TM
COBIT T Sumario Ejecutivo Abril de 1998 Segunda Edición Publicado por el Comité de Dirección de COBIT y la Information Systems Audit and Control Foundation. Versión preliminar en Español sujeta a aprobación de ISACF Traducción del texto aprobado en Inglés realizada por el Capítulo Buenos Aires Information Systems Audit and Control Association Av Corrientes 389, 5to piso (1327) Capital Federal - Argentina E- mail:
[email protected] Se hace reserva de todos los derechos Impreso en Argentina
LA MISIÓN DE COBIT: Investigar, desarrollar, publicar y promover una serie internacional, autorizada y actualizada de objetivos de control de tecnología de información generalmente aceptados para su uso diario por parte de auditores y gerentes de negocio.
COBIT
Descargo de responsabilidades La Fundación de Auditoría y Control de Sistemas de Información y los patrocinadores de COBIT: Objetivos de Control de Información y Tecnologías Relacionadas concibieron el producto fundamentalmente como recurso educativo para los profesionales dedicados al área de control. La Fundación y los patrocinadores de ninguna manera afirman que el uso de este producto garantizará un resultado satisfactorio. No debe considerarse que este producto incluye todos los procedimientos y pruebas correctos o que excluye otros procedimientos y pruebas orientados razonablemente a obtener los mismos resultados. Para determinar la conveniencia de un determinado procedimiento o de una prueba específica, el profesional a cargo de los controles deberá aplicar su propio criterio profesional a las circunstancias específicas de control que presenta el ambiente de sistemas o la tecnología de información en un caso determinado. Declaración Copyright © 1996, 1998 de The Information Systems Audit and Control Foundation (ISACF) (Fundación de Auditoría y Control de Sistemas de Información). Prohibida su reproducción para fines comerciales sin previa autorización por escrito de la ISACF. Por la presente se autoriza la reproducción del Sumario Ejecutivo, Marco y Objetivos de Control para fines no comerciales, uso interno, incluido el almacenamiento en un sistema de recuperación y su transmisión a través de cualquier medio, incluidos los medios electrónicos, mecánicos, de grabación u otros. Todas las copias del Sumario Ejecutivo, Marco y Objetivos de Control deben incluir
2
la siguiente declaración y reconocimiento de copyright: Copyright © 1996, 1998 de The Information Systems Audit and Control Foundation (Fundación de Auditoría y Control de Sistemas de Información). Reimpreso con autorización de la Fundación de Auditoría y Control de Sistemas de Información. No se concede ningún otro derecho o permiso con respecto a esta publicación. Las Pautas de Auditoría y el Conjunto de Herramientas de Implementación no podrán copiarse, almacenarse en un sistema de recuperación ni transmitirse de ninguna forma y por ningún medio, ya sea electrónico, mecánico, fotocopiado, grabación u otro, sin la autorización previa por escrito de ISACF. Con excepción de las declaraciones precedentes, no se concede ningún otro derecho o permiso con respecto a esta publicación. Fundación de Auditoría y Control de Sistemas de Información 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 E-mail:
[email protected] Web site: www.isaca.org ISBN ISBN
0-9629440-5-X (Objetivos de Control) 0-9629440-3-3 (Paquete completo de 5 libros con CD-ROM) Impreso en Estados Unidos de América.
OBJETIVOS DE CONTROL
SUMARIO EJECUTIVO
P
ara el éxito y la supervivencia de una organización la administración eficiente de la información y de la Tecnología de Información (TI) relacionada es sumamente crítica. En esta sociedad de información globalizada, en la cual la información viaja a través del ciberespacio sin limitaciones de tiempo, distancia ni velocidad, este problema surge de: • el aumento de la dependencia de la información y de los sistemas que la proveen; • el aumento de la vulnerabilidad y del amplio espectro de amenazas, tales como las ciberamenazas y la guerra de la información; • la escala y costos de las inversiones actuales y futuras en información y en sistemas de información; y • el potencial que poseen las tecnologías para cambiar drásticamente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos. Para muchas organizaciones, la información y la tecnología que le da soporte representan el bien más valioso. Más aún, en el ambiente actual extremadamente competitivo y de rápido cambio, la gerencia ha elevado sus expectativas respecto de las funciones de entrega de TI. En realidad, la información y los sistemas de información han penetrado en las organizaciones, desde las plataformas de usuarios a las redes de área local y amplia hasta los servidores de clientes y los sistemas mainframe. Es por ello que la gerencia requiere mayor calidad, funcionalidad y facilidad de uso; menor tiempo de entrega; y niveles de servicio en continua mejora, a la vez que demanda obtenerlos a menor costo. Muchas organizaciones reconocen los beneficios potenciales que puede producir la tecnología. Sin embargo, las organizaciones exitosas comprenden y manejan los riesgos asociados con la implementación de nuevas tecnologías. Por lo tanto, es necesario que la gerencia evalúe y comprenda básicamente los riesgos y las limitaciones de TI para proveer una
dirección eficaz y los controles adecuados. COBIT ayuda a llenar el vacío entre los riesgos de negocio, las necesidades de control y los temas técnicos. Provee buenas prácticas a través de un marco de dominio y proceso y presenta las actividades en una estructura manejable y lógica. Las “buenas prácticas” de COBIT significa el consenso de los expertos; le ayudarán a optimizar su inversión en información, y más aún, serán el instrumento por el cual se lo juzgará cuando las cosas no funcionen bien.
