Trabajo de Auditoria: Normas COBIT

Índice

2. COBIT
3. Planificación y
Organización
4. Adquisición e
implementación
5. Prestación y
Soporte
6. Monitoreo
7. Aplicación de las Normas
COBIT
8. Apéndice I
9. Apéndice II

1.
Introducción

El siguiente trabajo tiene la finalidad de exponer las
Normas COBIT
de manera simple y comprensible. Para ello, además de
realizar un desarrollo
teórico de las mismas, incluimos un análisis de la situación actual del
Departamento de Recursos
Humanos de la
organización INEXEI SCHOOL, explicamos si sus procedimientos
respetan o no la norma, e indicamos qué debería
hacerse para que aplique y cumpla con un determinado proceso de la
norma.

El cuerpo del trabajo esta dividido en dos partes
principales las cuales reflejan las Características y Estructura de
COBIT y el Relevamiento y Aplicación de las Normas COBIT
en la Escuela.
Además, incluimos dos Apéndices: en el
apéndice I indicamos los componentes de COBIT como
Producto y en
el apéndice II incorporamos la lista completa de Dominios,
Procesos y
Objetivos de
Control.

Para Finalizar, adjuntamos con esta monografía
un disquette que contiene el Resumen Ejecutivo (2ª
Edición) de la norma y las Guías de Auditoría de la misma, las cuales pueden
ser utilizadas por nuestros compañeros si desean
profundizar más en el estudio de COBIT, y que en este
trabajo son desarrolladas brevemente para no hacer tediosa la
explicación de la norma y por razones de espacio
obvias.

2. COBIT (Objetivos de
Control para
Tecnología
de Información y Tecnologías
relacionadas)

COBIT, lanzado en 1996, es una herramienta de gobierno de TI
que ha cambiado la forma en que trabajan los profesionales de TI.
Vinculando tecnología informática y prácticas de control,
COBIT consolida y armoniza estándares de fuentes
globales prominentes en un recurso crítico para la
gerencia, los
profesionales de control y los auditores.

COBIT se aplica a los sistemas de
información de toda la empresa,
incluyendo las computadoras
personales, mini computadoras y
ambientes distribuidos. Esta basado en la filosofía de que
los recursos de TI
necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la información pertinente y confiable que
requiere una organización para lograr sus objetivos.
Misión:
Investigar, desarrollar, publicar y promover un conjunto
internacional y actualizado de objetivos de control para tecnología
de información que sea de uso cotidiano para gerentes
y auditores

Usuarios:

• La Gerencia:
  para apoyar sus decisiones de inversión en TI y control sobre el
  rendimiento de las mismas, analizar el costo
  beneficio del control.
• Los Usuarios Finales: quienes obtienen una
  garantía sobre la seguridad y
  el control de los productos
  que adquieren interna y externamente.
• Los Auditores: para soportar sus opiniones sobre los
  controles de los proyectos de
  TI, su impacto en la
  organización y determinar el control mínimo
  requerido.
• Los Responsables de TI: para identificar los
  controles que requieren en sus áreas.

También puede ser utilizado dentro de las
empresas por
el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de
información del proceso, y por todos
aquellos con responsabilidades en el campo de la TI en las
empresas.

Características:

• Orientado al negocio
• Alineado con estándares y regulaciones "de
  facto"
• Basado en una revisión crítica y
  analítica de las tareas y actividades en TI
• Alineado con estándares de control y auditoria
  (COSO, IFAC, IIA, ISACA, AICPA)

Principios:
El enfoque del control en TI se lleva a cabo visualizando la
información necesaria para dar soporte a los procesos de
negocio y considerando a la información como el resultado
de la aplicación combinada de recursos
relacionados con las TI que deben ser administrados por procesos
de TI.

• Requerimientos de la información del
  negocio

Para alcanzar los requerimientos de negocio, la
información necesita satisfacer ciertos
criterios:

Requerimientos de Calidad: Calidad, Costo y
Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia
operacional, Confiabilidad de los reportes financieros y
Cumplimiento le leyes y
regulaciones.

• Efectividad: La información debe ser relevante
  y pertinente para los procesos del negocio y debe ser
  proporcionada en forma oportuna, correcta, consistente y
  utilizable.
• Eficiencia: Se debe proveer información
  mediante el empleo
  óptimo de los recursos (la forma más productiva y
  económica).
• Confiabilidad: proveer la información
  apropiada para que la
  administración tome las decisiones adecuadas para
  manejar la empresa y
  cumplir con sus responsabilidades.
• Cumplimiento: de las leyes,
  regulaciones y compromisos contractuales con los cuales
  está comprometida la
  empresa.

Requerimientos de Seguridad:
Confidencialidad, Integridad y Disponibilidad

• Confidencialidad: Protección de la
  información sensible contra divulgación no
  autorizada
• Integridad: Refiere a lo exacto y completo de la
  información así como a su validez de acuerdo con
  las expectativas de la empresa.
• Disponibilidad: accesibilidad a la información
  cuando sea requerida por los procesos del negocio y la
  salvaguarda de los recursos y capacidades asociadas a la
  misma.
• Recursos de TI

En COBIT se establecen los siguientes recursos en TI
necesarios para alcanzar los objetivos de negocio:

• Datos: Todos los objetos de información.
  Considera información interna y externa, estructurada o
  no, gráficas, sonidos, etc.
• Aplicaciones: entendido como los sistemas de
  información, que integran procedimientos
  manuales y
  sistematizados.
• Tecnología: incluye hardware y
  software
  básico, sistemas
  operativos, sistemas de
  administración de bases de datos,
  de redes, telecomunicaciones, multimedia,
  etc.
• Instalaciones: Incluye los recursos necesarios para
  alojar y dar soporte a los sistemas de
  información.
• Recurso Humano: Por la habilidad, conciencia y
  productividad del personal para
  planear, adquirir, prestar servicios,
  dar soporte y monitorear los sistemas de
  Información.
• • Procesos de TI

La estructura de
COBIT se define a partir de una premisa simple y
pragmática: "Los recursos de las Tecnologías de la
Información (TI) se han de gestionar mediante un conjunto
de procesos agrupados de forma natural para que proporcionen la
información que la empresa necesita para alcanzar sus
objetivos".

