices de Direccin ayudarn a contestar las preguntas de inters inmediato a

todo los que tienen un inters en el xito de la empresa.

PRINCIPIOS DE COBIT

El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar

soporte a los procesos de negocio y considerando a la informacin como el resultado de la

aplicacin combinada de recursos relacionados con las TI que deben ser administrados por

procesos de TI.

REQUERIMIENTOS DE NEGOCIO

Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega.

Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica).

Confiabilidad: Proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.

Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada

Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las expectativas de la empresa.

Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.

Recursos de TI.

METAS DE NEGOCIOS Y DE TI

La definicin de un conjunto de metas genricas de negocio y de TI ofrece una base ms

refinada y relacionada con el negocio para el establecimiento de requerimientos de

negocio y para el desarrollo de mtricas que permitan la medicin con respecto a estas

metas. Toda empresa usa TI para habilitar iniciativas del negocio y estas pueden ser

representadas como metas del negocio para TI. El Apndice I proporciona una matriz de

metas genricas de negocios y metas de TI y como se asocian con los criterios de la

informacin. Estos ejemplos genricos se pueden utilizar como gua para determinar los

requerimientos, metas y mtricas especficas del negocio para la empresa.

Una vez que han sido definidas las metas alineadas, ests requieren ser monitoreadas

para garantizar que la entrega cumple con las expectativas. Esto se logra con mtricas

derivadas de las metas y capturadas en el Score Card de TI.

Para que el cliente pueda entender las metas de TI y el Score Card de TI, todos estos

objetivos y mtricas asociadas deben expresarse en trminos de negocio significativos

para el cliente. Esto, combinado con un alineamiento efectivo de los objetivos jerrquicos

asegurara que el negocio puede confirmar que es probable que TI soporte los objetivos

de la empresa.

RECURSOS DE TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:

Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc.

Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados.

Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc.

Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin.

Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.

PROCESOS DE TI

COBIT define las actividades de TI en un modelo genrico de procesos organizado en

cuatro dominios. Estos dominios son Planear y Organizar, Adquirir e Implementar,

Entregar y Dar Soporte y Monitorear y Evaluar. Los dominios se equiparan a las reas

tradicionales de TI de planear, construir, ejecutar y monitorear.

COBIT se divide en tres niveles:

1. Dominios 2. Procesos 3. Actividades

Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.

Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.

Actividades: Acciones requeridas para lograr un resultado medible.

Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI, estos procesos estn agrupados en cuatro grandes dominios.

Los cuatro dominios interrelacionados de COB:

DOMINIO 1: PLANIFICACIN Y ORGANIZACIN

Este dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en

que la tecnologa de informacin puede contribuir de la mejor manera al logro de los

objetivos de negocio. Adems, la consecucin de la visin estratgica necesita ser

planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, debern

establecerse una organizacin y una infraestructura tecnolgica apropiadas.

COBIT

PO1 Definir un plan TI estratgico

PO2 Definir la arquitectura de informacin

PO3 Determinar la direccin tecnolgica

PO4 Definir la organizacin TI y relaciones

PO5 Administrar la inversin en TI

PO6 Comunicar a Gerencia metas y direccin

PO7 Administrar recursos humanos

PO8 Asegurar cumplimiento con requerimientos externos

PO9 Evaluar riesgos

PO10 Administrar proyectos

PO11 Administrar calidad

AT1 Identificar soluciones

AT2 Adquirir y mantener software de

adquisiciones

AT3 Adquirir y mantener arquitectura

de tecnologa

AT4 Desarrollar y mantener recursos TI

AT5 Instalar y acreditar sistemas

AT6 Administrar cambios

DS1 Definir niveles de servicio

DS2 Administrar servicios de terceros

DS3 Administrar desempeo y capacidad

DS4 Asegurar servicio continuo

DS5 Asegurar seguridad de sistemas

DS6 Identificar y atribuir costos

DS7 Adecuar y capacitar a usuarios

DS8 Ayudar y aconsejar a clientes de TI

DS9 Administrar la configuracin

DS10 Administrar problemas e incidentes

DS11 Administrar datos

DS12 Administrar instalaciones

DS13 Administrar operaciones

M1 Monitorear los procesos

M2 Evaluar adecuacin de control

interno

M3 Lograr garanta independiente

M4 Disponer de auditora interna

OBJETIVOS DE NEGOCIO

PROCESOS:

PO1: Definicin de un plan Estratgico

Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin

y los requerimientos de TI de negocio, para asegurar sus logros futuros.