L
as organizaciones deben satisfacer los requerimientos de calidad, fiduciarios y de seguridad en lo que respecta a la información y a todos sus bienes. La gerencia debe optimizar el uso de los recursos disponibles incluyendo las personas, instalaciones, tecnología, sistemas de aplicación y datos. Para cumplir con las obligaciones emergentes de esta responsabilidad y para lograr sus objetivos, la gerencia debe establecer un sistema adecuado de control interno. Dicho sistema o marco debe brindar soporte a los procesos de negocio y debe ser claro en lo que atañe a la forma en la que cada actividad de control afecta a los recursos y satisface los requerimientos de información. En el Marco de COBIT se destaca el impacto sobre los recursos de TI junto con los requerimientos de negocio en cuanto a la efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información que deben satisfacerse. El control, que incluye políticas, estructuras organizacionales, prácticas y procedimientos, es responsabilidad de la gerencia. La gerencia, a través de su gobernabilidad corporativa debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de los sistemas de información. Un objetivo de control de TI constituye una declaración del resultado o fin que se desea lograr mediante la implementación de procedimientos de control específicos dentro del ámbito de una actividad de TI determinada.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
3
COBIT a orientación hacia el negocio es el tema principal de COBIT. Está concebido no sólo para que lo empleen los usuarios y auditores sino también, y lo que es más importante aún, para que lo utilicen los responsables de procesos de negocio como una lista de verificación integral. Cada vez más, las prácticas de negocio implican la total delegación a los responsables del proceso de negocio de la plena responsabilidad por todos los aspectos del proceso. En particular, esto incluye la provisión de controles adecuados. El Marco de COBIT ofrece una herramienta para el responsable de procesos de negocio que facilita el cumplimiento de las obligaciones inherentes a esta responsabilidad. Dicho Marco comienza con una premisa simple y pragmática: Es preciso administrar los recursos de TI por medio de una serie de procesos agrupados naturalmente, a fin de brindar la información que la organización necesita para lograr sus objetivos.
L
C
ontinúa con una serie de 34 objetivos de control de alto nivel, uno por cada proceso de TI, agrupados en cuatro dominios: planificación y organización, adquisición e implementación, entrega y soporte, y monitoreo. Esta estructura abarca todos los aspectos de la información y la tecnología que le da soporte. Al abordar estos 34 objetivos de control de alto nivel, el responsable del proceso de negocio podrá garantizar que se suministre un sistema de control adecuado para el ambiente de TI. Asimismo, para cada uno de los 34 objetivos de control de alto nivel encontrará una pauta de auditoría o garantía, que le permitirá revisar los procesos de TI en comparación con los 302 objetivos de control detallados recomendados por COBIT, para brindar a la gerencia garantía y/o asesoramiento para mejorar. COBIT contiene un Conjunto de Herramientas de Implementación que proveen información sobre la experiencia de aquellas organizaciones que aplicaron rápida y exitosamente COBIT en sus ambientes de trabajo. Incluye un Resumen Ejecutivo para que la gerencia senior se concientice y comprenda los conceptos importantes y los 4
principios de COBIT. La guía de implementación tiene dos herramientas útiles, Diagnóstico de Concientización de la Gerencia y Diagnóstico de Control de TI, que lo ayudarán a analizar el ambiente de control de TI de una organización. a gerencia de la organización necesita un marco de referencia de prácticas generalmente aplicables y aceptadas de gobernabilidad y control de TI a fin de efectuar el “benchmarking” de su ambiente de TI existente y planificado. COBIT es una herramienta que permite a los gerentes comunicarse y llenar el vacío con respecto a los requerimientos de control, los temas técnicos y los riesgos de negocio. COBIT posibilita el desarrollo de políticas claras y buenas prácticas para el control de TI en toda la organización, a nivel mundial. Es la meta de COBIT suministrar estos objetivos de control dentro del marco definido, y obtener el respaldo de las organizaciones comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, el objetivo de COBIT es ser la herramienta más avanzada para la gobernabilidad, control y auditoría de información que ayude a comprender y a administrar los riesgos asociados con la información y tecnologías relacionadas.
L
OBJETIVOS DE CONTROL
SUMARIO EJECUTIVO PROCESOS DE TI DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
5
COBIT ANTECEDENTES DESARROLLO DEL PRODUCTO COBIT
COBIT se desarrolló como una norma generalmente aplicable y aceptada de buenas prácticas para la seguridad y el control de tecnología de información (TI). COBIT es la herramienta más avanzada para la gobernabilidad, control y auditoría de información y tecnologías relacionadas. COBIT se basa en los Objetivos de Control de la Fundación de Auditoría y Control de Sistemas de Información (ISACF) ampliados con las normas internacionales vigentes y emergentes de índole técnica, profesional, regulatoria y específica de la industria. Los objetivos de control resultantes se elaboraron para su aplicación a los sistemas de información de toda la organización. El término “generalmente aplicable y aceptada” se emplea explícitamente en el mismo sentido que Principios de Contabilidad Generalmente Aceptados (PCGA). A los fines de COBIT, se entenderá por “buenas prácticas” el consenso de los expertos – le ayudarán a optimizar su inversión en información, y más aún, serán el instrumento por el cual se lo juzgará cuando las cosas no funcionen bien. La norma es relativamente reducida en cuanto a su dimensión y trata de ser pragmática y de responder a las necesidades de negocio con independencia de las plataformas técnicas de TI adoptadas en una organización. Se determinó que la mejora de los Objetivos de Control originales consistirá en: Û el desarrollo de un marco para el control de TI que sirva de base para los objetivos de control de TI y de fuerza impulsora de la investigación constante en materia de auditoría y control de TI; Û una alineación del marco general y los objetivos de control individuales con las normas y reglamentaciones internacionales vigentes de hecho y de derecho; 6
