Índice
2. COBIT
3. Planificación y
Organización
4. Adquisición e
implementación
5. Prestación y
Soporte
6. Monitoreo
7. Aplicación de las Normas
COBIT
8. Apéndice I
9. Apéndice II
El siguiente trabajo tiene la finalidad de exponer las
Normas COBIT
de manera simple y comprensible. Para ello, además de
realizar un desarrollo
teórico de las mismas, incluimos un análisis de la situación actual del
Departamento de Recursos
Humanos de la
organización INEXEI SCHOOL, explicamos si sus procedimientos
respetan o no la norma, e indicamos qué debería
hacerse para que aplique y cumpla con un determinado proceso de la
norma.
El cuerpo del trabajo esta dividido en dos partes
principales las cuales reflejan las Características y Estructura de
COBIT y el Relevamiento y Aplicación de las Normas COBIT
en la Escuela.
Además, incluimos dos Apéndices: en el
apéndice I indicamos los componentes de COBIT como
Producto y en
el apéndice II incorporamos la lista completa de Dominios,
Procesos y
Objetivos de
Control.
Para Finalizar, adjuntamos con esta monografía
un disquette que contiene el Resumen Ejecutivo (2ª
Edición) de la norma y las Guías de Auditoría de la misma, las cuales pueden
ser utilizadas por nuestros compañeros si desean
profundizar más en el estudio de COBIT, y que en este
trabajo son desarrolladas brevemente para no hacer tediosa la
explicación de la norma y por razones de espacio
obvias.
2. COBIT (Objetivos de
Control para
Tecnología
de Información y Tecnologías
relacionadas)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI
que ha cambiado la forma en que trabajan los profesionales de TI.
Vinculando tecnología informática y prácticas de control,
COBIT consolida y armoniza estándares de fuentes
globales prominentes en un recurso crítico para la
gerencia, los
profesionales de control y los auditores.
COBIT se aplica a los sistemas de
información de toda la empresa,
incluyendo las computadoras
personales, mini computadoras y
ambientes distribuidos. Esta basado en la filosofía de que
los recursos de TI
necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la información pertinente y confiable que
requiere una organización para lograr sus objetivos.
Misión:
Investigar, desarrollar, publicar y promover un conjunto
internacional y actualizado de objetivos de control para tecnología
de información que sea de uso cotidiano para gerentes
y auditores
Usuarios:
- La Gerencia:
para apoyar sus decisiones de inversión en TI y control sobre el
rendimiento de las mismas, analizar el costo
beneficio del control. - Los Usuarios Finales: quienes obtienen una
garantía sobre la seguridad y
el control de los productos
que adquieren interna y externamente. - Los Auditores: para soportar sus opiniones sobre los
controles de los proyectos de
TI, su impacto en la
organización y determinar el control mínimo
requerido. - Los Responsables de TI: para identificar los
controles que requieren en sus áreas.
También puede ser utilizado dentro de las
empresas por
el responsable de un proceso de
negocio en su responsabilidad de controlar los aspectos de
información del proceso, y por todos
aquellos con responsabilidades en el campo de la TI en las
empresas.
Características:
- Orientado al negocio
- Alineado con estándares y regulaciones "de
facto" - Basado en una revisión crítica y
analítica de las tareas y actividades en TI - Alineado con estándares de control y auditoria
(COSO, IFAC, IIA, ISACA, AICPA)
Principios:
El enfoque del control en TI se lleva a cabo visualizando la
información necesaria para dar soporte a los procesos de
negocio y considerando a la información como el resultado
de la aplicación combinada de recursos
relacionados con las TI que deben ser administrados por procesos
de TI.
- Requerimientos de la información del
negocio
Para alcanzar los requerimientos de negocio, la
información necesita satisfacer ciertos
criterios:
Requerimientos de Calidad: Calidad, Costo y
Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia
operacional, Confiabilidad de los reportes financieros y
Cumplimiento le leyes y
regulaciones.
- Efectividad: La información debe ser relevante
y pertinente para los procesos del negocio y debe ser
proporcionada en forma oportuna, correcta, consistente y
utilizable. - Eficiencia: Se debe proveer información
mediante el empleo
óptimo de los recursos (la forma más productiva y
económica). - Confiabilidad: proveer la información
apropiada para que la
administración tome las decisiones adecuadas para
manejar la empresa y
cumplir con sus responsabilidades. - Cumplimiento: de las leyes,
regulaciones y compromisos contractuales con los cuales
está comprometida la
empresa.
Requerimientos de Seguridad:
Confidencialidad, Integridad y Disponibilidad
- Confidencialidad: Protección de la
información sensible contra divulgación no
autorizada - Integridad: Refiere a lo exacto y completo de la
información así como a su validez de acuerdo con
las expectativas de la empresa. - Disponibilidad: accesibilidad a la información
cuando sea requerida por los procesos del negocio y la
salvaguarda de los recursos y capacidades asociadas a la
misma. - Recursos de TI
En COBIT se establecen los siguientes recursos en TI
necesarios para alcanzar los objetivos de negocio:
- Datos: Todos los objetos de información.
Considera información interna y externa, estructurada o
no, gráficas, sonidos, etc. - Aplicaciones: entendido como los sistemas de
información, que integran procedimientos
manuales y
sistematizados. - Tecnología: incluye hardware y
software
básico, sistemas
operativos, sistemas de
administración de bases de datos,
de redes, telecomunicaciones, multimedia,
etc. - Instalaciones: Incluye los recursos necesarios para
alojar y dar soporte a los sistemas de
información. - Recurso Humano: Por la habilidad, conciencia y
productividad del personal para
planear, adquirir, prestar servicios,
dar soporte y monitorear los sistemas de
Información. - Procesos de TI
La estructura de
COBIT se define a partir de una premisa simple y
pragmática: "Los recursos de las Tecnologías de la
Información (TI) se han de gestionar mediante un conjunto
de procesos agrupados de forma natural para que proporcionen la
información que la empresa necesita para alcanzar sus
objetivos".
COBIT se divide en tres niveles:
Dominios
Procesos
Actividades
Dominios: Agrupación natural de procesos, normalmente
corresponden a un dominio o una
responsabilidad organizacional.
Procesos: Conjuntos o
series de actividades unidas con delimitación o cortes de
control.
Actividades: Acciones
requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno
de los procesos de las TI. Estos procesos están agrupados
en cuatro grandes dominios que se detallan a continuación
junto con sus procesos y una descripción general de las actividades de
cada uno:
3. Dominio: Planificación y
organización
Este dominio cubre la estrategia y las
tácticas y se refiere a la identificación de la
forma en que la tecnología de
información puede contribuir de la mejor manera al logro
de los objetivos de negocio. Además, la consecución
de la visión estratégica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas.
Finalmente, deberán establecerse una organización y una infraestructura
tecnológica apropiadas.
Procesos:
- PO1 Definición de un plan
Estratégico
Objetivo: Lograr un balance óptimo entre las
oportunidades de tecnología de información y los
requerimientos de TI de negocio, para asegurar sus logros
futuros.