COBIT se divide en tres niveles:
Dominios
Procesos
Actividades
Dominios: Agrupación natural de procesos, normalmente
corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o
series de actividades unidas con delimitación o cortes de
control.
Actividades: Acciones
requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno
de los procesos de las TI. Estos procesos están agrupados
en cuatro grandes dominios que se detallan a continuación
junto con sus procesos y una descripción general de las actividades de
cada uno:

3. Dominio: Planificación y
organización

Este dominio cubre la estrategia y las
tácticas y se refiere a la identificación de la
forma en que la tecnología de
información puede contribuir de la mejor manera al logro
de los objetivos de negocio. Además, la consecución
de la visión estratégica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.

Procesos:

• PO1 Definición de un plan
  Estratégico

Objetivo: Lograr un balance óptimo entre las
oportunidades de tecnología de información y los
requerimientos de TI de negocio, para asegurar sus logros
futuros.
Su realización se concreta a través un proceso de
planeación estratégica emprendido en
intervalos regulares dando lugar a planes a largo plazo, los que
deberán ser traducidos periódicamente en planes
operacionales estableciendo metas claras y concretas a corto
plazo, teniendo en cuenta:

• La definición de objetivos de negocio y
  necesidades de TI, la alta gerencia será la responsable
  de desarrollar e implementar planes a largo y corto plazo que
  satisfagan la misión y
  las metas generales de la organización.
• El inventario de
  soluciones
  tecnológicas e infraestructura actual, se deberá
  evaluar los sistemas existentes en términos de: nivel de
  automatización de negocio, funcionalidad,
  estabilidad, complejidad, costo y fortalezas y debilidades, con
  el propósito de determinar el nivel de soporte que
  reciben los requerimientos del negocio de los sistemas
  existentes.
• Los cambios organizacionales, se deberá
  asegurar que se establezca un proceso para modificar
  oportunamente y con precisión el plan a largo
  plazo de tecnología de información con el fin de
  adaptar los cambios al plan a largo plazo de la
  organización y los cambios en las condiciones de la
  TI
• Estudios de factibilidad
  oportunos, para que se puedan obtener resultados
  efectivos
• PO2 Definición de la Arquitectura de
  Información

Objetivo: Satisfacer los requerimientos de negocio,
organizando de la mejor manera posible los sistemas de
información, a través de la creación y
mantenimiento
de un modelo de
información de negocio, asegurándose que se definan
los sistemas apropiados para optimizar la utilización de
esta información, tomando en
consideración:

• La documentación deberá conservar
  consistencia con las necesidades permitiendo a los responsables
  llevar a cabo sus tareas eficiente y oportunamente.
• El diccionario de
  datos, el cual incorporara las reglas de sintaxis de
  datos de la
  organización y deberá ser continuamente
  actualizado.
• La propiedad de
  la información y la clasificación de severidad
  con el que se establecerá un marco de referencia de
  clasificación general relativo a la ubicación de
  datos en clases
  de información.
• PO3 Determinación de la dirección tecnológica

Objetivo: Aprovechar al máximo de la
tecnología disponible o tecnología emergente,
satisfaciendo los requerimientos de negocio, a través de
la creación y mantenimiento
de un plan de infraestructura tecnológica, tomando en
consideración:

• La capacidad de adecuación y evolución de la infraestructura actual,
  que deberá concordar con los planes a largo y corto
  plazo de tecnología de información y debiendo
  abarcar aspectos tales como arquitectura de
  sistemas, dirección tecnológica y estrategias de
  migración.
• El monitoreo de desarrollos tecnológicos que
  serán tomados en consideración durante el
  desarrollo y
  mantenimiento del plan de infraestructura
  tecnológica.
• Las contingencias (por ejemplo, redundancia, resistencia,
  capacidad de adecuación y evolución de la infraestructura), con lo
  que se evaluará sistemáticamente el plan de
  infraestructura tecnológica.
• Planes de adquisición, los cuales
  deberán reflejar las necesidades identificadas en el
  plan de infraestructura tecnológica.
• • PO4 Definición de la organización y
    de las relaciones de TI

Objetivo: Prestación de servicios de
TI
Esto se realiza por medio de una organización conveniente
en número y habilidades, con tareas y responsabilidades
definidas y comunicadas, teniendo en cuenta:

• El comité de dirección el cual se
  encargara de vigilar la función
  de servicios de información y sus
  actividades.
• Propiedad,
  custodia, la Gerencia deberá crear una estructura para
  designar formalmente a los propietarios y custodios de los
  datos. Sus funciones y
  responsabilidades deberán estar claramente
  definidas.
• Supervisión, para asegurar que las funciones y
  responsabilidades sean llevadas a cabo
  apropiadamente
• Segregación de funciones, con la que
  se evitará la posibilidad de que un solo individuo
  resuelva un proceso crítico.
• Los roles y responsabilidades, la gerencia
  deberá asegurarse de que todo el personal
  deberá conocer y contar con la autoridad
  suficiente para llevar a cabo las funciones y responsabilidades
  que le hayan sido asignadas
• La descripción
  de puestos, deberá delinear claramente tanto la
  responsabilidad como la autoridad,
  incluyendo las definiciones de las habilidades y la experiencia
  necesarias para el puesto, y ser adecuadas para su
  utilización en evaluaciones de desempeño.
• Los niveles de asignación de personal,
  deberán hacerse evaluaciones de requerimientos
  regularmente para asegurar para asegurar una asignación
  de personal adecuada en el presente y en el futuro.
• El personal clave, la gerencia deberá definir
  e identificar al personal clave de tecnología de
  información.
• • PO5 Manejo de la inversión

Objetivo: tiene como finalidad la satisfacción de
los requerimientos de negocio, asegurando el financiamiento
y el control de desembolsos de recursos financieros.