Û una revisión crítica de las distintas actividades y tareas subyacentes de los dominios de control de TI y, de ser posible, la especificación de los parámetros del desempeño pertinentes (normas, reglas, etc.), y Û una revisión crítica y una actualización de las pautas existentes para realizar auditorías de sistemas de información. Si bien no se excluyen otras normas aceptadas en el área de control de sistemas de información que pueden haber salido a la luz durante la investigación, se identificaron las siguientes fuentes: Normas técnicas ISO, EDIFACT, etc.; Códigos de conducta publicados por el Consejo de Europa, OECD, ISACA, etc.; Criterios de calificación de sistemas y procesos de TI: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Criterios Comunes, etc.; Normas profesionales de control interno y auditoría: Informe COSO, IFAC, AICPA, ISACA, IIA, PCIE, normas GAO, etc.; Prácticas y requerimientos de la industria emanados de foros de la industria (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI), etc.; y Requisitos emergentes específicos de la industria del sector bancario, del comercio electrónico y del sector de producción de TI. (Consulte el apéndice III, Glosario de Términos). DEFINICION DEL PRODUCTO COBIT
Como resultado del desarrollo de COBIT se publicó lo siguiente: • un Resumen Ejecutivo que, junto con esta sección de Antecedentes, consta de una Reseña Ejecutiva (que provee a la gerencia senior la concientización y la comprensión de los conceptos y los principios clave de COBIT) y el Marco (que provee a la gerencia senior OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
•
•
•
•
una comprensión más detallada de los conceptos y principios de COBIT, e identifica los cuatro dominios de COBIT y los 34 procesos de TI correspondientes); el Marco que describe detalladamente los 34 obje-tivos de control de TI de alto nivel de COBIT, e iden-tifica los requerimientos de negocio en cuanto a la información y a los recursos de TI principalmente afectados por cada objetivo de control; los Objetivos de Control que contienen las declaraciones de los resultados esperados o de las metas que se desean alcanzar a través de la implementación de 302 objetivos de control detallados y específicos a través de los 34 Procesos de TI; las Pautas de auditoría que contienen los pasos sugeridos de auditoría que corresponden a cada uno de los 34 objetivos de control de TI de alto nivel para ayudar a los auditores de sistemas de información a revisar los procesos de TI en comparación con los 302 objetivos de control detallados recomendados de COBIT para proveer a la gerencia la garantía y/o asesoramiento para lograr mejoras; y un Conjunto de Herramientas de Implementación que brinda la experiencia obtenida por aquellas organizaciones que aplicaron COBIT en forma rápida y con éxito en sus ambientes de trabajo.
El Conjunto de Herramientas de Implementación incluye la Reseña Ejecutiva, que brinda a la gerencia senior la concientización y la comprensión de COBIT. También incluye una guía de implementación con dos herramientas útiles – Management Awareness Diagnostic (Diagnóstico de Concientización de la Gerencia) e IT Control Diagnostic (Diagnóstico de Control de TI) – como ayuda para analizar el ambiente de control de TI de una organización. También se incluye una cantidad de estudios de casos con información sobre la forma en que las organizaciones en todo el mundo han implementado COBIT satisfactoriamente.
Además, se incluyen respuestas a las 25 preguntas sobre COBIT formuladas con mayor frecuencia y varias presentaciones de diapositivas para distintos niveles jerárquicos y de audiencia dentro de las organizaciones. EVOLUCION DEL PRODUCTO COBIT
COBIT evolucionará con el transcurso de los años y será la base de las futuras investigaciones. Por lo tanto, se generará así una familia de productos COBIT, y a medida que esto suceda, se perfeccionarán las tareas y actividades de TI que sirven como estructura para organizar los Objetivos de Control de TI y se revisará el balance entre los dominios y los procesos a la luz del “panorama cambiante” de la industria. Un agregado importante para la familia de productos COBIT es el desarrollo de Pautas de Gestión que incluyen los Factores Críticos del Exito, los Indicadores Clave del Desempeño y los Benchmarks. Este agregado proveerá a la gerencia de las herramientas para evaluar el ambiente de TI de sus organizaciones en comparación con los 34 Objetivos de Control de alto nivel de COBIT. Los Factores Críticos del Exito identificarán los temas/medidas más importantes que la gerencia debe considerar/tomar para llevar a cabo el control sobre sus procesos de TI. Los Indicadores Clave del Desempeño proveerán una medida del éxito que le indicará a la gerencia si un proceso de TI está logrando sus requerimientos de negocio. Los benchmarks definirán los niveles de madurez que podrá usar la gerencia para: (1) determinar el nivel de madurez actual de la organización; (2) determinar el nivel de madurez que se desea alcanzar, como función de sus riesgos y objetivos; y (3) proporcionar una base para comparar sus prácticas de control de TI con las normas de sus pares y/o de la industria. Este agregado le proveerá a la gerencia herramientas para evaluar el ambiente de TI de la organización en comparación con los 34 Objetivos de Control de alto nivel de COBIT. La investigación y la publicación fueron posibles
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
7
COBIT gracias a la importante colaboración de Unisys, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd., y Coopers & Lybrand. El Foro de Seguridad Europeo (ESF: European Security
Forum) ha generosamente aportado material de investigación al proyecto. Se recibieron otras donaciones de los Capítulos de ISACA y de miembros de todo el mundo.