Su realización se concreta a través un proceso de
planeación estratégica emprendido en
intervalos regulares dando lugar a planes a largo plazo, los que
deberán ser traducidos periódicamente en planes
operacionales estableciendo metas claras y concretas a corto
plazo, teniendo en cuenta:
- La definición de objetivos de negocio y
necesidades de TI, la alta gerencia será la responsable
de desarrollar e implementar planes a largo y corto plazo que
satisfagan la misión y
las metas generales de la organización. - El inventario de
soluciones
tecnológicas e infraestructura actual, se deberá
evaluar los sistemas existentes en términos de: nivel de
automatización de negocio, funcionalidad,
estabilidad, complejidad, costo y fortalezas y debilidades, con
el propósito de determinar el nivel de soporte que
reciben los requerimientos del negocio de los sistemas
existentes. - Los cambios organizacionales, se deberá
asegurar que se establezca un proceso para modificar
oportunamente y con precisión el plan a largo
plazo de tecnología de información con el fin de
adaptar los cambios al plan a largo plazo de la
organización y los cambios en las condiciones de la
TI - Estudios de factibilidad
oportunos, para que se puedan obtener resultados
efectivos - PO2 Definición de la Arquitectura de
Información
Objetivo: Satisfacer los requerimientos de negocio,
organizando de la mejor manera posible los sistemas de
información, a través de la creación y
mantenimiento
de un modelo de
información de negocio, asegurándose que se definan
los sistemas apropiados para optimizar la utilización de
esta información, tomando en
consideración:
- La documentación deberá conservar
consistencia con las necesidades permitiendo a los responsables
llevar a cabo sus tareas eficiente y oportunamente. - El diccionario de
datos, el cual incorporara las reglas de sintaxis de
datos de la
organización y deberá ser continuamente
actualizado. - La propiedad de
la información y la clasificación de severidad
con el que se establecerá un marco de referencia de
clasificación general relativo a la ubicación de
datos en clases
de información. - PO3 Determinación de la dirección tecnológica
Objetivo: Aprovechar al máximo de la
tecnología disponible o tecnología emergente,
satisfaciendo los requerimientos de negocio, a través de
la creación y mantenimiento
de un plan de infraestructura tecnológica, tomando en
consideración:
- La capacidad de adecuación y evolución de la infraestructura actual,
que deberá concordar con los planes a largo y corto
plazo de tecnología de información y debiendo
abarcar aspectos tales como arquitectura de
sistemas, dirección tecnológica y estrategias de
migración. - El monitoreo de desarrollos tecnológicos que
serán tomados en consideración durante el
desarrollo y
mantenimiento del plan de infraestructura
tecnológica. - Las contingencias (por ejemplo, redundancia, resistencia,
capacidad de adecuación y evolución de la infraestructura), con lo
que se evaluará sistemáticamente el plan de
infraestructura tecnológica. - Planes de adquisición, los cuales
deberán reflejar las necesidades identificadas en el
plan de infraestructura tecnológica. - PO4 Definición de la organización y
de las relaciones de TI
- PO4 Definición de la organización y
Objetivo: Prestación de servicios de
TI
Esto se realiza por medio de una organización conveniente
en número y habilidades, con tareas y responsabilidades
definidas y comunicadas, teniendo en cuenta:
- El comité de dirección el cual se
encargara de vigilar la función
de servicios de información y sus
actividades. - Propiedad,
custodia, la Gerencia deberá crear una estructura para
designar formalmente a los propietarios y custodios de los
datos. Sus funciones y
responsabilidades deberán estar claramente
definidas. - Supervisión, para asegurar que las funciones y
responsabilidades sean llevadas a cabo
apropiadamente - Segregación de funciones, con la que
se evitará la posibilidad de que un solo individuo
resuelva un proceso crítico. - Los roles y responsabilidades, la gerencia
deberá asegurarse de que todo el personal
deberá conocer y contar con la autoridad
suficiente para llevar a cabo las funciones y responsabilidades
que le hayan sido asignadas - La descripción
de puestos, deberá delinear claramente tanto la
responsabilidad como la autoridad,
incluyendo las definiciones de las habilidades y la experiencia
necesarias para el puesto, y ser adecuadas para su
utilización en evaluaciones de desempeño. - Los niveles de asignación de personal,
deberán hacerse evaluaciones de requerimientos
regularmente para asegurar para asegurar una asignación
de personal adecuada en el presente y en el futuro. - El personal clave, la gerencia deberá definir
e identificar al personal clave de tecnología de
información. - PO5 Manejo de la inversión
Objetivo: tiene como finalidad la satisfacción de
los requerimientos de negocio, asegurando el financiamiento
y el control de desembolsos de recursos financieros.
Su realización se concreta a través
presupuestos
periódicos sobre inversiones y
operaciones
establecidas y aprobados por el negocio, teniendo en
cuenta:
- Las alternativas de financiamiento, se deberán investigar
diferentes alternativas de financiamiento. - El control del gasto real, se deberá tomar
como base el sistema de
contabilidad
de la organización, mismo que deberá registrar,
procesar y reportar rutinariamente los costos
asociados con las actividades de la función
de servicios de información - La justificación de costos y
beneficios, deberá establecerse un control gerencial que
garantice que la prestación de servicios por parte de la
función de servicios de información se justifique
en cuanto a costos. Los beneficios derivados de las actividades
de TI deberán ser analizados en forma
similar. - PO6 Comunicación de la dirección y
aspiraciones de la gerencia
- PO6 Comunicación de la dirección y
Objetivo: Asegura el
conocimiento y comprensión de los usuarios sobre las
aspiraciones del alto nivel (gerencia), se concreta a
través de políticas
establecidas y transmitidas a la comunidad de
usuarios, necesitándose para esto estándares para
traducir las opciones estratégicas en reglas de usuario
prácticas y utilizables. Toma en cuenta:
- Los código de ética /
conducta, el
cumplimiento de las reglas de ética,
conducta,
seguridad y estándares de control
interno deberá ser establecido por la Alta Gerencia
y promoverse a través del ejemplo. - Las directrices tecnológicas
- El cumplimiento, la Gerencia deberá
también asegurar y monitorear la duración de la
implementación de sus políticas. - El compromiso con la calidad, la Gerencia de la
función de servicios de información deberá
definir, documentar y mantener una filosofía de calidad,
debiendo ser comprendidos, implementados y mantenidos por todos
los niveles de la función de servicios de
información. - Las políticas de seguridad y control
interno, la alta gerencia deberá asegurar que esta
política
de seguridad y de control interno especifique el
propósito y los objetivos, la estructura gerencial, el
alcance dentro de la organización, la definición
y asignación de responsabilidades para su
implementación a todos los niveles y la
definición de multas y de acciones
disciplinarias asociadas con la falta de cumplimiento de estas
políticas. - PO7 Administración de recursos
humanos
- PO7 Administración de recursos
Objetivo: Maximizar las contribuciones del personal a
los procesos de TI, satisfaciendo así los requerimientos
de negocio, a través de técnicas
sólidas para administración
de personal, tomando en consideración:
- El reclutamiento y promoción, deberá tener como base
criterios objetivos, considerando factores como la
educación, la experiencia y la
responsabilidad. - Los requerimientos de calificaciones, el personal
deberá estar calificado, tomando como base una educación, entrenamiento y
o experiencia apropiados, según se requiera - La capacitación, los programas de
educación y entrenamiento
estarán dirigidos a incrementar los niveles de habilidad
técnica y administrativa del personal. - La evaluación objetiva y medible del
desempeño, se deberá asegurar que
dichas evaluaciones sean llevada a cabo regularmente
según los estándares establecidos y las
responsabilidades específicas del puesto. Los empleados
deberán recibir asesoría sobre su