Su realización se concreta a través
presupuestos
periódicos sobre inversiones y
operaciones
establecidas y aprobados por el negocio, teniendo en
cuenta:

• Las alternativas de financiamiento, se deberán investigar
  diferentes alternativas de financiamiento.
• El control del gasto real, se deberá tomar
  como base el sistema de
  contabilidad
  de la organización, mismo que deberá registrar,
  procesar y reportar rutinariamente los costos
  asociados con las actividades de la función
  de servicios de información
• La justificación de costos y
  beneficios, deberá establecerse un control gerencial que
  garantice que la prestación de servicios por parte de la
  función de servicios de información se justifique
  en cuanto a costos. Los beneficios derivados de las actividades
  de TI deberán ser analizados en forma
  similar.
• • PO6 Comunicación de la dirección y
    aspiraciones de la gerencia

Objetivo: Asegura el
conocimiento y comprensión de los usuarios sobre las
aspiraciones del alto nivel (gerencia), se concreta a
través de políticas
establecidas y transmitidas a la comunidad de
usuarios, necesitándose para esto estándares para
traducir las opciones estratégicas en reglas de usuario
prácticas y utilizables. Toma en cuenta:

• Los código de ética /
  conducta, el
  cumplimiento de las reglas de ética,
  conducta,
  seguridad y estándares de control
  interno deberá ser establecido por la Alta Gerencia
  y promoverse a través del ejemplo.
• Las directrices tecnológicas
• El cumplimiento, la Gerencia deberá
  también asegurar y monitorear la duración de la
  implementación de sus políticas.
• El compromiso con la calidad, la Gerencia de la
  función de servicios de información deberá
  definir, documentar y mantener una filosofía de calidad,
  debiendo ser comprendidos, implementados y mantenidos por todos
  los niveles de la función de servicios de
  información.
• Las políticas de seguridad y control
  interno, la alta gerencia deberá asegurar que esta
  política
  de seguridad y de control interno especifique el
  propósito y los objetivos, la estructura gerencial, el
  alcance dentro de la organización, la definición
  y asignación de responsabilidades para su
  implementación a todos los niveles y la
  definición de multas y de acciones
  disciplinarias asociadas con la falta de cumplimiento de estas
  políticas.
• • PO7 Administración de recursos
    humanos

Objetivo: Maximizar las contribuciones del personal a
los procesos de TI, satisfaciendo así los requerimientos
de negocio, a través de técnicas
sólidas para administración
de personal, tomando en consideración:

• El reclutamiento y promoción, deberá tener como base
  criterios objetivos, considerando factores como la
  educación, la experiencia y la
  responsabilidad.
• Los requerimientos de calificaciones, el personal
  deberá estar calificado, tomando como base una educación, entrenamiento y
  o experiencia apropiados, según se requiera
• La capacitación, los programas de
  educación y entrenamiento
  estarán dirigidos a incrementar los niveles de habilidad
  técnica y administrativa del personal.
• La evaluación objetiva y medible del
  desempeño, se deberá asegurar que
  dichas evaluaciones sean llevada a cabo regularmente
  según los estándares establecidos y las
  responsabilidades específicas del puesto. Los empleados
  deberán recibir asesoría sobre su
  desempeño o su conducta cuando esto sea
  apropiado.
• • PO8 Asegurar el cumplimiento con los
    requerimientos Externos

Objetivo: Cumplir con obligaciones
legales, regulatorias y contractuales

Para ello se realiza una identificación y
análisis de los requerimientos externos en
cuanto a su impacto en TI, llevando a cabo las medidas apropiadas
para cumplir con ellos y se toma en
consideración:

• Definición y mantenimiento de procedimientos
  para la revisión de requerimientos externos, para la
  coordinación de estas actividades y para
  el cumplimiento continuo de los mismos.
• Leyes, regulaciones y contratos
• Revisiones regulares en cuanto a cambios
• Búsqueda de asistencia legal y
  modificaciones
• Seguridad y ergonomía con respecto al ambiente de
  trabajo de los usuarios y el personal de la función de
  servicios de información.
• Privacidad
• Propiedad intelectual
• Flujo de datos externos y criptografía
• • PO9 Evaluación de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y
responder a las amenazas hacia la provisión de servicios
de TI

Para ello se logra la participación de la propia
organización en la identificación de riesgos de TI y
en el análisis de impacto, tomando medidas
económicas para mitigar los riesgos y se toma
en consideración:

• Identificación, definición y
  actualización regular de los diferentes tipos de riesgos
  de TI (por ej.: tecnológicos, de seguridad, etc.) de
  manera de que se pueda determinar la manera en la que los
  riesgos deben ser manejados a un nivel aceptable.
• Definición de alcances, limites de los riesgos
  y la metodología para las evaluaciones de los
  riesgos.
• Actualización de evaluación de
  riesgos
• Metodología de evaluación de
  riesgos
• Medición de riesgos cualitativos y/o
  cuantitativos
• Definición de un plan de acción contra
  los riesgos para asegurar que existan controles y medidas de
  seguridad económicas que mitiguen los riesgos en forma
  continua.
• Aceptación de riesgos dependiendo de la
  identificación y la medición del riesgo, de la
  política
  organizacional, de la incertidumbre incorporada al enfoque de
  evaluación de riesgos y de que tan económico
  resulte implementar protecciones y controles.
• • PO10 Administración de
    proyectos