Familia de Productos COBIT SUMARIO EJECUTIVO CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIÓN
-
MARCO con Objetivos de Control de Alto Nivel
8
PAUTAS DE GESTIÓN
OBJETIVOS DE CONTROL DETALLADOS
PAUTAS DE AUDITORÍA
Factores Críticos del Éxito
Indicadores Clave del Desempeño
Benchmarks
Sumario Ejecutivo Reseña Ejecutiva Estudio de Casos Preguntas Frecuentes Presentaciones en Power Point Guía de Implementación *Diagnóstico de Concientización de la Gerencia *Diagnóstico de Control de TI
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
EL MARCO COBIT DEFINICIÓN DEL AMBITO DE APLICACIÓN LA NECESIDAD DEL CONTROL DE LA TECNOLOGÍA DE INFORMACIÓN
En los últimos años, la necesidad de un marco de referencia para la seguridad y el control de la tecnología de información (TI) se presenta con una evidencia cada vez mayor ante los reguladores, legisladores, usuarios y prestadores de servicios. Para el éxito y la supervivencia de una organización la administración eficiente de la Tecnología de Información (TI) es sumamente crítica. En esta sociedad de información globalizada, en la cual la información viaja a través del ciberespacio sin limitaciones de tiempo, distancia ni velocidad, este problema surge de: • el aumento de la dependencia de la información y de los sistemas que la proveen; • el aumento de la vulnerabilidad y del amplio espectro de amenazas, tales como las ciberamenazas y la guerra de la información; • la escala y costos de las inversiones actuales y futuras en información y en sistemas de información; y • el potencial que poseen las tecnologías para cambiar drásticamente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos. Para muchas organizaciones, la información y la tecnología que le da soporte representan el bien más valioso. En realidad, la información y los sistemas de información han penetrado en las organizaciones, desde las plataformas de usuarios a las redes de área local y amplia hasta los servidores de clientes y los sistemas mainframe. Muchas organizaciones reconocen los beneficios potenciales que puede producir la tecnología. Sin embargo, las organizaciones exitosas comprenden y manejan los riesgos asociados con la implementación de nuevas tecnologías. Por lo tanto, es necesario que la gerencia evalúe y comprenda básicamente los riesgos y las limitaciones de TI para proveer una dirección eficaz y los controles adecuados.
La GERENCIA debe decidir lo que ha de invertir razonablemente en seguridad y control de TI y cómo equilibrar el riesgo y la inversión en control en un ambiente de TI a menudo imprevisible. Si bien la seguridad y el control de los sistemas de información ayudan a manejar los riesgos, no los elimina. Además, el nivel exacto de riesgo nunca se puede conocer ya que siempre hay cierto grado de incertidumbre. Por último, la gerencia debe decidir el nivel de riesgo que está dispuesta a aceptar. Determinar qué nivel se puede tolerar, en especial cuando se lo compara con el costo, puede constituir una difícil decisión de gestión. Por lo tanto, la gerencia necesita un marco de prácticas generalmente aceptadas de seguridad y control de TI a fin de efectuar el “benchmarking” de su ambiente de TI existente y planificado. Los USUARIOS de servicios de TI tienen una creciente necesidad de que se les garantice, a través de la acreditación y auditoría de los servicios de TI provistos a nivel interno o por terceros, de que existen seguridad y control adecuados. Sin embargo en la actualidad la implementación de buenos controles de TI en sistemas de información, ya sea que se trate de organizaciones comerciales, de instituciones sin fines de lucro o de entidades gubernamentales, se vio obstaculizada por la confusión. La confusión surge de los distintos métodos de evaluación que existen, tales como las evaluaciones ITSEC, TCSEC, ISO 9000, las emergentes de control interno de COSO, etc. En consecuencia, los usuarios necesitan en primer lugar que se establezca un fundamento general. Con frecuencia, los AUDITORES tomaron la iniciativa en los esfuerzos de estandarización internacional ya que continuamente se enfrentan con la necesidad de justificar el dictamen sobre el control interno que presentan a la gerencia. Sin un marco de referencia, esta tarea es extremadamente difícil. Acreditan lo dicho varios estudios realizados recientemente acerca de la forma en que los auditores juzgan situaciones complejas de seguridad y control de
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
9
COBIT TI, estudios estos que se llevaron a cabo casi simultáneamente en distintas partes del mundo. Además, la gerencia solicita cada vez más a los auditores que asesoren y aconsejen de modo proactivo en asuntos relacionados con la seguridad y el control de TI. EL AMBIENTE DE NEGOCIO: COMPETENCIA, CAMBIOS Y COSTOS
La competencia mundial está aquí. Las organizaciones se están reestructurando a fin de modernizar sus opera-ciones y simultáneamente aprovechar los avances en TI a fin de mejorar su posición competitiva. La reingenie-ría de negocio, el dimensionamiento correcto, la tercerización, la delegación, las organizaciones horizontales, el procesamiento distribuido, son todos cambios que afectan la forma en que operan las organizaciones de negocio y gubernamentales. Estos cambios tienen y seguirán teniendo profundas repercusiones en las estructuras de control administrativo y operativo en el seno de las organizaciones a nivel mundial. El énfasis en el logro de una ventaja competitiva y la efectividad en cuanto a costos implica que se depende cada vez más de la tecnología como principal componente de la estrategia de la mayoría de las organizaciones. La automatización de las funciones organizacionales está determinando, por su propia naturaleza, la incorporación de mecanismos de control más potentes en computadoras y redes, basadas en hardware y software. Asimismo, las características estructurales fundamentales de estos controles están evolucionando al mismo ritmo y de la misma manera repentina que las tecnologías subyacentes de computadoras y redes. En este contexto de cambios acelerados, si los gerentes, especialistas en sistemas de información y auditores han de desempeñar realmente sus roles con efectividad, sus habilidades deben evolucionar con la misma rapidez que lo hacen la tecnología y el ambiente. Debe entenderse la tecnología de los controles y su naturaleza cambiante si han de aplicarse criterios razonables y prudentes para evaluar las prácticas de control presentes en las organizaciones típicas de negocio o 10
gubernamentales.