desempeño o su conducta cuando esto sea
apropiado. - PO8 Asegurar el cumplimiento con los
requerimientos Externos
- PO8 Asegurar el cumplimiento con los
Objetivo: Cumplir con obligaciones
legales, regulatorias y contractuales
Para ello se realiza una identificación y
análisis de los requerimientos externos en
cuanto a su impacto en TI, llevando a cabo las medidas apropiadas
para cumplir con ellos y se toma en
consideración:
- Definición y mantenimiento de procedimientos
para la revisión de requerimientos externos, para la
coordinación de estas actividades y para
el cumplimiento continuo de los mismos. - Leyes, regulaciones y contratos
- Revisiones regulares en cuanto a cambios
- Búsqueda de asistencia legal y
modificaciones - Seguridad y ergonomía con respecto al ambiente de
trabajo de los usuarios y el personal de la función de
servicios de información. - Privacidad
- Propiedad intelectual
- Flujo de datos externos y criptografía
- PO9 Evaluación de riesgos
Objetivo: Asegurar el logro de los objetivos de TI y
responder a las amenazas hacia la provisión de servicios
de TI
Para ello se logra la participación de la propia
organización en la identificación de riesgos de TI y
en el análisis de impacto, tomando medidas
económicas para mitigar los riesgos y se toma
en consideración:
- Identificación, definición y
actualización regular de los diferentes tipos de riesgos
de TI (por ej.: tecnológicos, de seguridad, etc.) de
manera de que se pueda determinar la manera en la que los
riesgos deben ser manejados a un nivel aceptable. - Definición de alcances, limites de los riesgos
y la metodología para las evaluaciones de los
riesgos. - Actualización de evaluación de
riesgos - Metodología de evaluación de
riesgos - Medición de riesgos cualitativos y/o
cuantitativos - Definición de un plan de acción contra
los riesgos para asegurar que existan controles y medidas de
seguridad económicas que mitiguen los riesgos en forma
continua. - Aceptación de riesgos dependiendo de la
identificación y la medición del riesgo, de la
política
organizacional, de la incertidumbre incorporada al enfoque de
evaluación de riesgos y de que tan económico
resulte implementar protecciones y controles. - PO10 Administración de
proyectos
- PO10 Administración de
Objetivo: Establecer prioridades y entregar servicios
oportunamente y de acuerdo al presupuesto de
inversión
Para ello se realiza una identificación y
priorización de los proyectos en
línea con el plan operacional por parte de la misma
organización. Además, la organización
deberá adoptar y aplicar sólidas técnicas
de administración
de proyectos para cada proyecto
emprendido y se toma en consideración:
- Definición de un marco de referencia general
para la administración de proyectos que defina el
alcance y los límites
del mismo, así como la metodología de administración de
proyectos a ser adoptada y aplicada para cada proyecto
emprendido. La metodología deberá cubrir, como
mínimo, la asignación de responsabilidades, la
determinación de tareas, la realización de
presupuestos
de tiempo y
recursos, los avances, los puntos de revisión y las
aprobaciones. - El involucramiento de los usuarios en el desarrollo,
implementación o modificación de los
proyectos. - Asignación de responsabilidades y autoridades
a los miembros del personal asignados al proyecto. - Aprobación de fases de proyecto por parte de
los usuarios antes de pasar a la siguiente fase. - Presupuestos de costos y horas hombre
- Planes y metodologías de aseguramiento de
calidad que sean revisados y acordados por las partes
interesadas. - Plan de administración de riesgos para
eliminar o minimizar los riesgos. - Planes de prueba, entrenamiento, revisión
post-implementación. - PO11 Administración de calidad
Objetivo: Satisfacer los requerimientos del
cliente
Para ello se realiza una planeación, implementación y
mantenimiento de estándares y sistemas de
administración de calidad por parte de la
organización y se toma en consideración:
- Definición y mantenimiento regular del plan de
calidad, el cual deberá promover la filosofía de
mejora continua y contestar a las preguntas básicas de
qué, quién y cómo. - Responsabilidades de aseguramiento de calidad que
determine los tipos de actividades de aseguramiento de calidad
tales como revisiones, auditorias,
inspecciones, etc. que deben realizarse para alcanzar los
objetivos del plan general de calidad. - Metodologías del ciclo de
vida de desarrollo de sistemas que rija el proceso de
desarrollo, adquisición, implementación y
mantenimiento de sistemas de información. - Documentación de pruebas de
sistemas y programas - Revisiones y reportes de aseguramiento de
calidad
4. Dominio:
Adquisición e implementación
Para llevar a cabo la estrategia de TI,
las soluciones de
Ti deben ser identificadas, desarrolladas o adquiridas, asi como
implementadas e integradas dentro del proceso del negocio.
Además, este dominio cubre los cambios y el mantenimiento
realizados a sistemas existentes.
Procesos:
- AI1 Identificación de Soluciones
Automatizadas
Objetivo: Asegurar el mejor enfoque para cumplir con los
requerimientos del usuario
Para ello se realiza un análisis claro de las
oportunidades alternativas comparadas contra los requerimientos
de los usuarios y toma en consideración:
- Definición de requerimientos de
información para poder
aprobar un proyecto de desarrollo. - Estudios de factibilidad
con la finalidad de satisfacer los requerimientos del negocio
establecidos para el desarrollo de un proyecto. - Arquitectura de información para tener en
consideración el modelo de
datos al definir soluciones y analizar la factibilidad de las
mismas. - Seguridad con relación de costo-beneficio
favorable para controlar que los costos no excedan los
beneficios. - Pistas de auditoria para ello deben existir
mecanismos adecuados. Dichos mecanismos deben proporcionar la
capacidad de proteger datos sensitivos (ej.
Identificación de usuarios contra divulgación o
mal uso) - Contratación de terceros con el objeto de
adquirir productos
con buena calidad y excelente estado. - Aceptación de instalaciones y
tecnología a través del contrato con el
Proveedor donde se acuerda un plan de aceptación para
las instalaciones y tecnología especifica a ser
proporcionada. - AI2 Adquisición y mantenimiento del software
aplicativo
Objetivo: Proporciona funciones automatizadas que
soporten efectivamente al negocio.
Para ello se definen declaraciones específicas
sobre requerimientos funcionales y operacionales y una
implementación estructurada con entregables claros y se
toma en consideración:
- Requerimientos de usuarios, para realizar un correcto
análisis y obtener un software claro y fácil de
usar. - Requerimientos de archivo,
entrada, proceso y salida. - Interfase usuario-maquina asegurando que el software
sea fácil de utilizar y que sea capaz de auto
documentarse. - Personalización de paquetes
- Realizar pruebas
funcionales (unitarias, de aplicación, de integración y de carga y estrés),
de acuerdo con el plan de prueba del proyecto y con los
estándares establecidos antes de ser aprobado por los
usuarios. - Controles de aplicación y requerimientos
funcionales - Documentación (materiales
de consulta y soporte para usuarios) con el objeto de que los
usuarios puedan aprender a utilizar el sistema o
puedan sacarse todas aquellas inquietudes que se les puedan
presentar. - AI3 Adquisición y mantenimiento de la
infraestructura tecnológica
Objetivo: Proporcionar las plataformas apropiadas para
soportar aplicaciones de negocios
Para ello se realizara una evaluación
del desempeño del hardware y software, la
provisión de mantenimiento
preventivo de hardware y la instalación, seguridad y
control del software del sistema y toma en
consideración:
- Evaluación de tecnología para
identificar el impacto del nuevo hardware o software sobre el
rendimiento del sistema general. - Mantenimiento preventivo del hardware con el objeto
de reducir la frecuencia y el impacto de fallas de
rendimiento. - Seguridad del software de sistema, instalación
y mantenimiento para no arriesgar la seguridad de los datos y
programas ya almacenados en el mismo. - AI4 Desarrollo y mantenimiento de
procedimientos
- AI4 Desarrollo y mantenimiento de
Objetivo: Asegurar el uso apropiado de las aplicaciones
y de las soluciones tecnológicas establecidas.