Objetivo: Establecer prioridades y entregar servicios
oportunamente y de acuerdo al presupuesto de
inversión

Para ello se realiza una identificación y
priorización de los proyectos en
línea con el plan operacional por parte de la misma
organización. Además, la organización
deberá adoptar y aplicar sólidas técnicas
de administración
de proyectos para cada proyecto
emprendido y se toma en consideración:

• Definición de un marco de referencia general
  para la administración de proyectos que defina el
  alcance y los límites
  del mismo, así como la metodología de administración de
  proyectos a ser adoptada y aplicada para cada proyecto
  emprendido. La metodología deberá cubrir, como
  mínimo, la asignación de responsabilidades, la
  determinación de tareas, la realización de
  presupuestos
  de tiempo y
  recursos, los avances, los puntos de revisión y las
  aprobaciones.
• El involucramiento de los usuarios en el desarrollo,
  implementación o modificación de los
  proyectos.
• Asignación de responsabilidades y autoridades
  a los miembros del personal asignados al proyecto.
• Aprobación de fases de proyecto por parte de
  los usuarios antes de pasar a la siguiente fase.
• Presupuestos de costos y horas hombre
• Planes y metodologías de aseguramiento de
  calidad que sean revisados y acordados por las partes
  interesadas.
• Plan de administración de riesgos para
  eliminar o minimizar los riesgos.
• Planes de prueba, entrenamiento, revisión
  post-implementación.
• • PO11 Administración de calidad

Objetivo: Satisfacer los requerimientos del
cliente

Para ello se realiza una planeación, implementación y
mantenimiento de estándares y sistemas de
administración de calidad por parte de la
organización y se toma en consideración:

• Definición y mantenimiento regular del plan de
  calidad, el cual deberá promover la filosofía de
  mejora continua y contestar a las preguntas básicas de
  qué, quién y cómo.
• Responsabilidades de aseguramiento de calidad que
  determine los tipos de actividades de aseguramiento de calidad
  tales como revisiones, auditorias,
  inspecciones, etc. que deben realizarse para alcanzar los
  objetivos del plan general de calidad.
• Metodologías del ciclo de
  vida de desarrollo de sistemas que rija el proceso de
  desarrollo, adquisición, implementación y
  mantenimiento de sistemas de información.
• Documentación de pruebas de
  sistemas y programas
• Revisiones y reportes de aseguramiento de
  calidad

4. Dominio:
Adquisición e implementación

Para llevar a cabo la estrategia de TI,
las soluciones de
Ti deben ser identificadas, desarrolladas o adquiridas, asi como
implementadas e integradas dentro del proceso del negocio.
Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.

Procesos:

• AI1 Identificación de Soluciones
  Automatizadas

Objetivo: Asegurar el mejor enfoque para cumplir con los
requerimientos del usuario

Para ello se realiza un análisis claro de las
oportunidades alternativas comparadas contra los requerimientos
de los usuarios y toma en consideración:

• Definición de requerimientos de
  información para poder
  aprobar un proyecto de desarrollo.
• Estudios de factibilidad
  con la finalidad de satisfacer los requerimientos del negocio
  establecidos para el desarrollo de un proyecto.
• Arquitectura de información para tener en
  consideración el modelo de
  datos al definir soluciones y analizar la factibilidad de las
  mismas.
• Seguridad con relación de costo-beneficio
  favorable para controlar que los costos no excedan los
  beneficios.
• Pistas de auditoria para ello deben existir
  mecanismos adecuados. Dichos mecanismos deben proporcionar la
  capacidad de proteger datos sensitivos (ej.
  Identificación de usuarios contra divulgación o
  mal uso)
• Contratación de terceros con el objeto de
  adquirir productos
  con buena calidad y excelente estado.
• Aceptación de instalaciones y
  tecnología a través del contrato con el
  Proveedor donde se acuerda un plan de aceptación para
  las instalaciones y tecnología especifica a ser
  proporcionada.
• AI2 Adquisición y mantenimiento del software
  aplicativo

Objetivo: Proporciona funciones automatizadas que
soporten efectivamente al negocio.

Para ello se definen declaraciones específicas
sobre requerimientos funcionales y operacionales y una
implementación estructurada con entregables claros y se
toma en consideración:

• Requerimientos de usuarios, para realizar un correcto
  análisis y obtener un software claro y fácil de
  usar.
• Requerimientos de archivo,
  entrada, proceso y salida.
• Interfase usuario-maquina asegurando que el software
  sea fácil de utilizar y que sea capaz de auto
  documentarse.
• Personalización de paquetes
• Realizar pruebas
  funcionales (unitarias, de aplicación, de integración y de carga y estrés),
  de acuerdo con el plan de prueba del proyecto y con los
  estándares establecidos antes de ser aprobado por los
  usuarios.
• Controles de aplicación y requerimientos
  funcionales
• Documentación (materiales
  de consulta y soporte para usuarios) con el objeto de que los
  usuarios puedan aprender a utilizar el sistema o
  puedan sacarse todas aquellas inquietudes que se les puedan
  presentar.
• AI3 Adquisición y mantenimiento de la
  infraestructura tecnológica

Objetivo: Proporcionar las plataformas apropiadas para
soportar aplicaciones de negocios

Para ello se realizara una evaluación
del desempeño del hardware y software, la
provisión de mantenimiento
preventivo de hardware y la instalación, seguridad y
control del software del sistema y toma en
consideración:

• Evaluación de tecnología para
  identificar el impacto del nuevo hardware o software sobre el
  rendimiento del sistema general.
• Mantenimiento preventivo del hardware con el objeto
  de reducir la frecuencia y el impacto de fallas de
  rendimiento.
• Seguridad del software de sistema, instalación
  y mantenimiento para no arriesgar la seguridad de los datos y
  programas ya almacenados en el mismo.
• • AI4 Desarrollo y mantenimiento de
    procedimientos

Objetivo: Asegurar el uso apropiado de las aplicaciones
y de las soluciones tecnológicas establecidas.