Su realizacin se concreta a travs un proceso de planeacin estratgica emprendido en

intervalos regulares dando lugar a planes a largo plazo, los que debern ser traducidos

peridicamente en planes operacionales estableciendo metas claras y concretas a corto

plazo, teniendo en cuenta:

La definicin de objetivos de negocio y necesidades de TI, la alta gerencia ser la

responsable de desarrollar e implementar planes a largo y corto plazo que

satisfagan la misin y las metas generales de la organizacin.

El inventario de soluciones tecnolgicas e infraestructura actual, se deber evaluar

los sistemas existentes en trminos de: nivel de automatizacin de negocio,

funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el

propsito de determinar el nivel de soporte que reciben los requerimientos del

negocio de los sistemas existentes.

Los cambios organizacionales, se deber asegurar que se establezca un proceso

para modificar oportunamente y con precisin el plan a largo plazo de tecnologa

de informacin con el fin de adaptar los cambios al plan a largo plazo de la

organizacin y los cambios en las condiciones de la TI.

Estudios de factibilidad oportunos, para que se puedan obtener resultados

efectivos.

PO2: Definicin de la Arquitectura de Informacin

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera los

sistemas de informacin, a travs de la creacin y mantenimiento de un modelo de

informacin de negocio, asegurndose que se definan los sistemas apropiados para

optimizar la utilizacin de esta informacin, tomando en consideracin:

La documentacin deber conservar consistencia con las necesidades permitiendo

a los responsables llevar a cabo sus tareas eficiente y oportunamente.

El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la

organizacin y deber ser continuamente actualizado.

La propiedad de la informacin y la clasificacin de severidad con el que se

establecer un marco de referencia de clasificacin general relativo a la ubicacin

de datos en clases de informacin.

PO3: Determinacin de la direccin tecnolgica

Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente,

satisfaciendo los requerimientos de negocio, a travs de la creacin y mantenimiento de

un plan de infraestructura tecnolgica, tomando en consideracin:

La capacidad de adecuacin y evolucin de la infraestructura actual, que deber

concordar con los planes a largo y corto plazo de tecnologa de informacin y

debiendo abarcar aspectos tales como arquitectura de sistemas, direccin

tecnolgica y estrategias de migracin.

El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin

durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica.

Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuacin

y evolucin de la infraestructura), con lo que se evaluar sistemticamente el plan

de infraestructura tecnolgica.

Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en el

plan de infraestructura tecnolgica.

PO4: Definicin de la organizacin y de las relaciones de TI

Objetivo: Prestacin de servicios de TI, por medio de una organizacin conveniente en

nmero y habilidades, con tareas y responsabilidades definidas y comunicadas, teniendo

en cuenta:

El comit de direccin el cual se encargara de vigilar la funcin de servicios de

informacin y sus actividades.

Propiedad, custodia, la Gerencia deber crear una estructura para designar

formalmente a los propietarios y custodios de los datos. Sus funciones y

responsabilidades debern estar claramente definidas.

Supervisin, para asegurar que las funciones y responsabilidades sean llevadas a

cabo apropiadamente

Segregacin de funciones, con la que se evitar la posibilidad de que un solo

individuo resuelva un proceso crtico.

Los roles y responsabilidades, la gerencia deber asegurarse de que todo el

personal deber conocer y contar con la autoridad suficiente para llevar a cabo las

funciones y responsabilidades que le hayan sido asignadas

La descripcin de puestos, deber delinear claramente tanto la responsabilidad

como la autoridad, incluyendo las definiciones de las habilidades y la experiencia

necesarias para el puesto, y ser adecuadas para su utilizacin en evaluaciones de

desempeo.

Los niveles de asignacin de personal, debern hacerse evaluaciones de

requerimientos regularmente para asegurar para asegurar una asignacin de

personal adecuada en el presente y en el futuro.

El personal clave, la gerencia deber definir e identificar al personal clave de

tecnologa de informacin.

PO5: Manejo de la inversin

Objetivo: Satisfaccin de los requerimientos de negocio, asegurando el financiamiento y

el control de desembolsos de recursos financieros.

Su realizacin se concreta a travs de presupuestos peridicos sobre inversiones y

operaciones establecidas y aprobados por el negocio, teniendo en cuenta:

Las alternativas de financiamiento, se debern investigar diferentes alternativas de

financiamiento.