Para ello se realiza un enfoque estructurado del
desarrollo de manuales de
procedimientos de operaciones para
usuarios, requerimientos de servicio y
material de entrenamiento y toma en
consideración:
- Manuales de procedimientos de usuarios y controles,
de manera que los mismos permanezcan en permanente
actualización para el mejor desempeño y control
de los usuarios. - Manuales de Operaciones y controles, de manera que
estén en permanente actualización. - Materiales de entrenamiento enfocados al uso del
sistema en la práctica diaria. - AI5 Instalación y aceptación de los
sistemas
- AI5 Instalación y aceptación de los
Objetivo: Verificar y confirmar que la solución
sea adecuada para el propósito deseado
Para ello se realiza una migración
de instalación, conversión y plan de aceptaciones
adecuadamente formalizadas y toma en
consideración:
- Capacitación del personal de acuerdo al plan
de entrenamiento definido y los materiales
relacionados. - Conversión / carga de datos, de manera que los
elementos necesarios del sistema anterior sean convertidos al
sistema nuevo. - Pruebas específicas (cambios,
desempeño, aceptación final, operacional) con el
objeto de obtener un producto
satisfactorio. - Acreditación de manera que la Gerencia de
operaciones y usuaria acepten los resultados de las pruebas y
el nivel de seguridad para los sistemas, junto con el riesgo residual
existente. - Revisiones post implementación con el objeto
de reportar si el sistema proporciono los beneficios esperados
de la manera mas económica. - AI6 Administración de los
cambios
- AI6 Administración de los
Objetivo: Minimizar la probabilidad de
interrupciones, alteraciones no autorizadas y errores.
Esto se hace posible a través de un sistema de
administración que permita el análisis,
implementación y seguimiento de todos los cambios
requeridos y llevados a cabo a la infraestructura de TI actual y
toma en consideración:
- Identificación de cambios tanto internos como
por parte de proveedores - Procedimientos de categorización,
priorización y emergencia de solicitudes de
cambios. - Evaluación del impacto que provocaran los
cambios. - Autorización de cambios
- Manejo de liberación de manera que la
liberación de software este regida por procedimientos
formales asegurando aprobación, empaque,
pruebas de regresión, entrega, etc. - Distribución de software, estableciendo
medidas de control especificas para asegurar la distribución de software correcto al
lugar correcto, con integridad y de manera
oportuna.
5. Dominio:
Prestación y soporte
En este dominio se hace referencia a la entrega de los
servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer servicios,
deberán establecerse los procesos de soporte necesarios.
Este dominio incluye el procesamiento de los datos por sistemas
de aplicación, frecuentemente clasificados como controles
de aplicación.
Procesos
- Ds1 Definición de niveles de
servicio
Objetivo: Establecer una comprensión común
del nivel de servicio
requerido
Para ello se establecen convenios de niveles de servicio
que formalicen los criterios de desempeño contra los
cuales se medirá la cantidad y la calidad del servicio y
se toma en consideración:
- Convenios formales que determinen la disponibilidad,
confiabilidad, desempeño, capacidad de crecimiento,
niveles de soporte proporcionados al usuario, plan de
contingencia / recuperación, nivel mínimo
aceptable de funcionalidad del sistema satisfactoriamente
liberado, restricciones (límites
en la cantidad de trabajo), cargos por servicio, instalaciones
de impresión central (disponibilidad), distribución de impresión central
y procedimientos de cambio. - Definición de las responsabilidades de los
usuarios y de la función de servicios de
información - Procedimientos de desempeño que aseguren que
la manera y las responsabilidades sobre las relaciones que
rigen el desempeño entre todas las partes involucradas
sean establecidas, coordinadas, mantenidas y comunicadas a
todos los departamentos afectados. - Definición de dependencias asignando un
Gerente de
nivel de Servicio que sea responsable de monitorear y reportar
los alcances de los criterios de desempeño del servicio
especificado y todos los problemas
encontrados durante el procesamiento. - Provisiones para elementos sujetos a cargos en los
acuerdos de niveles de servicio para hacer posibles
comparaciones y decisiones de niveles de servicios contra su
costo. - Garantías de integridad
- Convenios de confidencialidad
- Implementación de un programa de
mejoramiento del servicio. - Ds2 Administración de servicios prestados
por terceros
- Ds2 Administración de servicios prestados
Objetivo: Asegurar que las tareas y responsabilidades de
las terceras partes estén claramente definidas, que
cumplan y continúen satisfaciendo los
requerimientos
Para ello se establecen medidas de control dirigidas a
la revisión y monitoreo de contratos y
procedimientos existentes, en cuanto a su efectividad y
suficiencia, con respecto a las políticas de la
organización y toma en consideración:
- Acuerdos de servicios con terceras partes a
través de contratos entre la organización y el
proveedor de la
administración de instalaciones este basado en
niveles de procesamiento requeridos, seguridad, monitoreo y
requerimientos de contingencia, así como en otras
estipulaciones según sea apropiado. - Acuerdos de confidencialidad. Además, se
deberá calificar a los terceros y el contrato
deberá definirse y acordarse para cada relación
de servicio con un proveedor. - Requerimientos legales regulatorios de manera de
asegurar que estos concuerde con los acuerdos de seguridad
identificados, declarados y acordados. - Monitoreo de la entrega de servicio con el fin de
asegurar el cumplimiento de los acuerdos del
contrato. - Ds3 Administración de desempeño y
capacidad
- Ds3 Administración de desempeño y
Objetivo: Asegurar que la capacidad adecuada está
disponible y que se esté haciendo el mejor uso de ella
para alcanzar el desempeño deseado.
Para ello se realizan controles de manejo de capacidad y
desempeño que recopilen datos y reporten acerca del manejo
de cargas de trabajo, tamaño de aplicaciones, manejo y
demanda de
recursos y toma en consideración:
- Requerimientos de disponibilidad y desempeño
de los servicios de sistemas de información - Monitoreo y reporte de los recursos de
tecnología de información - Utilizar herramientas
de modelado apropiadas para producir un modelo del sistema
actual para apoyar el pronóstico de los requerimientos
de capacidad, confiabilidad de configuración,
desempeño y disponibilidad. - Administración de capacidad estableciendo un
proceso de planeación para la revisión del
desempeño y capacidad de hardware con el fin de asegurar
que siempre exista una capacidad justificable
económicamente para procesar cargas de trabajo con
cantidad y calidad de desempeño - Prevenir que se pierda la disponibilidad de recursos
mediante la implementación de mecanismos de tolerancia de
fallas, de asignación equitativos de recursos y de
prioridad de tareas.