Para ello se realiza un enfoque estructurado del
desarrollo de manuales de
procedimientos de operaciones para
usuarios, requerimientos de servicio y
material de entrenamiento y toma en
consideración:

• Manuales de procedimientos de usuarios y controles,
  de manera que los mismos permanezcan en permanente
  actualización para el mejor desempeño y control
  de los usuarios.
• Manuales de Operaciones y controles, de manera que
  estén en permanente actualización.
• Materiales de entrenamiento enfocados al uso del
  sistema en la práctica diaria.
• • AI5 Instalación y aceptación de los
    sistemas

Objetivo: Verificar y confirmar que la solución
sea adecuada para el propósito deseado

Para ello se realiza una migración
de instalación, conversión y plan de aceptaciones
adecuadamente formalizadas y toma en
consideración:

• Capacitación del personal de acuerdo al plan
  de entrenamiento definido y los materiales
  relacionados.
• Conversión / carga de datos, de manera que los
  elementos necesarios del sistema anterior sean convertidos al
  sistema nuevo.
• Pruebas específicas (cambios,
  desempeño, aceptación final, operacional) con el
  objeto de obtener un producto
  satisfactorio.
• Acreditación de manera que la Gerencia de
  operaciones y usuaria acepten los resultados de las pruebas y
  el nivel de seguridad para los sistemas, junto con el riesgo residual
  existente.
• Revisiones post implementación con el objeto
  de reportar si el sistema proporciono los beneficios esperados
  de la manera mas económica.
• • AI6 Administración de los
    cambios

Objetivo: Minimizar la probabilidad de
interrupciones, alteraciones no autorizadas y errores.

Esto se hace posible a través de un sistema de
administración que permita el análisis,
implementación y seguimiento de todos los cambios
requeridos y llevados a cabo a la infraestructura de TI actual y
toma en consideración:

• Identificación de cambios tanto internos como
  por parte de proveedores
• Procedimientos de categorización,
  priorización y emergencia de solicitudes de
  cambios.
• Evaluación del impacto que provocaran los
  cambios.
• Autorización de cambios
• Manejo de liberación de manera que la
  liberación de software este regida por procedimientos
  formales asegurando aprobación, empaque,
  pruebas de regresión, entrega, etc.
• Distribución de software, estableciendo
  medidas de control especificas para asegurar la distribución de software correcto al
  lugar correcto, con integridad y de manera
  oportuna.

5. Dominio:
Prestación y soporte

En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer servicios,
deberán establecerse los procesos de soporte necesarios.
Este dominio incluye el procesamiento de los datos por sistemas
de aplicación, frecuentemente clasificados como controles
de aplicación.

Procesos

• Ds1 Definición de niveles de
  servicio

Objetivo: Establecer una comprensión común
del nivel de servicio
requerido

Para ello se establecen convenios de niveles de servicio
que formalicen los criterios de desempeño contra los
cuales se medirá la cantidad y la calidad del servicio y
se toma en consideración:

• Convenios formales que determinen la disponibilidad,
  confiabilidad, desempeño, capacidad de crecimiento,
  niveles de soporte proporcionados al usuario, plan de
  contingencia / recuperación, nivel mínimo
  aceptable de funcionalidad del sistema satisfactoriamente
  liberado, restricciones (límites
  en la cantidad de trabajo), cargos por servicio, instalaciones
  de impresión central (disponibilidad), distribución de impresión central
  y procedimientos de cambio.
• Definición de las responsabilidades de los
  usuarios y de la función de servicios de
  información
• Procedimientos de desempeño que aseguren que
  la manera y las responsabilidades sobre las relaciones que
  rigen el desempeño entre todas las partes involucradas
  sean establecidas, coordinadas, mantenidas y comunicadas a
  todos los departamentos afectados.
• Definición de dependencias asignando un
  Gerente de
  nivel de Servicio que sea responsable de monitorear y reportar
  los alcances de los criterios de desempeño del servicio
  especificado y todos los problemas
  encontrados durante el procesamiento.
• Provisiones para elementos sujetos a cargos en los
  acuerdos de niveles de servicio para hacer posibles
  comparaciones y decisiones de niveles de servicios contra su
  costo.
• Garantías de integridad
• Convenios de confidencialidad
• Implementación de un programa de
  mejoramiento del servicio.
• • Ds2 Administración de servicios prestados
    por terceros

Objetivo: Asegurar que las tareas y responsabilidades de
las terceras partes estén claramente definidas, que
cumplan y continúen satisfaciendo los
requerimientos

Para ello se establecen medidas de control dirigidas a
la revisión y monitoreo de contratos y
procedimientos existentes, en cuanto a su efectividad y
suficiencia, con respecto a las políticas de la
organización y toma en consideración:

• Acuerdos de servicios con terceras partes a
  través de contratos entre la organización y el
  proveedor de la
  administración de instalaciones este basado en
  niveles de procesamiento requeridos, seguridad, monitoreo y
  requerimientos de contingencia, así como en otras
  estipulaciones según sea apropiado.
• Acuerdos de confidencialidad. Además, se
  deberá calificar a los terceros y el contrato
  deberá definirse y acordarse para cada relación
  de servicio con un proveedor.
• Requerimientos legales regulatorios de manera de
  asegurar que estos concuerde con los acuerdos de seguridad
  identificados, declarados y acordados.
• Monitoreo de la entrega de servicio con el fin de
  asegurar el cumplimiento de los acuerdos del
  contrato.
• • Ds3 Administración de desempeño y
    capacidad

Objetivo: Asegurar que la capacidad adecuada está
disponible y que se esté haciendo el mejor uso de ella
para alcanzar el desempeño deseado.