RESPUESTA A LA NECESIDAD
En vista de estos cambios permanentes, el desarrollo de este marco para los objetivos de control de TI, junto con la investigación aplicada permanente en materia de controles de TI basada en este marco, constituyen las piedras angulares del progreso efectivo en el campo de control de información y tecnologías relacionadas. Por un lado, fuimos testigos del desarrollo y la publicación de los modelos generales de control de negocio como COSO [Comité de Organizaciones Patrocinantes del Marco Integrado de Control Interno de la Comisión Treadway, 1992] en los EE.UU., Cadbury en el Reino Unido y CoCo en Canadá y King en Sudáfrica. Por otro lado, existe una cantidad importante de modelos más centrados en el control a nivel de TI. Podemos citar como ejemplos de esta última categoría el Código de Conducta de Seguridad de la DTI (Secretaría de Industria y Comercio del Reino Unido) y el Manual de Seguridad del NIST (Instituto Nacional de Normas y Tecnología de los EE.UU.). Sin embargo, estos modelos centrados en el control no ofrecen un modelo integral y útil de control sobre la tecnología de información que apoye los procesos de negocio. COBIT tiene por objeto superar esta brecha brindando una base que esté íntimamente vinculada con los objetivos de negocio y que paralelamente se centre en la tecnología de información. Al centrarnos en los requerimientos de negocio para los controles de TI y la aplicación de modelos de control emergentes y normas internacionales relacionadas, se generó un proceso de evolución en el que los objetivos de control dejaron de ser una herramienta exclusiva de los auditores para convertirse en COBIT, una herramienta de los gerentes. Así, COBIT es la herramienta más avanzada para la gobernabilidad, control y auditoría de información que ayuda a la gerencia a OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) comprender y a administrar los riesgos asociados con la información y tecnologías relacionadas. En consecuencia, el principal objetivo del proyecto COBIT es el desarrollo de políticas claras y buenas prácticas en materia de seguridad y control de TI, y obtener el respaldo de las organizaciones comerciales, gubernamentales y profesionales en general. La meta del proyecto fue desarrollar estos objetivos de control fundamentalmente desde el punto de vista de los objetivos y las necesidades de negocio. Esto encuadra en la perspectiva de COSO que es, sobre todo, un marco de administración del control interno. Posteriormente, se desarrollaron los objetivos de control desde el punto de vista de los objetivos de auditoría (certificación de información financiera, certificación de medidas de control interno, eficiencia y efectividad, etc.). DESTINATARIOS: LA GERENCIA, USUARIOS Y AUDITORES
COBIT está concebido para tres tipos diferentes de destinatarios: GERENTES: para ayudarlos a equilibrar el riesgo y la inversión en controles en un ambiente de TI a menudo imprevisible. USUARIOS: para obtener la garantía de la seguridad y los controles de los servicios de TI provistos por personal de la organización o por terceros. AUDITORES DE SISTEMAS DE INFORMACIÓN: para respaldar sus opiniones y/o aconsejar a la gerencia con respecto a los controles internos. Además de responder a las necesidades de los destinatarios inmediatos –gerentes senior, auditores y profesionales en el área de seguridad y control -, COBIT puede ser utilizado en las organizaciones por los responsables de procesos de negocio a fin de afrontar su responsabilidad por el control de los aspectos de información de
los procesos así como también por los responsables de TI de la organización. ORIENTACIÓN DE LOS OBJETIVOS DE NEGOCIO
Los Objetivos de Control conforman un vínculo claro y preciso con los objetivos de negocio para respaldar su uso fuera de la comunidad de auditoría. Los Objetivos de Control están definidos en un modo orientado al proceso siguiendo el principio de reingeniería de negocio. En dominios y procesos identificados, se determina un objetivo de control de alto nivel y se brindan los fundamentos para documentar el vínculo con los objetivos de negocio. Además, se proporcionan consideraciones y pautas para definir e implementar el Objetivo de Control de TI. La clasificación de los dominios donde se aplican los objetivos de control de alto nivel (dominios y procesos), una indicación de los requerimientos de negocio para la información en ese dominio, así como también los recursos de TI afectados primariamente por el objetivo de control, conforman el Marco COBIT. El Marco se basa en las actividades de investigación que han identificado a los 34 objetivos de control de alto nivel y a los 302 objetivos de control detallados. El Marco se puso a disposición de la industria de TI y los profesionales de auditoría para brindar una oportunidad de revisión, expresar objeciones y comentarios. Las opiniones obtenidas fueron incorporadas oportunamente. DEFINICIONES
A los fines de este proyecto, se ofrecen las siguientes definiciones. El término “Control” está adaptado del Informe COSO [Comité de Organizaciones Patrocinantes del Marco Integrado de Control Interno de la Comisión Treadway, 1992] y el término “Objetivo de control de TI” fue adaptado del informe SAC [Informe de Auditoría y Control de Sistemas, Fundación de Investigación del Instituto de Auditores Internos, 1991 y 1994].
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
11
COBIT El control se define como
12
Las políticas, los procedimientos, las prácticas y las estructuras organizacionales concebidas para brindar una garantía razonable de que los objetivos de negocio se lograrán y que los eventos no deseados se impedirán o detectarán y corregirán.