Monitoreo
- Ds4 Asegurar el Servicio Continuo
Objetivo: mantener el servicio disponible de acuerdo con
los requerimientos y continuar su provisión en caso de
interrupciones
Para ello se tiene un plan de continuidad probado y funcional,
que esté alineado con el plan de continuidad del negocio y
relacionado con los requerimientos de negocio y toma en
consideración:
- Planificación de Severidad
- Plan Documentado
- Procedimientos Alternativos
- Respaldo y Recuperación
- Pruebas y entrenamiento sistemático y
singulares - Ds5 Garantizar la seguridad de
sistemas
- Ds5 Garantizar la seguridad de
Objetivo: salvaguardar la información contra uso
no autorizados, divulgación, modificación,
daño o pérdida
Para ello se realizan controles de acceso lógico
que aseguren que el acceso a sistemas, datos y programas
está restringido a usuarios autorizados y toma en
consideración:
- Autorización,autenticación y
el acceso lógico junto con el uso de los
recursos de TI deberá restringirse a través de la
instrumentación de mecanismos de
autenticación de usuarios identificados y recursos
asociados con las reglas de acceso - Perfiles e identificación de usuarios
estableciendo procedimientos para asegurar acciones oportunas
relacionadas con la requisición, establecimiento,
emisión, suspensión y suspensión de
cuentas de
usuario - Administración de llaves criptográficas
definiendo implementando procedimientos y protocolos a
ser utilizados en la generación, distribución,
certificación, almacenamiento, entrada, utilización y
archivo de
llaves criptográficas con el fin de asegurar la
protección de las mismas - Manejo, reporte y seguimiento de incidentes
implementado capacidad para la atención de los mismos - Prevención y detección de virus tales
como Caballos de Troya, estableciendo adecuadas medidas de
control preventivas, detectivas y correctivas. - Utilizaciónde Firewalls si
existe una conexión con Internet u
otras redes
públicas en la organización
Monitoreo
- Ds6 Educación y entrenamiento de
usuarios
Objetivo: Asegurar que los usuarios estén
haciendo un uso efectivo de la tecnología y estén
conscientes de los riesgos y responsabilidades
involucrados
Para ello se realiza un plan completo de entrenamiento y
desarrollo y se toma en consideración:
- Curriculum de entrenamiento estableciendo y
manteniendo procedimientos para identificar y documentar las
necesidades de entrenamiento de todo el personal que haga uso
de los servicios de información - Campañas de concientización, definiendo
los grupos
objetivos, identificar y asignar entrenadores y organizar
oportunamente las sesiones de entrenamiento - Técnicas de concientización
proporcionando un programa de
educación y entrenamiento que incluya conducta
ética de la función de servicios de
información - Ds7 Identificación y asignación de
costos
- Ds7 Identificación y asignación de
Objetivo: Asegurar un conocimiento
correcto de los costos atribuibles a los servicios de
TI
Para ello se realiza un sistema de contabilidad de
costos que asegure que éstos sean registrados,
calculados y asignados a los niveles de detalle requeridos y toma
en consideración:
- Los elementos sujetos a cargo deben ser recursos
identificables, medibles y predecibles para los
usuarios - Procedimientos y políticas de cargo que
fomenten el uso apropiado de los recursos de computo y aseguren
el trato justo de los departamentos usuarios y sus
necesidades - Tarifas definiendo e implementando procedimientos de
costeo de prestar servicios, para ser analizados, monitoreados,
evaluados asegurando al mismo tiempo la
economía
Monitoreo
- Ds8 Apoyo y asistencia a los clientes
de TI
Objetivo: asegurar que cualquier problema experimentado
por los usuarios sea atendido apropiadamente
Para ello se realiza un Buró de ayuda que
proporcione soporte y asesoría de primera línea y
toma en consideración:
- Consultas de usuarios y respuesta a problemas
estableciendo un soporte de una función de buró
de ayuda - Monitoreo de consultas y despacho estableciendo
procedimientos que aseguren que las preguntas de los clientes que
pueden ser resueltas sean reasignadas al nivel adecuado para
atenderlas - Análisis y reporte de tendencias adecuado de
las preguntas de los clientes y su solución, de los
tiempos de respuesta y la identificación de
tendencias - Ds9 Administración de la
configuración
- Ds9 Administración de la
Objetivo: Dar cuenta de todos los componentes de TI,
prevenir alteraciones no autorizadas, verificar la existencia
física y
proporcionar una base para el sano manejo de cambios
Para ello se realizan controles que identifiquen y
registren todos los activos de TI
así como su localización física y un programa
regular de verificación que confirme su existencia y toma
en consideración:
- Registro de activos
estableciendo procedimientos para asegurar que sean registrados
únicamente elementos de configuración autorizados
e identificables en el inventario, al
momento de adquisición - Administración de cambios en la
configuración asegurando que los registros de
configuración reflejen el status real de todos los
elementos de la configuración - Chequeo de software no autorizado revisando
periódicamente las computadoras personales de la
organización - Controles de almacenamiento de software definiendo un
área de almacenamiento de archivos para
todos los elementos de software válidos en las fases del
ciclo de
vida de desarrollo de sistemas - Ds10 Administración de
Problemas
- Ds10 Administración de
Objetivo: Asegurar que los problemas e incidentes sean
resueltos y que sus causas sean investigadas para prevenir que
vuelvan a suceder.
Para ello se necesita un sistema de manejo de problemas
que registre y dé seguimiento a todos los incidentes,
además de un conjunto de procedimientos de escalamiento de
problemas para resolver de la manera más eficiente los
problemas identificados. Este sistema de administración de
problemas deberá también realizar un seguimiento de
las causas a partir de un incidente dado.
- Ds11 Administración de Datos
Objetivo: Asegurar que los datos permanezcan completos,
precisos y válidos durante su entrada,
actualización, salida y almacenamiento.
Lo cual se logra a través de una
combinación efectiva de controles generales y de
aplicación sobre las operaciones de TI. Para tal fin, la
gerencia deberá diseñar formatos de entrada de
datos para los usuarios de manera que se minimicen lo errores y
las omisiones durante la creación de los datos.
Este proceso deberá controlar los documentos
fuentes (de
donde se extraen los datos), de manera que estén
completos, sean precisos y se registren apropiadamente. Se
deberán crear también procedimientos que validen
los datos de entrada y corrijan o detecten los datos
erróneos, como así también procedimientos de
validación para transacciones erróneas, de manera
que éstas no sean procesadas. Cabe destacar la importancia
de crear procedimientos para el almacenamiento, respaldo y
recuperación de datos, teniendo un registro
físico (discos, disquetes, CDs y cintas magnéticas)
de todas las transacciones y datos manejados por la
organización, albergados tanto dentro como fuera de la
empresa.
La gerencia deberá asegurar también la
integridad, autenticidad y confidencialidad de los datos
almacenados, definiendo e implementando procedimientos para tal
fin.
- Ds12 Administración de las
instalaciones
Objetivo: Proporcionar un ambiente
físico conveniente que proteja al equipo y al personal de
TI contra peligros naturales (fuego, polvo, calor
excesivos) o fallas humanas lo cual se hace posible con la
instalación de controles físicos y ambientales
adecuados que sean revisados regularmente para su funcionamiento
apropiado definiendo procedimientos que provean control de acceso
del personal a las instalaciones y contemplen su seguridad
física.
- Ds13 Administración de la
operación
Objetivo: Asegurar que las funciones importantes de
soporte de TI estén siendo llevadas a cabo regularmente y
de una manera ordenada
Esto se logra a través de una
calendarización de actividades de soporte que sea
registrada y completada en cuanto al logro de todas las
actividades. Para ello, la gerencia deberá establecer y
documentar procedimientos para las operaciones de
tecnología de información (incluyendo operaciones
de red), los cuales
deberán ser revisados periódicamente para
garantizar su eficiencia y
cumplimiento.
Todos los procesos de una organización necesitan
ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos
de control, integridad y confidencialidad. Este es, precisamente,
el ámbito de este dominio.
Procesos
- M1 Monitoreo del Proceso
Objetivo: Asegurar el logro de los objetivos
establecidos para los procesos de TI. Lo cual se logra definiendo
por parte de la gerencia reportes e indicadores de
desempeño gerenciales y la implementación de
sistemas de soporte así como la atención regular a los reportes
emitidos.