Para ello se realizan controles de manejo de capacidad y
desempeño que recopilen datos y reporten acerca del manejo
de cargas de trabajo, tamaño de aplicaciones, manejo y
demanda de
recursos y toma en consideración:

• Requerimientos de disponibilidad y desempeño
  de los servicios de sistemas de información
• Monitoreo y reporte de los recursos de
  tecnología de información
• Utilizar herramientas
  de modelado apropiadas para producir un modelo del sistema
  actual para apoyar el pronóstico de los requerimientos
  de capacidad, confiabilidad de configuración,
  desempeño y disponibilidad.
• Administración de capacidad estableciendo un
  proceso de planeación para la revisión del
  desempeño y capacidad de hardware con el fin de asegurar
  que siempre exista una capacidad justificable
  económicamente para procesar cargas de trabajo con
  cantidad y calidad de desempeño
• Prevenir que se pierda la disponibilidad de recursos
  mediante la implementación de mecanismos de tolerancia de
  fallas, de asignación equitativos de recursos y de
  prioridad de tareas.

Monitoreo

• Ds4 Asegurar el Servicio Continuo

Objetivo: mantener el servicio disponible de acuerdo con
los requerimientos y continuar su provisión en caso de
interrupciones
Para ello se tiene un plan de continuidad probado y funcional,
que esté alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio y toma en
consideración:

• Planificación de Severidad
• Plan Documentado
• Procedimientos Alternativos
• Respaldo y Recuperación
• Pruebas y entrenamiento sistemático y
  singulares
• • Ds5 Garantizar la seguridad de
    sistemas

Objetivo: salvaguardar la información contra uso
no autorizados, divulgación, modificación,
daño o pérdida

Para ello se realizan controles de acceso lógico
que aseguren que el acceso a sistemas, datos y programas
está restringido a usuarios autorizados y toma en
consideración:

• Autorización,autenticación y
  el acceso lógico junto con el uso de los
  recursos de TI deberá restringirse a través de la
  instrumentación de mecanismos de
  autenticación de usuarios identificados y recursos
  asociados con las reglas de acceso
• Perfiles e identificación de usuarios
  estableciendo procedimientos para asegurar acciones oportunas
  relacionadas con la requisición, establecimiento,
  emisión, suspensión y suspensión de
  cuentas de
  usuario
• Administración de llaves criptográficas
  definiendo implementando procedimientos y protocolos a
  ser utilizados en la generación, distribución,
  certificación, almacenamiento, entrada, utilización y
  archivo de
  llaves criptográficas con el fin de asegurar la
  protección de las mismas
• Manejo, reporte y seguimiento de incidentes
  implementado capacidad para la atención de los mismos
• Prevención y detección de virus tales
  como Caballos de Troya, estableciendo adecuadas medidas de
  control preventivas, detectivas y correctivas.
• Utilizaciónde Firewalls si
  existe una conexión con Internet u
  otras redes
  públicas en la organización

Monitoreo

• Ds6 Educación y entrenamiento de
  usuarios

Objetivo: Asegurar que los usuarios estén
haciendo un uso efectivo de la tecnología y estén
conscientes de los riesgos y responsabilidades
involucrados

Para ello se realiza un plan completo de entrenamiento y
desarrollo y se toma en consideración:

• Curriculum de entrenamiento estableciendo y
  manteniendo procedimientos para identificar y documentar las
  necesidades de entrenamiento de todo el personal que haga uso
  de los servicios de información
• Campañas de concientización, definiendo
  los grupos
  objetivos, identificar y asignar entrenadores y organizar
  oportunamente las sesiones de entrenamiento
• Técnicas de concientización
  proporcionando un programa de
  educación y entrenamiento que incluya conducta
  ética de la función de servicios de
  información
• • Ds7 Identificación y asignación de
    costos

Objetivo: Asegurar un conocimiento
correcto de los costos atribuibles a los servicios de
TI

Para ello se realiza un sistema de contabilidad de
costos que asegure que éstos sean registrados,
calculados y asignados a los niveles de detalle requeridos y toma
en consideración:

• Los elementos sujetos a cargo deben ser recursos
  identificables, medibles y predecibles para los
  usuarios
• Procedimientos y políticas de cargo que
  fomenten el uso apropiado de los recursos de computo y aseguren
  el trato justo de los departamentos usuarios y sus
  necesidades
• Tarifas definiendo e implementando procedimientos de
  costeo de prestar servicios, para ser analizados, monitoreados,
  evaluados asegurando al mismo tiempo la
  economía

Monitoreo

• Ds8 Apoyo y asistencia a los clientes
  de TI

Objetivo: asegurar que cualquier problema experimentado
por los usuarios sea atendido apropiadamente

Para ello se realiza un Buró de ayuda que
proporcione soporte y asesoría de primera línea y
toma en consideración:

• Consultas de usuarios y respuesta a problemas
  estableciendo un soporte de una función de buró
  de ayuda
• Monitoreo de consultas y despacho estableciendo
  procedimientos que aseguren que las preguntas de los clientes que
  pueden ser resueltas sean reasignadas al nivel adecuado para
  atenderlas
• Análisis y reporte de tendencias adecuado de
  las preguntas de los clientes y su solución, de los
  tiempos de respuesta y la identificación de
  tendencias
• • Ds9 Administración de la
    configuración

Objetivo: Dar cuenta de todos los componentes de TI,
prevenir alteraciones no autorizadas, verificar la existencia
física y
proporcionar una base para el sano manejo de cambios