El objetivo de Una declaración del resultado control de TI se o fin que se desea lograr define como mediante la implementación de procedimientos de control en una actividad de TI determinada.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
PRINCIPIOS DEL MARCO DE REFERENCIA En la actualidad se dispone de dos categorías diferentes de modelos de control, los de la categoría del “modelo de control de negocio” (por ejemplo, COSO) y los “modelos de control más centrados en TI” (por ejemplo, DTI). COBIT trata de superar la brecha que existe entre estas dos categorías y, por su posición, resultará ser una herramienta más completa para la gerencia y operará a un nivel más alto que las normas de tecnología para los gerentes de sistemas de información. Así, COBIT es el modelo para la gobernabilidad, control y auditoría de TI. El concepto que sustenta el Marco COBIT es que el control de TI se aborda considerando la información que se necesita para dar soporte a los objetivos o requerimientos de negocio y considerando la información como el resultado de la aplicación combinada de los recursos relacionados con TI que es preciso administrar por medio de los procesos de TI.
Para lograr los objetivos de negocio, es preciso que la información se ajuste a determinados criterios a los que COBIT denomina requerimientos de información del negocio. Para establecer la lista de requerimientos, COBIT combina los principios incorporados en los modelos de referencia existentes y conocidos:
Requerimientos de calidad
Calidad Costo Entrega
Requerimientos fiduciarios (Informe COSO)
Efectividad y eficiencia de las operaciones Confiabilidad de la información Cumplimiento de las leyes y reglamentaciones
Requerimientos de seguridad
Confidencialidad Integridad Disponibilidad
El criterio de Calidad se conserva fundamentalmente por su aspecto “negativo” (ausencia de fallas, confiabilidad, etc.) que también se captura en gran medida en el criterio de Integridad. En una época, no se consideraron los aspectos positivos pero menos tangibles de la calidad (estilo, cualidades atractivas, aspecto y presentación, desempeño superior al esperado, etc.) desde el punto de vista de los objetivos de control de TI. La premisa es que la primera prioridad debe estar orientada a la correcta administración de los riesgos en contraposición a las oportunidades. El aspecto utilitario de la Calidad está cubierto por el criterio de Efectividad. Se consideró que el aspecto de la Calidad en relación con la Entrega se superponía con el relativo a la Disponibilidad de los requerimientos de Seguridad y también en cierta medida con la Efectividad y Eficiencia. Por último, también se considera que el “costo” está cubierto por la Eficiencia. Con respecto a los requerimientos fiduciarios, COBIT no intenta reinventar la rueda; se utilizaron las definiciones de COSO de efectividad y eficiencia de las operaciones, confiabilidad de la información y cumplimiento de las leyes y reglamentaciones. Sin embargo, la confiabilidad de la información se amplió para incluir toda la información, no sólo la
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
13
COBIT información financiera. Con respecto a los requerimientos de seguridad, COBIT identificó la confidencialidad, integridad, y disponibilidad como elementos clave; se descubrió que estos mismos tres elementos son utilizados mundialmente para describir los requerimientos de seguridad de TI.
presente y en el futuro. También se asocia con la protección de los recursos necesarios y las capacidades asociadas. Cumplimiento
A partir del análisis de los requerimientos más amplios de Calidad, Informes Fiduciarios y Seguridad, se extrajeron siete categorías diferentes que indudablemente se superponen. En la siguiente tabla se ofrecen las definiciones de trabajo de COBIT: Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
14
se refiere a la relevancia y pertinencia de la información para el proceso de negocio y a su entrega en forma oportuna, correcta, consistente y útil. se vincula con la provisión de información mediante el uso óptimo (el más productivo y económico) de los recursos. se refiere a la protección de la información crítica contra su divulgación no autorizada. se vincula con la exactitud y la totalidad de la información así como también con su validez de acuerdo con los valores y las expectativas de negocio. se vincula con el hecho de que la información se encuentre disponible cuando la necesite el proceso de negocio en el
Confiabilidad de la información
se refiere al cumplimiento de las leyes, reglamentaciones y disposiciones contractuales a las que está sujeto el proceso de negocio, vale decir, los criterios de negocio impuestos a nivel externo. se vincula con la provisión de la información adecuada para que la gerencia maneje la entidad y ejerza sus responsabilidades de presentación de informes financieros y de cumplimiento.
Los recursos de TI identificados en COBIT se pueden explicar/definir del siguiente modo: Datos
objetos en su sentido más amplio (es decir, internos y externos), estructurados y no estructurados, gráficos, sonido, etc.
Sistemas de aplicación
Se entiende por tales la suma de los procedimientos manuales y programados.
Tecnología
La tecnología abarca el hardware, los sistemas operativos, los sistemas de administración de bases de datos, las redes, los multimedios, etc. OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) Instalaciones Personas
Recursos utilizados para alojar y dar soporte a los sistemas de información. Habilidades, aptitudes, conocimiento y productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de información.
El dinero o capital no se mantuvo como recurso de TI en la clasificación de los objetivos de control ya que puede considerarse como la inversión que se realiza en cualquiera de los
recursos antes mencionados. El Marco no se refiere específicamente a la documentación de todos los asuntos importantes que guarden relación con un proceso de TI en particular. Como buena práctica, la documentación se considera esencial para el buen control y, por lo tanto, la falta de documentación sería la causa de otras revisiones y análisis de los controles compensatorios en cualquier área específica sujeta a revisión.
Otro modo de considerar la relación de los recursos de TI con la prestación de servicios se describe a continuación:
EVENTOS
INFORMACIÓN
Objetivos de negocio Oportunidades de negocio Requerimientos externos Reglamentaciones Riesgos
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
15
COBIT PRINCIPIOS DEL MARCO DE REFERENCIA, cont. Para garantizar que se cumplan los requerimientos de negocio en cuanto a la información, las medidas de control adecuadas necesitan ser definidas, implementadas y monitoreadas sobre estos recursos. ¿Cómo pueden las organizaciones convencerse de que la información que obtienen presenta las características que necesitan? Este es el punto donde se requiere un marco de Objetivos de Control de TI coherente. En el siguiente diagrama se ilustra este concepto.
naturalmente en dominios. Su agrupamiento natural a menudo se concibe como dominios de responsabilidad en una estructura organizacional y encuadra en el ciclo de administración o el ciclo de vida aplicable a los procesos de TI.