El control del gasto real, se deber tomar como base el sistema de contabilidad de

la organizacin, mismo que deber registrar, procesar y reportar rutinariamente los

costos asociados con las actividades de la funcin de servicios de informacin

La justificacin de costos y beneficios, deber establecerse un control gerencial que

garantice que la prestacin de servicios por parte de la funcin de servicios de

informacin se justifique en cuanto a costos. Los beneficios derivados de las

actividades de TI debern ser analizados en forma similar.

PO6: Comunicacin de la direccin y aspiraciones de la gerencia

Objetivo: Asegurar el conocimiento y comprensin de los usuarios sobre las aspiraciones

del alto nivel (gerencia), se concreta a travs de polticas establecidas y transmitidas a la

comunidad de usuarios, necesitndose para esto estndares para traducir las opciones

estratgicas en reglas de usuario prcticas y utilizables. Toma en cuenta:

Los cdigos de tica / conducta, el cumplimiento de las reglas de tica, conducta,

seguridad y estndares de control interno deber ser establecido por la Alta

Gerencia y promoverse a travs del ejemplo.

Las directrices tecnolgicas

El cumplimiento, la Gerencia deber tambin asegurar y monitorear la duracin de

la implementacin de sus polticas.

El compromiso con la calidad, la Gerencia de la funcin de servicios de informacin

deber definir, documentar y mantener una filosofa de calidad, debiendo ser

comprendidos, implementados y mantenidos por todos los niveles de la funcin de

servicios de informacin.

Las polticas de seguridad y control interno, la alta gerencia deber asegurar que

esta poltica de seguridad y de control interno especifique el propsito y los

objetivos, la estructura gerencial, el alcance dentro de la organizacin, la definicin

y asignacin de responsabilidades para su implementacin a todos los niveles y la

definicin de multas y de acciones disciplinarias asociadas con la falta de

cumplimiento de estas polticas.

PO7: Administracin de recursos humanos

Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as

los requerimientos de negocio, a travs de tcnicas slidas para administracin de

personal, tomando en consideracin:

El reclutamiento y promocin, deber tener como base criterios objetivos,

considerando factores como la educacin, la experiencia y la responsabilidad.

Los requerimientos de calificaciones, el personal deber estar calificado, tomando

como base una educacin, entrenamiento y o experiencia apropiados, segn se

requiera.

La capacitacin, los programas de educacin y entrenamiento estarn dirigidos a

incrementar los niveles de habilidad tcnica y administrativa del personal.

La evaluacin objetiva y medible del desempeo, se deber asegurar que dichas

evaluaciones sean llevada a cabo regularmente segn los estndares establecidos y

las responsabilidades especficas del puesto. Los empleados debern recibir

asesora sobre su desempeo o su conducta cuando esto sea apropiado.

PO8: Asegurar el cumplimiento con los requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales, mediante la

identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI,

llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en consideracin:

Definicin y mantenimiento de procedimientos para la revisin de requerimientos

externos, para la coordinacin de estas actividades y para el cumplimiento

continuo de los mismos.

Leyes, regulaciones y contratos

Revisiones regulares en cuanto a cambios

Bsqueda de asistencia legal y modificaciones

Seguridad y ergonoma con respecto al ambiente de trabajo de los usuarios y el

personal de la funcin de servicios de informacin.

Privacidad

Propiedad intelectual

Flujo de datos externos y criptografa

PO9: Evaluacin de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la

provisin de servicios de TI. Para ello se logra la participacin de la propia organizacin en

la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas

para mitigar los riesgos y se toma en consideracin:

Identificacin, definicin y actualizacin regular de los diferentes tipos de riesgos

de TI (por ej.: tecnolgicos, de seguridad, etc.) de manera de que se pueda

determinar la manera en la que los riesgos deben ser manejados a un nivel

aceptable.

Definicin de alcances, limites de los riesgos y la metodologa para las evaluaciones

de los riesgos.

Actualizacin de evaluacin de riesgos

Metodologa de evaluacin de riesgos

Medicin de riesgos cualitativos y/o cuantitativos

Definicin de un plan de accin contra los riesgos para asegurar que existan

controles y medidas de seguridad econmicas que mitiguen los riesgos en forma

continua.