Para ello se realizan controles que identifiquen y
registren todos los activos de TI
así como su localización física y un programa
regular de verificación que confirme su existencia y toma
en consideración:

• Registro de activos
  estableciendo procedimientos para asegurar que sean registrados
  únicamente elementos de configuración autorizados
  e identificables en el inventario, al
  momento de adquisición
• Administración de cambios en la
  configuración asegurando que los registros de
  configuración reflejen el status real de todos los
  elementos de la configuración
• Chequeo de software no autorizado revisando
  periódicamente las computadoras personales de la
  organización
• Controles de almacenamiento de software definiendo un
  área de almacenamiento de archivos para
  todos los elementos de software válidos en las fases del
  ciclo de
  vida de desarrollo de sistemas
• • Ds10 Administración de
    Problemas

Objetivo: Asegurar que los problemas e incidentes sean
resueltos y que sus causas sean investigadas para prevenir que
vuelvan a suceder.

Para ello se necesita un sistema de manejo de problemas
que registre y dé seguimiento a todos los incidentes,
además de un conjunto de procedimientos de escalamiento de
problemas para resolver de la manera más eficiente los
problemas identificados. Este sistema de administración de
problemas deberá también realizar un seguimiento de
las causas a partir de un incidente dado.

• Ds11 Administración de Datos

Objetivo: Asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada,
actualización, salida y almacenamiento.

Lo cual se logra a través de una
combinación efectiva de controles generales y de
aplicación sobre las operaciones de TI. Para tal fin, la
gerencia deberá diseñar formatos de entrada de
datos para los usuarios de manera que se minimicen lo errores y
las omisiones durante la creación de los datos.

Este proceso deberá controlar los documentos
fuentes (de
donde se extraen los datos), de manera que estén
completos, sean precisos y se registren apropiadamente. Se
deberán crear también procedimientos que validen
los datos de entrada y corrijan o detecten los datos
erróneos, como así también procedimientos de
validación para transacciones erróneas, de manera
que éstas no sean procesadas. Cabe destacar la importancia
de crear procedimientos para el almacenamiento, respaldo y
recuperación de datos, teniendo un registro
físico (discos, disquetes, CDs y cintas magnéticas)
de todas las transacciones y datos manejados por la
organización, albergados tanto dentro como fuera de la
empresa.

La gerencia deberá asegurar también la
integridad, autenticidad y confidencialidad de los datos
almacenados, definiendo e implementando procedimientos para tal
fin.

• Ds12 Administración de las
  instalaciones

Objetivo: Proporcionar un ambiente
físico conveniente que proteja al equipo y al personal de
TI contra peligros naturales (fuego, polvo, calor
excesivos) o fallas humanas lo cual se hace posible con la
instalación de controles físicos y ambientales
adecuados que sean revisados regularmente para su funcionamiento
apropiado definiendo procedimientos que provean control de acceso
del personal a las instalaciones y contemplen su seguridad
física.

• Ds13 Administración de la
  operación

Objetivo: Asegurar que las funciones importantes de
soporte de TI estén siendo llevadas a cabo regularmente y
de una manera ordenada

Esto se logra a través de una
calendarización de actividades de soporte que sea
registrada y completada en cuanto al logro de todas las
actividades. Para ello, la gerencia deberá establecer y
documentar procedimientos para las operaciones de
tecnología de información (incluyendo operaciones
de red), los cuales
deberán ser revisados periódicamente para
garantizar su eficiencia y
cumplimiento.

6. Dominio:
Monitoreo

Todos los procesos de una organización necesitan
ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos
de control, integridad y confidencialidad. Este es, precisamente,
el ámbito de este dominio.

Procesos

• M1 Monitoreo del Proceso

Objetivo: Asegurar el logro de los objetivos
establecidos para los procesos de TI. Lo cual se logra definiendo
por parte de la gerencia reportes e indicadores de
desempeño gerenciales y la implementación de
sistemas de soporte así como la atención regular a los reportes
emitidos.

Para ello la gerencia podrá definir indicadores
claves de desempeño y/o factores críticos de
éxito y
compararlos con los niveles objetivos propuestos para evaluar el
desempeño de los procesos de la organización. La
gerencia deberá también medir el grado de
satisfacción del los clientes con respecto a los servicios
de información proporcionados para identificar
deficiencias en los niveles de servicio y establecer objetivos de
mejoramiento, confeccionando informes que
indiquen el avance de la organización hacia los objetivos
propuestos.

• M2 Evaluar lo adecuado del Control
  Interno

Objetivo: Asegurar el logro de los objetivos de control
interno establecidos para los procesos de TI.

Para ello la gerencia es la encargada de monitorear la
efectividad de los controles internos a través de
actividades administrativas y de supervisión, comparaciones,
reconciliaciones y otras acciones rutinarias., evaluar su
efectividad y emitir reportes sobre ellos en forma regular. Estas
actividades de monitoreo continuo por parte de la Gerencia
deberán revisar la existencia de puntos vulnerables y
problemas de seguridad.

• M3 Obtención de Aseguramiento
  Independiente

Objetivo: Incrementar los niveles de confianza entre la
organización, clientes y proveedores
externos. Este proceso se lleva a cabo a intervalos regulares de
tiempo.

Para ello la gerencia deberá obtener una
certificación o acreditación independiente de
seguridad y control interno antes de implementar nuevos servicios
de tecnología de información que resulten
críticos, como así también para trabajar con
nuevos proveedores de servicios de tecnología de
información. Luego la gerencia deberá adoptar como
trabajo rutinario tanto hacer evaluaciones periódicas
sobre la efectividad de los servicios de tecnología de
información y de los proveedores de estos servicios como
así también asegurarse el cumplimiento de los
compromisos contractuales de los servicios de tecnología
de información y de los proveedores de estos
servicios.