Para ello la gerencia podrá definir indicadores
claves de desempeño y/o factores críticos de
éxito y
compararlos con los niveles objetivos propuestos para evaluar el
desempeño de los procesos de la organización. La
gerencia deberá también medir el grado de
satisfacción del los clientes con respecto a los servicios
de información proporcionados para identificar
deficiencias en los niveles de servicio y establecer objetivos de
mejoramiento, confeccionando informes que
indiquen el avance de la organización hacia los objetivos
propuestos.
- M2 Evaluar lo adecuado del Control
Interno
Objetivo: Asegurar el logro de los objetivos de control
interno establecidos para los procesos de TI.
Para ello la gerencia es la encargada de monitorear la
efectividad de los controles internos a través de
actividades administrativas y de supervisión, comparaciones,
reconciliaciones y otras acciones rutinarias., evaluar su
efectividad y emitir reportes sobre ellos en forma regular. Estas
actividades de monitoreo continuo por parte de la Gerencia
deberán revisar la existencia de puntos vulnerables y
problemas de seguridad.
- M3 Obtención de Aseguramiento
Independiente
Objetivo: Incrementar los niveles de confianza entre la
organización, clientes y proveedores
externos. Este proceso se lleva a cabo a intervalos regulares de
tiempo.
Para ello la gerencia deberá obtener una
certificación o acreditación independiente de
seguridad y control interno antes de implementar nuevos servicios
de tecnología de información que resulten
críticos, como así también para trabajar con
nuevos proveedores de servicios de tecnología de
información. Luego la gerencia deberá adoptar como
trabajo rutinario tanto hacer evaluaciones periódicas
sobre la efectividad de los servicios de tecnología de
información y de los proveedores de estos servicios como
así también asegurarse el cumplimiento de los
compromisos contractuales de los servicios de tecnología
de información y de los proveedores de estos
servicios.
- M4 Proveer Auditoria Independiente
Objetivo: Incrementar los niveles de confianza y
beneficiarse de recomendaciones basadas en mejores
prácticas de su implementación, lo que se logra con
el uso de auditorias
independientes desarrolladas a intervalos regulares de tiempo.
Para ello la gerencia deberá establecer los estatutos para
la función de auditoria, destacando en este documento la
responsabilidad, autoridad y obligaciones
de la auditoria. El auditor deberá ser independiente del
auditado, esto significa que los auditores no deberán
estar relacionados con la sección o departamento que
esté siendo auditado y en lo posible deberá ser
independiente de la propia empresa. Esta auditoria deberá
respetar la ética y los estándares profesionales,
seleccionando para ello auditores que sean técnicamente
competentes, es decir que cuenten con habilidades y conocimientos
que aseguren tareas efectivas y eficientes de
auditoria.
La función de auditoria deberá
proporcionar un reporte que muestre los objetivos de la
auditoria, período de cobertura, naturaleza y
trabajo de auditoria realizado, como así también la
organización, conclusión y recomendaciones
relacionadas con el trabajo de
auditoria llevado a cabo.
Los 34 procesos propuestos se concretan en 32 objetivos de
control detallados anteriormente.
Un Control se define como "las normas, estándares,
procedimientos, usos y costumbres y las estructuras
organizativas, diseñadas para proporcionar garantía
razonable de que los objetivos empresariales se alcanzaran y que
los eventos no
deseados se preverán o se detectaran, y
corregirán"
Un Objetivo de
Control se define como "la declaración del resultado
deseado o propuesto que se ha de alcanzar mediante la
aplicación de procedimientos de control en cualquier
actividad de TI"
En resumen, la estructura conceptual se puede enfocar desde tres
puntos de vista:
-Los recursos de las TI
-Los criterios empresariales que deben satisfacer la
información
-Los procesos de TI
Las tres dimensiones condeptuales de COBIT
7. Aplicación de
las Normas COBIT
A continuación, analizaremos como se
deberían aplicar las Normas COBIT en una
Organización, utilizando para ello la Guía de
Auditoria presentada en la pagina Web
www.isaca.org, la
misma indica los pasos a seguir para auditar cada uno de los
procesos de TI de la norma. Este reporte lo confeccionamos
dándole el formato de un informe de
auditoría:
Informe de Auditoria
Organización: Colegio Privado que brinda un Objetivos de la Organización:
Departamento de administración de personal: Comprende Depende de la Gerencia de Políticas y estrategias del Departamento de Políticas Estrategias Para con el Personal Objetivo: perfeccionar al personal con el perfil Seleccionar docentes que respondan a los Realizar durante la selección de personal talleres de Seleccionar docentes con muy buenas Los docentes de asignaturas especiales Respetar las decisiones personales de los docentes Antes de que un personal forme parte de la La dirección general realiza Educativas Objetivo: Lograr una excelencia Brindar una educación excelente y Confeccionar un PEI (Proy. Educ. Inst.) con los Realizar periódicamente talleres de La Dirección académica debe evaluar Funciones – Subfunsiones – 1-Realizar el reclutamiento: lograr que todos los puestos
2-Administrar sueldos y jornales: lograr que todos
3- Promocionar las Relaciones institucionales:
5-Generar Informes
De acuerdo con el Dominio "Planificación y Organización" La organización ARCO IRIS SCHOOL, Reclutamiento y Promoción personal, ya que la Personal Calificado, puesto que se verifica que el Entrenamiento de Personal, ya que en cuanto Evaluación de Desempeño de los Cambios de puestos y Despidos, puesto que cuando s importante destacar que ARCO IRIS SCHOOL tienes Respaldo de Personal, puesto que no cuenta con Procedimientos de Acreditación de Personal,
Por lo tanto, podemos especificar que para que la
|
COBIT como Producto, incluye:
- Resumen Ejecutivo: es un documento dirigido a la alta
gerencia presentando los antecedentes y la estructura
básica de COBIT Además, describe de manera
general los procesos, los recursos y los criterios de
información, los cuales conforman la "Columna Vertebral"
de COBIT. - Marco de Referencia (Framework): Incluye la introducción contenida en el resumen
ejecutivo y presenta las guías de navegación para
que los lectores se orienten en la exploración del
material de COBIT haciendo una presentación detallada de
los 34 procesos contenidos en los cuatro dominios. - Objetivos de Control: Integran en su contenido lo
expuesto tanto en el resumen ejecutivo como en el marco de
referencia y presenta los objetivos de control detallados para
cada uno de los 34 procesos.
En total se describen 302 objetivos de control
detallados (de 3 a 30 objetivos por cada uno de los
procesos)
- Guías de Auditoria: Se hace una
presentación del proceso de auditoria generalmente
aceptado (relevamiento de información, evaluación
de control, evaluación de cumplimiento y
evidenciación de los riesgos).
Este documento incluye guías detalladas para
auditar cada uno de los 34 procesos teniendo en cuenta los 302
objetivos de control detallados.
- Guías de Administración: Se enfoca de
manera similar a los otros productos e integra los principios del
Balance Business Scorecard.
Para ayudar a determinar cuales son los adecuados
niveles de seguridad y control integra los conceptos de:
–Modelo de madurez CMM (prácticas de Control)
–Indicadores claves de Desempeño de los procesos de
TI
–Factores Críticos de Éxito a
tener en cuenta para mantener bajo control los procesos de
TI.