Aceptacin de riesgos dependiendo de la identificacin y la medicin del riesgo, de

la poltica organizacional, de la incertidumbre incorporada al enfoque de evaluacin

de riesgos y de que tan econmico resulte implementar protecciones y controles.

PO10: Administracin de proyectos

Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al

presupuesto de inversin.

Para ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan

operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar

y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido

y se toma en consideracin:

Definicin de un marco de referencia general para la administracin de proyectos

que defina el alcance y los lmites del mismo, as como la metodologa de

administracin de proyectos a ser adoptada y aplicada para cada proyecto

emprendido. La metodologa deber cubrir, como mnimo, la asignacin de

responsabilidades, la determinacin de tareas, la realizacin de presupuestos de

tiempo y recursos, los avances, los puntos de revisin y las aprobaciones.

El involucramiento de los usuarios en el desarrollo, implementacin o modificacin

de los proyectos.

Asignacin de responsabilidades y autoridades a los miembros del personal

asignados al proyecto.

Aprobacin de fases de proyecto por parte de los usuarios antes de pasar a la

siguiente fase.

Presupuestos de costos y horas hombre

Planes y metodologas de aseguramiento de calidad que sean revisados y

acordados por las partes interesadas.

Plan de administracin de riesgos para eliminar o minimizar los riesgos.

Planes de prueba, entrenamiento, revisin post-implementacin.

PO11: Administracin de calidad

Objetivo: Satisfacer los requerimientos del cliente mediante la planeacin,

implementacin y mantenimiento de estndares y sistemas de administracin de calidad

por parte de la organizacin y se toma en consideracin:

Definicin y mantenimiento regular del plan de calidad, el cual deber promover la

filosofa de mejora continua y contestar a las preguntas bsicas de qu, quin y

cmo.

Responsabilidades de aseguramiento de calidad que determine los tipos de

actividades de aseguramiento de calidad tales como revisiones, auditorias,

inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general

de calidad.

Metodologas del ciclo de vida de desarrollo de sistemas que rija el proceso de

desarrollo, adquisicin, implementacin y mantenimiento de sistemas de

informacin.

Documentacin de pruebas de sistemas y programas.

Revisiones y reportes de aseguramiento de calidad.

DOMINIO 2: ADQUISICIN E IMPLEMENTACIN

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas,

desarrolladas o adquiridas, as como implementadas e integradas dentro del proceso del

negocio. Adems, este dominio cubre los cambios y el mantenimiento realizados a

sistemas existentes.

PROCESOS:

AI1: Identificacin de Soluciones Automatizadas

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuario;

mediante un anlisis claro de las oportunidades alternativas comparadas contra los

requerimientos de los usuarios y toma en consideracin:

Definicin de requerimientos de informacin para poder aprobar un proyecto de

desarrollo.

Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio

establecidos para el desarrollo de un proyecto.

Arquitectura de informacin para tener en consideracin el modelo de datos al

definir soluciones y analizar la factibilidad de las mismas.

Seguridad con relacin de costo-beneficio favorable para controlar que los costos

no excedan los beneficios.

Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos

mecanismos deben proporcionar la capacidad de proteger datos sensitivos (ej.

Identificacin de usuarios contra divulgacin o mal uso).

Contratacin de terceros con el objeto de adquirir productos con buena calidad y

excelente estado.

Aceptacin de instalaciones y tecnologa a travs del contrato con el Proveedor

donde se acuerda un plan de aceptacin para las instalaciones y tecnologa

especifica a ser proporcionada.

AI2: Adquisicin y mantenimiento del software aplicativo

Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.

Para ello se definen declaraciones especficas sobre requerimientos funcionales y

operacionales y una implementacin estructurada con entregables claros y se toma en

consideracin:

Requerimientos de usuarios, para realizar un correcto anlisis y obtener un

software claro y fcil de usar.

Requerimientos de archivo, entrada, proceso y salida.

Interface usuario-mquina asegurando que el software sea fcil de utilizar y que

sea capaz de auto documentarse.

Personalizacin de paquetes.

Realizar pruebas funcionales (unitarias, de aplicacin, de integracin y de carga y

estrs), de acuerdo con el plan de prueba del proyecto y con los estndares

establecidos antes de ser aprobado por los usuarios.

Controles de aplicacin y requerimientos funcionales.