Dominios
Procesos
Actividades/ Tareas
El Marco COBIT consiste en los Objetivos de Control de alto nivel y una estructura general para su clasificación. La teoría subyacente de la clasificación es que hay, en esencia, tres niveles de esfuerzos de TI al considerar la administración de los recursos de TI. Comenzando por la base, se encuentran las actividades y tareas necesarias para lograr un resultado mensurable. Las actividades se asocian con el concepto de ciclo de vida mientras que se considera que las tareas son más discretas. El concepto de ciclo de vida incluye requerimientos de control típicos que son diferentes de las actividades discretas. Luego, los procesos se definen una capa más arriba como una serie de actividades o tareas vinculadas con cortes (de control) naturales. En el nivel más alto, los procesos se agrupan 16
Así, el marco conceptual se puede considerar desde tres posiciones ventajosas: (1) el Criterio de Información, (2) los Recursos de TI, y (3) los Procesos de TI. Por ejemplo, los gerentes pueden aplicar un interés de calidad, fiduciario o de seguridad (incluido en el Marco como siete criterios de información específicos). Un gerente de TI, por otro lado, puede considerar los recursos de TI por los que es responsable. Los responsables del proceso, los especialistas de TI, y los usuarios pueden tener un interés específico en procesos o actividades/tareas específicas. Los auditores pueden querer abordar el Marco desde un punto de vista de cobertura de control. Estas tres posiciones ventajosas se describen en el Cubo COBIT.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) Adquisición e Implementación
Para realizar la estrategia de TI, deben identificarse, desarrollarse o adquirirse soluciones de TI y luego implementarse e integrarse en el proceso de negocio. Además, este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar que el ciclo de vida perdure para estos sistemas.
Entrega y Soporte
En este dominio nos ocupamos de la entrega o prestación efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación. Para prestar los servicios, deben establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento real de los datos por los sistemas de aplicación, a menudo clasificados como controles de aplicaciones.
Monitoreo
Es preciso evaluar regularmente todos los procesos de TI a medida que transcurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. De este modo este dominio corresponde a la vigilancia de la gerencia sobre los procesos de control de la organización y la garantía independiente provista por la auditoría interna y externa u obtenida de fuentes alternativas.
Considerando la figura anterior como marco, los dominios se identifican utilizando los términos que la gerencia utiliza en las actividades diarias de la organización, en lugar de la jerga de los auditores. De ese modo, se identifican cuatro dominios generales: planificación y organización; adquisición e implementación; entrega y soporte y monitoreo. Las definiciones de los cuatro dominios identificados para la clasificación de alto nivel son: Planificación y Organización
Este dominio abarca la estrategia y la táctica y se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos de negocio. Además, es preciso planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. Por último, debe existir una correcta organización e infraestructura tecnológica.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
17
COBIT En síntesis, es preciso administrar los recursos de TI por medio de una serie de procesos agrupados naturalmente, a fin de brindar la información que la organización necesita para lograr sus objetivos. En el siguiente diagrama se ilustra este concepto:
que ser efectivo al cumplir los requerimientos de disponibilidad, integridad y confidencialidad. Resulta claro que todas las medidas de control no necesariamente satisfarán los distintos requerimientos de información de negocio con el mismo alcance. • primario
• secundario
• en blanco
Se debe tener en cuenta que estos procesos pueden ser aplicados en diferentes niveles dentro de la organización. Por ejemplo, algunos de estos procesos se aplicarán a nivel corporativo, otros a nivel de función de servicios de información, otros a nivel de responsables del proceso de negocio, etc. También se debe tener en cuenta que el criterio de efectividad de los procesos que planifican o presentan soluciones para los requerimientos de negocio algunas veces cubrirá los criterios de disponibilidad, integridad y confidencialidad; en la práctica, se han convertido en requerimientos de negocio. Por ejemplo, el proceso de “identificación de soluciones” tiene 18
es el grado con el cual el objetivo de control definido impacta directamente sobre el requerimiento de información pertinente. es el grado con el cual el objetivo de control definido sólo satisface en menor medida o indirectamente el requerimiento de información pertinente. puede ser aplicable; sin embargo, los requerimientos se satisfacen más adecuadamente a través de otro criterio de este proceso y/o por otro proceso.
Del mismo modo, todas las medidas de control no necesariamente impactarán los distintos recursos de TI con el mismo alcance. Por lo tanto, el Marco COBIT indica de manera específica la aplicabilidad de los recursos de TI que son administrados en forma específica por el proceso bajo consideración (no aquellos que sólo participan en el proceso). Esta clasificación se realiza dentro del Marco COBIT en base al mismo proceso riguroso de información por parte de investigadores, expertos y revisores, utilizando las definiciones precisas indicadas anteriormente. OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
CUADRO SINÓPTICO El siguiente cuadro ofrece una indicación, por proceso y dominio de TI, cuyos criterios de información son afectados por los objetivos
de control de alto nivel, así como también la indicación de cuáles recursos de TI son aplicables.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
19
ALEMANIA ANTILLAS ARABIASAUDITA ARGENTINA
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Un único centro de consulta internacional en controles de Tecnología de Información
AUSTRIA BAHAMAS BAHREIN BARBADOS BÉLGICA BERMUDA BOLIVIA BRASIL BULGARIA CANADÁ CHILE CHINA CHIPRE COLOMBIA COREA COSTA RICA CUBA DINAMARCA ECUADOR EE.UU.