- Guías Gerenciales: Incluidas en la Tercera
Edición, las mismas proveen modelos de
madurez, factores críticos de éxito, indicadores
claves de objetivos e indicadores claves de desempeño
para los 34 procesos de TI de COBIT. Estas guías proveen
a la gerencia herramientas
que permiten la auto evaluación y poder
seleccionar opciones para implementación de controles y
mejoras sobre la información y la tecnología
relacionada. Las guías fueron desarrolladas por un panel
de 40 expertos en seguridad y control, profesionales de
administración de TI y de administración de
desempeño, analistas de la industria y
académicos de todo el mundo. - Herramientas de implementación: Muestra algunas
de las lecciones aprendidas por aquellas organizaciones
que han aplicado COBIT e incluye una guía de
implementación con dos herramientas: Diagnóstico de conciencia
Administrativa y Diagnóstico de Control en TI
Como con cualquier investigación amplia e innovadora, COBIT
será actualizado cada tres años. Esto asegurara que
el modelo y la estructura permanezcan vigentes. La
validación también permite asegurar que los 41
materiales de referencia primarios no hayan cambiado, y, si
hubieran cambiado, reflejas eso en el documento
Relaciones de Objetivo de
Control, Dominios, Procesos y Objetivos de Control
PLANEACIÓN Y ORGANIZACIÓN 1.0 Definición de un Plan 1.1 Tecnología de Información como 1.2 Plan a largo plazo de Tecnología de 1.3 Plan a largo plazo de Tecnología de 1.4 Cambios al Plan a largo plazo de 1.5 Planeación a corto plazo para la 1.6 Evaluación de sistemas 2.0 Definición de la Arquitectura de 2.1 Modelo de la Arquitectura de 2.2 Diccionario de Datos y Reglas de cinta de 2.3 Esquema de Clasificación de 2.4 Niveles de Seguridad 3.0 Determinación de la dirección 3.1 Planeación de la Infraestructura 3.2 Monitoreo de Tendencias y Regulaciones 3.3 Contingencias en la Infraestructura 3.4 Planes de Adquisición de Hardware y 3.5 Estándares de 4.0 Definición de la Organización y 4.1 Comité de planeación o 4.2 Ubicación de los servicios de 4.3 Revisión de Logros 4.4 Funciones y Responsabilidades 4.5 Responsabilidad del aseguramiento de 4.6 Responsabilidad de la seguridad lógica y física 4.7 Propiedad y Custodia 4.8 Propiedad de Datos y Sistemas 4.9 Supervisión 4.10 Segregación de Funciones 4.11 Asignación de Personal para 4.12 Descripción de Puestos para el 4.13 Personal clave de TI 4.14 Procedimientos para personal por | 4.15 Relaciones 5.0 Manejo de la Inversión en Tecnología de 5.1 Presupuesto Operativo Anual para la 5.2 Monitoreo de Costo – Beneficio 5.3 Justificación de Costo – 6.0 Comunicación de la dirección y 6.1 Ambiente positivo de control de la 6.2 Responsabilidad de la Gerencia en cuanto a 6.3 Comunicación de las Políticas de 6.4 Recursos para la implementación de 6.5 Mantenimiento de Políticas 6.6 Cumplimiento de Políticas, 6.7 Compromiso con la Calidad 6.8 Política sobre el Marco de Referencia 6.9 Derechos de 6.10 Políticas 6.11 Comunicación de Conciencia de 7.0 Administración de Recursos 7.1 Reclutamiento y Promoción de 7.2 Personal Calificado 7.3 Entrenamiento de Personal 7.4 Entrenamiento Cruzado o Respaldo de 7.5 Procedimientos de Acreditación de 7.6 Evaluación de Desempeño de los 7.7 Cambios de Puesto y Despidos 8.0 Aseguramiento del Cumplimiento de 8.1 Revisión de Requerimientos 8.2 Prácticas y Procedimientos para el 8.3 Cumplimiento de los Estándares de 8.4 Privacidad, Propiedad Intelectual y Flujo de 8.5 Comercio 8.6 Cumplimiento con Contratos de 9.0 Evaluación de Riesgos 9.1 Evaluación de Riesgos del 9.2 Enfoque de Evaluación de 9.3 Identificación de Riesgos 9.4 Medición de Riesgos 9.5 Plan de Acción contra |
9.6 Aceptación de Riesgos 10.0 Administración de proyectos 10.1 Marco de Referencia para la 10.2 Participación del Departamento Usuario 10.3 Miembros y Responsabilidades del Equipo del 10.4 Definición del Proyecto 10.5 Aprobación del Proyecto 10.6 Aprobación de las Fases del 10.7 Plan Maestro del Proyecto 10.8 Plan de Aseguramiento de la Calidad de 10.9 Planeación de Métodos de Aseguramiento 10.10 Administración Formal de Riesgos de 10.11 Plan de Prueba 10.12 Plan de Entrenamiento 10.13 Plan de Revisión Post 11.0 Administración de Calidad 11.1 Plan General de Calidad 11.2 Enfoque de Aseguramiento de 11.3 Planeación del Aseguramiento de 11.4 Revisión de Aseguramiento de Calidad 11.5 Metodología del Ciclo de Vida de 11.6 Metodología del Ciclo de Vida de 11.7 Actualización de la Metodología 11.8 Coordinación y 11.9 Marco de Referencia de Adquisición y 11.10 Relaciones con Terceras Partes como 11.11 Estándares para la Programas 11.12 Estándares para Pruebas de 11.13 Estándares para Pruebas de 11.14 Pruebas Piloto/En Paralelo 11.15 Documentación de las Pruebas del 11.16 Evaluación del Aseguramiento de la 11.17 Revisión del Aseguramiento de Calidad 11.18 Métricas de Calidad 11.19 Reportes de Revisiones de Aseguramiento de | ADQUISICIÓN E 1.0 Identificación de Soluciones 1.1 Definición de Requerimientos de 1.2 Formulación de Acciones 1.3 Formulación de Estrategias de 1.4 Requerimientos de Servicios de 1.5 Estudio de 1.6 Estudio de 1.7 Arquitectura de Información 1.8 Reporte de Análisis de 1.9 Controles de Seguridad 1.10 Diseño de Pistas de 1.11 Ergonomía 1.12 Selección de Software de 1.13 Control de Abastecimiento 1.14 Adquisición de Productos de 1.15 Mantenimiento de Software de Terceras 1.16 Contratos de Programación de 1.17 Aceptación de Instalaciones 1.18 Aceptación de 2.0 Adquisición y Mantenimiento de Software 2.1 Métodos de Diseño 2.2 Cambios Significativos a Sistemas 2.3 Aprobación del Diseño 2.4 Definición y Documentación de 2.5 Especificaciones de Programas 2.6 Diseño para la Recopilación de 2.7 Definición y Documentación de 2.8 Definición de Interfases 2.9 Interfases Usuario-Máquina 2.10 Definición y Documentación de 2.11 Definición y Documentación de 2.12 Controlabilidad 2.13 Disponibilidad como Factor Clave de 2.14 Estipulación de Integridad de TI en 2.15 Pruebas de Software de 2.16 Materiales de Consulta y Soporte para 2.17 Reevaluación del Diseño del 3.0 Adquisición y Mantenimiento de 3.1 Evaluación de Nuevo Hardware y 3.2 Mantenimiento 3.3 Seguridad del Software del Sistema 3.4 Instalación del Software del 3.5 Mantenimiento del Software del 3.6 Controles para Cambios del Sofware del |