Documentacin (materiales de consulta y soporte para usuarios) con el objeto de

que los usuarios puedan aprender a utilizar el sistema o puedan sacarse todas

aquellas inquietudes que se les puedan presentar.

AI3: Adquisicin y mantenimiento de la infraestructura tecnolgica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios

Para ello se realizara una evaluacin del desempeo del hardware y software, la provisin

de mantenimiento preventivo de hardware y la instalacin, seguridad y control del

software del sistema y toma en consideracin:

Evaluacin de tecnologa para identificar el impacto del nuevo hardware o software

sobre el rendimiento del sistema general.

Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el

impacto de fallas de rendimiento.

Seguridad del software de sistema, instalacin y mantenimiento para no arriesgar

la seguridad de los datos y programas ya almacenados en el mismo.

AI4: Desarrollo y mantenimiento de procedimientos

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas

establecidas.

Para ello se realiza un enfoque estructurado del desarrollo de manuales de

procedimientos de operaciones para usuarios, requerimientos de servicio y material de

entrenamiento y toma en consideracin:

Manuales de procedimientos de usuarios y controles, de manera que los

mismos permanezcan en permanente actualizacin para el mejor desempeo y

control de los usuarios.

Manuales de Operaciones y controles, de manera que estn en permanente

actualizacin.

Materiales de entrenamiento enfocados al uso del sistema en la prctica diaria.

AI5: Instalacin y aceptacin de los sistemas

Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseado

Para ello se realiza una migracin de instalacin, conversin y plan de aceptaciones

adecuadamente formalizadas y toma en consideracin:

Capacitacin del personal de acuerdo al plan de entrenamiento definido y los

materiales relacionados.

Conversin / carga de datos, de manera que los elementos necesarios del sistema

anterior sean convertidos al sistema nuevo.

Pruebas especficas (cambios, desempeo, aceptacin final, operacional) con el

objeto de obtener un producto satisfactorio.

Acreditacin de manera que la Gerencia de operaciones y usuaria acepten los

resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el

riesgo residual existente.

Revisiones post implementacin con el objeto de reportar si el sistema proporciono

los beneficios esperados de la manera mas econmica.

AI6 Administracin de los cambios

Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y

errores.

Esto se hace posible a travs de un sistema de administracin que permita el anlisis,

implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la

infraestructura de TI actual y toma en consideracin:

Identificacin de cambios tanto internos como por parte de proveedores

Procedimientos de categorizacin, priorizacin y emergencia de solicitudes de

cambios.

Evaluacin del impacto que provocaran los cambios.

Autorizacin de cambios

Manejo de liberacin de manera que la liberacin de software este regida por

procedimientos formales asegurando aprobacin, empaque, pruebas de regresin,

entrega, etc.

Distribucin de software, estableciendo medidas de control especificas para

asegurar la distribucin de software correcto al lugar correcto, con integridad y de

manera oportuna.

DOMINIO 3: PRESTACIN Y SOPORTE

Hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones

tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad.

Con el fin de proveer servicios, debern establecerse los procesos de soporte necesarios.

Este dominio incluye el procesamiento de los datos por sistemas de aplicacin,

frecuentemente clasificados como controles de aplicacin.

PROCESOS:

Ds1: Definicin de niveles de servicio

Objetivo: Establecer una comprensin comn del nivel de servicio requerido.

Para ello se establecen convenios de niveles de servicio que formalicen los criterios de

desempeo contra los cuales se medir la cantidad y la calidad del servicio y se toma en

consideracin:

Convenios formales que determinen la disponibilidad, confiabilidad, desempeo,

capacidad de crecimiento, niveles de soporte proporcionados al usuario, plan de

contingencia / recuperacin, nivel mnimo aceptable de funcionalidad del sistema

satisfactoriamente liberado, restricciones (lmites en la cantidad de trabajo), cargos

por servicio, instalaciones de impresin central (disponibilidad), distribucin de

impresin central y procedimientos de cambio.

Definicin de las responsabilidades de los usuarios y de la funcin de servicios de

informacin

Procedimientos de desempeo que aseguren que la manera y las responsabilidades

sobre las relaciones que rigen el desempeo entre todas las partes involucradas

sean establecidas, coordinadas, mantenidas y comunicadas a todos los

departamentos afectados.

Definicin de dependencias asignando un Gerente de nivel de Servicio que sea

responsable de monitorear y reportar los alcances de los criterios de desempeo

del servicio especificado y todos los problemas encontrados durante el

procesamiento.

Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio

para hacer posibles comparaciones y decisiones de niveles de servicios contra su

costo.

Garantas de integridad

Convenios de confidencialidad

Implementacin de un programa de mejoramiento del servicio.

Ds2 Administracin de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn

claramente definidas, que cumplan y continen satisfaciendo los requerimientos

Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos

y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las

polticas de la organizacin y toma en consideracin:

Acuerdos de servicios con terceras partes a travs de contratos entre la

organizacin y el proveedor de la administracin de instalaciones este basado en

niveles de procesamiento requeridos, seguridad, monitoreo y requerimientos de

contingencia, as como en otras estipulaciones segn sea apropiado.

Acuerdos de confidencialidad. Adems, se deber calificar a los terceros y el

contrato deber definirse y acordarse para cada relacin de servicio con un

proveedor.

Requerimientos legales regulatorios de manera de asegurar que estos concuerde

con los acuerdos de seguridad identificados, declarados y acordados.

Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los

acuerdos del contrato.

Ds3 Administracin de desempeo y capacidad

Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el

mejor uso de ella para alcanzar el desempeo deseado.

Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos

y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y

demanda de recursos y toma en consideracin:

Requerimientos de disponibilidad y desempeo de los servicios de sistemas de

informacin

Monitoreo y reporte de los recursos de tecnologa de informacin

Utilizar herramientas de modelado apropiadas para producir un modelo del sistema

actual para apoyar el pronstico de los requerimientos de capacidad, confiabilidad

de configuracin, desempeo y disponibilidad.

Administracin de capacidad estableciendo un proceso de planeacin para la

revisin del desempeo y capacidad de hardware con el fin de asegurar que

siempre exista una capacidad justificable econmicamente para procesar cargas de

trabajo con cantidad y calidad de desempeo

Prevenir que se pierda la disponibilidad de recursos mediante la implementacin de

mecanismos de tolerancia de fallas, de asignacin equitativos de recursos y de

prioridad de tareas.

Ds4: Asegurar el Servicio Continuo

Objetivo: Mantener el servicio disponible de acuerdo con los requerimientos y continuar

su provisin en caso de interrupciones.

Para ello se tiene un plan de continuidad probado y funcional, que est alineado con el

plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma

en consideracin:

Planificacin de Severidad

Plan Documentado

Procedimientos Alternativos

Respaldo y Recuperacin

Pruebas y entrenamiento sistemtico y singulares

Ds5: Garantizar la seguridad de sistemas

Objetivo: Salvaguardar la informacin contra uso no autorizados, divulgacin,

modificacin, dao o prdida.

Para ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas,

datos y programas est restringido a usuarios autorizados y toma en consideracin:

El acceso lgico junto con el uso de los recursos de TI deber restringirse a travs

de la instrumentacin de mecanismos de autenticacin de usuarios identificados y

recursos asociados con las reglas de accesoautenticacin y Autorizacin,

Perfiles e identificacin de usuarios estableciendo procedimientos para asegurar

acciones oportunas relacionadas con la requisicin, establecimiento, emisin,

suspensin y suspensin de cuentas de usuario

Administracin de llaves criptogrficas definiendo implementando procedimientos

y protocolos a ser utilizados en la generacin, distribucin, certificacin,

almacenamiento, entrada, utilizacin y archivo de llaves criptogrficas con el fin de

asegurar la proteccin de las mismas.

Manejo, reporte y seguimiento de incidentes implementado capacidad para la

atencin de los mismos.

Prevencin y deteccin de virus tales como Caballos de Troya, estableciendo

adecuadas medidas de control preventivas, detectivas y correctivas.

Firewalls si existe una conexin con Internet u otras redes pblicas en la

organizacinde Utilizacin.

Ds6: Educacin y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y

estn conscientes de los riesgos y responsabilidades involucrados

Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en

consideracin:

Curriculum de entrenamiento estableciendo y manteniendo procedimientos para

identificar y documentar las necesidades de entrenamiento de todo el personal que

haga uso de los servicios de informacin.

Campaas de concientizacin, definiendo los grupos objetivos, identificar y asignar

entrenadores y organizar oportunamente las sesiones de entrenamiento.

Tcnicas de concientizacin proporcionando un programa de educacin y

entrenamiento que incluya conducta tica de la funcin de servicios de

informacin.