• M4 Proveer Auditoria Independiente

Objetivo: Incrementar los niveles de confianza y
beneficiarse de recomendaciones basadas en mejores
prácticas de su implementación, lo que se logra con
el uso de auditorias
independientes desarrolladas a intervalos regulares de tiempo.
Para ello la gerencia deberá establecer los estatutos para
la función de auditoria, destacando en este documento la
responsabilidad, autoridad y obligaciones
de la auditoria. El auditor deberá ser independiente del
auditado, esto significa que los auditores no deberán
estar relacionados con la sección o departamento que
esté siendo auditado y en lo posible deberá ser
independiente de la propia empresa. Esta auditoria deberá
respetar la ética y los estándares profesionales,
seleccionando para ello auditores que sean técnicamente
competentes, es decir que cuenten con habilidades y conocimientos
que aseguren tareas efectivas y eficientes de
auditoria.

La función de auditoria deberá
proporcionar un reporte que muestre los objetivos de la
auditoria, período de cobertura, naturaleza y
trabajo de auditoria realizado, como así también la
organización, conclusión y recomendaciones
relacionadas con el trabajo de
auditoria llevado a cabo.
Los 34 procesos propuestos se concretan en 32 objetivos de
control detallados anteriormente.
Un Control se define como "las normas, estándares,
procedimientos, usos y costumbres y las estructuras
organizativas, diseñadas para proporcionar garantía
razonable de que los objetivos empresariales se alcanzaran y que
los eventos no
deseados se preverán o se detectaran, y
corregirán"
Un Objetivo de
Control se define como "la declaración del resultado
deseado o propuesto que se ha de alcanzar mediante la
aplicación de procedimientos de control en cualquier
actividad de TI"
En resumen, la estructura conceptual se puede enfocar desde tres
puntos de vista:
-Los recursos de las TI
-Los criterios empresariales que deben satisfacer la
información
-Los procesos de TI

Las tres dimensiones condeptuales de COBIT

7. Aplicación de
las Normas COBIT

A continuación, analizaremos como se
deberían aplicar las Normas COBIT en una
Organización, utilizando para ello la Guía de
Auditoria presentada en la pagina Web
www.isaca.org, la
misma indica los pasos a seguir para auditar cada uno de los
procesos de TI de la norma. Este reporte lo confeccionamos
dándole el formato de un informe de
auditoría:

8. Apéndice
I

COBIT como Producto, incluye:

• Resumen Ejecutivo: es un documento dirigido a la alta
  gerencia presentando los antecedentes y la estructura
  básica de COBIT Además, describe de manera
  general los procesos, los recursos y los criterios de
  información, los cuales conforman la "Columna Vertebral"
  de COBIT.
• Marco de Referencia (Framework): Incluye la introducción contenida en el resumen
  ejecutivo y presenta las guías de navegación para
  que los lectores se orienten en la exploración del
  material de COBIT haciendo una presentación detallada de
  los 34 procesos contenidos en los cuatro dominios.
• Objetivos de Control: Integran en su contenido lo
  expuesto tanto en el resumen ejecutivo como en el marco de
  referencia y presenta los objetivos de control detallados para
  cada uno de los 34 procesos.

En total se describen 302 objetivos de control
detallados (de 3 a 30 objetivos por cada uno de los
procesos)

• Guías de Auditoria: Se hace una
  presentación del proceso de auditoria generalmente
  aceptado (relevamiento de información, evaluación
  de control, evaluación de cumplimiento y
  evidenciación de los riesgos).

Este documento incluye guías detalladas para
auditar cada uno de los 34 procesos teniendo en cuenta los 302
objetivos de control detallados.

• Guías de Administración: Se enfoca de
  manera similar a los otros productos e integra los principios del
  Balance Business Scorecard.

Para ayudar a determinar cuales son los adecuados
niveles de seguridad y control integra los conceptos de:
–Modelo de madurez CMM (prácticas de Control)
–Indicadores claves de Desempeño de los procesos de
TI
–Factores Críticos de Éxito a
tener en cuenta para mantener bajo control los procesos de
TI.

• Guías Gerenciales: Incluidas en la Tercera
  Edición, las mismas proveen modelos de
  madurez, factores críticos de éxito, indicadores
  claves de objetivos e indicadores claves de desempeño
  para los 34 procesos de TI de COBIT. Estas guías proveen
  a la gerencia herramientas
  que permiten la auto evaluación y poder
  seleccionar opciones para implementación de controles y
  mejoras sobre la información y la tecnología
  relacionada. Las guías fueron desarrolladas por un panel
  de 40 expertos en seguridad y control, profesionales de
  administración de TI y de administración de
  desempeño, analistas de la industria y
  académicos de todo el mundo.
• Herramientas de implementación: Muestra algunas
  de las lecciones aprendidas por aquellas organizaciones
  que han aplicado COBIT e incluye una guía de
  implementación con dos herramientas: Diagnóstico de conciencia
  Administrativa y Diagnóstico de Control en TI

Como con cualquier investigación amplia e innovadora, COBIT
será actualizado cada tres años. Esto asegurara que
el modelo y la estructura permanezcan vigentes. La
validación también permite asegurar que los 41
materiales de referencia primarios no hayan cambiado, y, si
hubieran cambiado, reflejas eso en el documento

9. Apéndice
II

Relaciones de Objetivo de
Control, Dominios, Procesos y Objetivos de Control

Autor:

Ivana Soledad Rojas Córsico

Estudiante del 5to. Año de la Carrera Ingeniería en Sistemas, Universidad
Tecnológica Nacional (Regional Córdoba)
Tema: Auditoría de
Sistemas de Información