4.0 Desarrollo y Mantenimiento de Procedimientos 4.1 Futuros Requerimientos y Niveles de Servicios 4.2 Manual de 4.3 Manual 4.4 Material de Entrenamiento 5.0 Instalación y Acreditación de 5.1 Entrenamiento 5.2 Adecuación del Desempeño del 5.3 Conversión 5.4 Pruebas de Cambios 5.5 Criterios y Desempeño de Pruebas en 5.6 Prueba de Aceptación Final 5.7 Pruebas y Acreditación de 5.8 Prueba Operacional 5.9 Promoción a Producción 5.10 Evaluación de 5.11Revisión Gerencial Post – 6.0 Administración de Cambios 6.1 Inicio y Control de Requisiciones de 6.2 Evaluación del Impacto 6.3 Control de Cambios 6.4 Documentación y 6.5 Mantenimiento Autorizado 6.6 Política de Liberación de 6.7 Distribución de Software ENTREGA DE SERVICIOS Y SOPORTE 1.0 Definición de Niveles de 1.1 Marco de Referencia para el Convenio de Nivel 1.2 Aspectos sobre los Acuerdos de Nivel de 1.3 Procedimientos de Ejecución 1.4 Monitoreo y Reporte 1.5 Revisión de Convenios y Contratos de 1.6 Elementos sujetos a Cargo 1.7 Programa de Mejoramiento del 2.0 Administración de Servicios prestados Terceros 2.1 Interfases con Proveedores 2.2 Relaciones de Dueños 2.3 Contratos con Terceros 2.4 Calificaciones de terceros 2.5 Contratos con Outsourcing 2.6 Continuidad de Servicios 2.7 Relaciones de Seguridad 2.8 Monitoreo 3.0 Administración de Desempeño y 3.1 Requerimientos de Disponibilidad y | 3.2 Plan de Disponibilidad 3.3 Monitoreo y Reporte 3.4 Herramientas de Modelado 3.5 Manejo de Desempeño 3.6 Pronóstico de Carga de 3.7 Administración de Capacidad de 3.8 Disponibilidad de Recursos 3.9 Calendarización de recursos 4.0 Aseguramiento de Servicio Continuo 4.1 Marco de Referencia de Continuidad de 4.2 Estrategia y Filosofía de Continuidad 4.3 Contenido del Plan de Continuidad de 4.4 Minimización de requerimientos de 4.5 Mantenimiento del Plan de Continuidad de 4.6 Pruebas del Plan de Continuidad de 4.7 Capacitación sobre el Plan de 4.8 Distribución del Plan de Continuidad de 4.9 Procedimientos de Respaldo de Procesamiento 4.10 Recursos críticos de Tecnología 4.11 Centro de 4.12 Procedimientos de Refinamiento del Plan de 5.0 Garantizar la Seguridad de Sistemas 5.1 Administrar Medidas de Seguridad 5.2 Identificación, Autenticación y 5.3 Seguridad de Acceso a Datos en 5.4 Administración de Cuentas 5.5 Revisión Gerencial de Cuentas de 5.6 Control de Usuarios sobre Cuentas de 5.7 Vigilancia de Seguridad 5.8 Clasificación de Datos 5.9 Administración Centralizada de 5.10 Reportes de Violación y de Actividades 5.11 Manejo de Incidentes 5.12 Re-acreditación 5.13 Confianza en Contrapartes 5.14 Autorización de 5.15 No Rechazo 5.16 Sendero Seguro 5.17 Protección de funciones de 5.18 Administración de Llave 5.19 Prevención, Detección y 5.20 Arquitecturas de FireWalls y conexión 5.21 Protección de Valores |
6.0 Identificación y Asignación de 6.1 Elementos Sujetos a Cargo 6.2 Procedimientos de Costeo 6.3 Procedimientos de Cargo y Facturación a 7.0 Educación y Entrenamiento de 7.1 Identificación de Necesidades de 7.2 Organización de 7.3 Entrenamiento sobre Principios 8.0 Apoyo y Asistencia a los Clientes de 8.1 Buró de Ayuda 8.2 Registro de 8.3 Escalamiento de Preguntas del 8.4 Monitoreo de Atención a 8.5 Análisis y Reporte de 9.0 Administración de la 9.1 Registro de la Configuración 9.2 Base de la Configuración 9.3 Registro de Estatus 9.4 Control de la Configuración 9.5 Software no Autorizado 9.6 Almacenamiento de Software 10.0 Administración de Problemas e 10.1 Sistema de Administración de 10.2 Escalamiento de Problemas 10.3 Seguimiento de Problemas y Pistas de 11.0 Administración de Datos 11.1 Procedimientos de Preparación de 11.2 Procedimientos de Autorización de 11.3 Recopilación de Datos de Documentos 11.4 Manejo de Errores de Documentos 11.5 Retención de Documentos 11.6 Procedimientos de Autorización de 11.7 Chequeos de Exactitud, Suficiencia y 11.8 Manejo de Errores en la Entrada de 11.9 Integridad de Procesamiento de 11.10 Validación y Edición de 11.11 Manejo de Error en el Procesamiento de 11.12 Manejo y Retención de Salida de 11.13 Distribución de Salida de 11.14 Balanceo y Conciliación de Datos de 11.15 Revisión de Salida de Datos y Manejo 11.16 Provisiones de Seguridad para Reportes de 11.17 Protección de Información 11.18 Protección de Información de los Servicios de TI 3.4 Evaluación Independiente de la 3.5 Aseguramiento Independiente del Cumplimiento 3.6 Aseguramiento Independiente del Cumplimiento 3.7 Competencia de la Función de 3.8 Participación Proactiva de 4.0 Proveer Auditoría 4.1 Estatutos de Auditoría 4.2 Independencia 4.3 Ética y Estándares 4.4 Competencia 4.5 Planeación 4.6 Desempeño del Trabajo de 4.7 Reporte 4.8 Actividades de Seguimiento | ser Desechada 11.19 Administración de 11.20 Períodos de Retención y 11.21 Sistema de Administración de la 11.22 Responsabilidades de la de proveedores externos de servicios 11.23 Respaldo y Restauración 11.24 Funciones de Respaldo 11.25 Almacenamiento de Respaldo 11.26 Archivo 11.27 Protección de Mensajes 11.28 Autenticación e Integridad 11.29 Integridad de Transacciones 11.30 Integridad Continua de Datos 12.0 Administración de 12.1 Seguridad Física 12.2 Discreción de las Instalaciones de 12.3 Escolta de Visitantes 12.4 Salud y 12.5 Protección contra Factores 12.6 Suministro Ininterrumpido de 13.0 Administración de 13.1 Manual de 13.2 Documentación del Proceso de Inicio y 13.3 Calendarización de Trabajos 13.4 Salidas de la Calendarización de 13.5 Continuidad de Procesamiento 13.6 Bitácoras de 13.7 Operaciones Remotas MONITOREO 1.0 Monitoreo del Proceso 1.1 Recolección de Datos de 1.2 Evaluación de 1.3 Evaluación de la Satisfacción de 1.4 Reportes Gerenciales 2.0 Evaluar lo adecuado del Control 2.1 Monitoreo de Control Interno 2.2 Operación oportuna del Control 2.3 Reporte sobre el Nivel de Control 2.4 Seguridad de operación y aseguramiento 3.0 Obtención de Aseguramiento 3.1 Certificación / Acreditación 3.2 Certificación / Acreditación 3.3 Evaluación Independiente de la |
Autor:
Ivana Soledad Rojas Córsico
Estudiante del 5to. Año de la Carrera Ingeniería en Sistemas, Universidad
Tecnológica Nacional (Regional Córdoba)
Tema: Auditoría de
Sistemas de Información