Ds7: Identificacin y asignacin de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

Para ello se realiza un sistema de contabilidad de costos que asegure que stos sean

registrados, calculados y asignados a los niveles de detalle requeridos y toma en

consideracin:

Los elementos sujetos a cargo deben ser recursos identificables, medibles y

predecibles para los usuarios.

Procedimientos y polticas de cargo que fomenten el uso apropiado de los recursos

de cmputo y aseguren el trato justo de los departamentos usuarios y sus

necesidades.

Tarifas definiendo e implementando procedimientos de costeo de prestar

servicios, para ser analizados, monitoreados, evaluados asegurando al mismo

tiempo la economa.

Ds8 Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido

apropiadamente

Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea

y toma en consideracin:

Consultas de usuarios y respuesta a problemas estableciendo un soporte de una

funcin de bur de ayuda.

Monitoreo de consultas y despacho estableciendo procedimientos que aseguren

que las preguntas de los clientes que pueden ser resueltas sean reasignadas al

nivel adecuado para atenderlas.

Anlisis y reporte de tendencias adecuado de las preguntas de los clientes y su

solucin, de los tiempos de respuesta y la identificacin de tendencias.

Ds9: Administracin de la configuracin

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no

autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de

cambios.

Para ello se realizan controles que identifiquen y registren todos los activos de TI as como

su localizacin fsica y un programa regular de verificacin que confirme su existencia y

toma en consideracin:

Registro de activos estableciendo procedimientos para asegurar que sean

registrados nicamente elementos de configuracin autorizados e identificables en

el inventario, al momento de adquisicin.

Administracin de cambios en la configuracin asegurando que los registros de

configuracin reflejen el status real de todos los elementos de la configuracin.

Chequeo de software no autorizado revisando peridicamente las computadoras

personales de la organizacin.

Controles de almacenamiento de software definiendo un rea de almacenamiento

de archivos para todos los elementos de software vlidos en las fases del ciclo de

vida de desarrollo de sistemas.

Ds10: Administracin de Problemas

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean

investigadas para prevenir que vuelvan a suceder.

Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a

todos los incidentes, adems de un conjunto de procedimientos de escalamiento de

problemas para resolver de la manera ms eficiente los problemas identificados. Este

sistema de administracin de problemas deber tambin realizar un seguimiento de las

causas a partir de un incidente dado.

Ds11: Administracin de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su

entrada, actualizacin, salida y almacenamiento.

Lo cual se logra a travs de una combinacin efectiva de controles generales y de

aplicacin sobre las operaciones de TI. Para tal fin, la gerencia deber disear formatos de

entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones

durante la creacin de los datos.

Este proceso deber controlar los documentos fuentes (de donde se extraen los datos), de

manera que estn completos, sean precisos y se registren apropiadamente. Se debern

crear tambin procedimientos que validen los datos de entrada y corrijan o detecten los

datos errneos, como as tambin procedimientos de validacin para transacciones

errneas, de manera que stas no sean procesadas. Cabe destacar la importancia de crear

procedimientos para el almacenamiento, respaldo y recuperacin de datos, teniendo un

registro fsico (discos, disquetes, CDs y cintas magnticas) de todas las transacciones y

datos manejados por la organizacin, albergados tanto dentro como fuera de la empresa.

La gerencia deber asegurar tambin la integridad, autenticidad y confidencialidad de los

datos almacenados, definiendo e implementando procedimientos para tal fin.

Ds12: Administracin de las instalaciones

Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal

de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se

hace posible con la instalacin de controles fsicos y ambientales adecuados que sean

revisados regularmente para su funcionamiento apropiado definiendo procedimientos

que provean control de acceso del personal a las instalaciones y contemplen su seguridad

fsica.

Ds13: Administracin de la operacin

Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a

cabo regularmente y de una manera ordenada.

Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada

y completada en cuanto al logro de todas las actividades. Para ello, la gerencia deber

establecer y documentar procedimientos para las operaciones de tecnologa de

informacin (incluyendo operaciones de red), los cuales debern ser revisados

peridicamente para garantizar su eficiencia y cumplimiento.

DOMINIO 4: MONITOREO

Todos los procesos de una organizacin necesitan ser evaluados regularmente a travs del

tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control,

integridad y confidencialidad. Este es, precisamente, el mbito de este dominio.

PROCESOS:

M1: Monitoreo del Proceso

Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se

logra definiendo por parte de la gerencia reportes e indicadores de desempeo

gerenciales y la implementacin de sistemas de soporte as como la atencin regular a los

reportes emitidos.

Para ello la gerencia podr definir indicadores claves de desempeo y/o factores crticos

de xito y compararlos con los niveles objetivos propuestos para evaluar el desempeo de

los procesos de la organizacin. La gerencia deber tambin medir el grado de satisfaccin

de los clientes con respecto a los servicios de informacin proporcionados para identificar

deficiencias en los niveles de servicio y establecer objetivos de mejoramiento,

confeccionando informes que indiquen el avance de la organizacin hacia los objetivos

propuestos.

M2: Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los

procesos de TI.

Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos

a travs de actividades administrativas y de supervisin, comparaciones, reconciliaciones y

otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma

regular. Estas actividades de monitoreo continuo por parte de la Gerencia debern revisar

la existencia de puntos vulnerables y problemas de seguridad.

M3: Obtencin de Aseguramiento Independiente

Objetivo: Incrementar los niveles de confianza entre la organizacin, clientes y

proveedores externos. Este proceso se lleva a cabo a intervalos regulares de tiempo.

Para ello la gerencia deber obtener una certificacin o acreditacin independiente de

seguridad y control interno antes de implementar nuevos servicios de tecnologa de

informacin que resulten crticos, como as tambin para trabajar con nuevos

proveedores de servicios de tecnologa de informacin. Luego la gerencia deber adoptar

como trabajo rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los

servicios de tecnologa de informacin y de los proveedores de estos servicios como as

tambin asegurarse el cumplimiento de los compromisos contractuales de los servicios de

tecnologa de informacin y de los proveedores de estos servicios.

M4: Proveer Auditoria Independiente

Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones

basadas en mejores prcticas de su implementacin, lo que se logra con el uso de

auditorias independientes desarrolladas a intervalos regulares de tiempo. Para ello la

gerencia deber establecer los estatutos para la funcin de auditoria, destacando en este

documento la responsabilidad, autoridad y obligaciones de la auditoria. El auditor deber

ser independiente del auditado, esto significa que los auditores no debern estar

relacionados con la seccin o departamento que est siendo auditado y en lo posible

deber ser independiente de la propia empresa. Esta auditoria deber respetar la tica y

los estndares profesionales, seleccionando para ello auditores que sean tcnicamente

competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas

efectivas y eficientes de auditoria.

La funcin de auditoria deber proporcionar un reporte que muestre los objetivos de la

auditoria, perodo de cobertura, naturaleza y trabajo de auditoria realizado, como as

tambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de

auditoria llevado a cabo.

El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.

COBIT

reas de enfoque del Gobierno de TI

Alineacin Estratgica: se enfoca en garantizar la alineacin entre los planes de negocio y

de TI; en definir, mantener y dar la propuesta de valor de TI, y en alinear las operaciones

de TI con las operaciones de la empresa.

Entrega de valor: Se refiere a ejecutar la propuesta de valor a todo lo largo del ciclo de

entrega, asegurando que TI genere los beneficios prometidos en la estrategia,

concentrandose en optimizar los costos y en orientar el valor intrinseco de la TI.

Administracion de recursos: Se trata de la inversion optima, asi como la administracion adecuada de los recursos criticos de TI, aplicaciones, informacion, infraestructura y personas.

Administracion de riesgos: Requiere conciencia de los riesgos por parte ejecutivos de la empresa, transparencia de los riesgos significativos de la empresa y la inclusiond e las responsabilidades de la administracion de riesgos dentro de la organizacin.

Medicion del desempeo: Rastrea y monitorea la estrategia de implementacion, la terminacion del proyecto, el uso de los recursos, el desempeo de los procesos y la entrega del servicio, con el uso, por ejemplo del balanced score card que traducen la estrategia en accion para lograr las metas medibles ms alla del registro convencional.

LINCOGRAFA:

http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnol

og%C3%ADas_relacionadas

http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml

http://www.monografias.com/trabajos70/informe-auditoria-sistemas-uso-cobit/informe-

auditoria-sistemas-uso-cobit2.shtml

http://chauduc201021700421228.blogspot.com/2010/11/cobit.html

http://auditordesistemas.blogspot.com/2012/02/programa-de-auditoria-cobit.html

www.seguridadinformacion.cl