La Information Systems Audit and Control Association es una organización de profesionales líder a nivel mundial con representación en más de 100 países, que abarca todos los niveles de TI: ejecutivo, gerencia senior, gerencia de nivel intermedio y profesionales. La Asociación se encuentra en una posición exclusiva para desempeñar el rol de un ente centralizador y unificador de normas relativas a las prácticas de control de TI para todo el mundo. Sus alianzas estratégicas con otros grupos en el ámbito financiero, contable, de auditoría y de TI garantizan un nivel inigualable de integración y compromiso por parte de los responsables de procesos de negocio.
EGIPTO EMIRATOSÁRABESUNIDOS ESCOCIA ESLOVENIA ESPAÑA ESTONIA FILIPINAS FINLANDIA FRANCIA GALES GHANA GRECIA GUAM HOLANDA HONG KONG HUNGRÍA INDIA INDONESIA IRLANDA ISLANDIA
ITALIA JAMAICA JAPÓN JORDANIA
ARUBA AUSTRALIA
ISRAEL
Programas y servicios
Los servicios y programas de la Asociación han sido distinguidos por establecer los máximos niveles de excelencia en materia de certificación, normas, capacitación profesional y publicaciones técnicas. • Su programa de certificación (Certified Information Systems Auditor) es el único que brinda este título a nivel mundial en toda la comunidad de auditoría y control de TI. • Sus actividades referentes a las normas establecen las bases de calidad en virtud de la cual se miden las demás
actividades de auditoría y control de TI. • Su programa de capacitación profesional ofrece conferencias técnicas y de administración en los cinco continentes así como también seminarios a nivel mundial con el propósito de ayudar a los profesionales de todo el mundo a recibir capacitación permanente de alta calidad. • Su área de publicaciones técnicas brinda bibliografía y materiales de desarrollo profesional, que se suman a su distinguida selección de programas y servicios. La Information Systems Audit and Control Association se creó en el año 1969 con el objeto de satisfacer las necesidades exclusivas, diversas y de alta tecnología del campo de TI en constante crecimiento. En una industria en que el progreso se mide en nanosegundos, ISACA se moviliza con agilidad y celeridad a fin de dar respuesta a las necesidades de la comunidad internacional de negocios y a los profesionales en el área de controles de TI. Para obtener mayor información
Si desea recibir mayor información, puede comunicarse telefónicamente con la institución llamando al (+1.847.253.1545), enviar un e-mail (
[email protected].), o bien puede visitar nuestra página web (http://www.isaca.org).
KENIA KUWAIT LATVIA LÍBANO LIETCHTENSTEIN LUXEMBURGO MALASIA MALTA MAURICIO MÉXICO MICRONESIA NAURU NIGERIA NORUEGA NUEVAGUINEA NUEVAZELANDA OMÁN PANAMÁ PERÚ POLONIA PORTUGAL QATAR REINO UNIDO REPÚBLICACHECA REPÚBLICADOMINICANA SEYCHELLES SINGAPUR SIRIA SRI LANKA SUDÁFRICA SUECIA SUIZA TAILANDIA TAIWÁN TASMANIA TRINIDADY TOBAGO TURQUÍA URUGUAY VENEZUELA ZAMBIA ZIMBABWE
TM
COBIT T Marco Abril de 1998 Segunda Edición
Publicado por el Comité de Dirección de COBIT y la Information Systems Audit and Control Foundation. Versión preliminar en Español sujeta a aprobación de ISACF Traducción del texto aprobado en Inglés realizada por el Capítulo Buenos Aires Information Systems Audit and Control Association Av Corrientes 389, 5to piso (1327) Capital Federal - Argentina E- mail:
[email protected] Se hace reserva de todos los derechos Impreso en Argentina
LA MISIÓN DE COBIT: Investigar, desarrollar, publicar y promover una serie internacional, autorizada y actualizada de objetivos de control de tecnología de información generalmente aceptados para su uso diario por parte de auditores y gerentes de negocio.
ALEMANIA ANTILLAS ARABIASAUDITA ARGENTINA
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Un único centro de consulta internacional en controles de Tecnología de Información
AUSTRIA BAHAMAS BAHREIN BARBADOS BÉLGICA BERMUDA BOLIVIA BRASIL BULGARIA CANADÁ CHILE CHINA CHIPRE COLOMBIA COREA COSTA RICA CUBA DINAMARCA ECUADOR EE.UU. EGIPTO
La Information Systems Audit and Control Association es una organización de profesionales líder a nivel mundial con representación en más de 100 países, que abarca todos los niveles de TI: ejecutivo, gerencia senior, gerencia de nivel intermedio y profesionales. La Asociación se encuentra en una posición exclusiva para desempeñar el rol de un ente centralizador y unificador de normas relativas a las prácticas de control de TI para todo el mundo. Sus alianzas estratégicas con otros grupos en el ámbito financiero, contable, de auditoría y de TI garantizan un nivel inigualable de integración y compromiso por parte de los responsables de procesos de negocio.
EMIRATOSÁRABESUNIDOS ESCOCIA ESLOVENIA ESPAÑA ESTONIA FILIPINAS FINLANDIA FRANCIA GALES GHANA GRECIA GUAM HOLANDA HONG KONG HUNGRÍA INDIA INDONESIA IRLANDA ISLANDIA
ITALIA JAMAICA JAPÓN JORDANIA
ARUBA AUSTRALIA
ISRAEL
Programas y servicios
Los servicios y programas de la Asociación han sido distinguidos por establecer los máximos niveles de excelencia en materia de certificación, normas, capacitación profesional y publicaciones técnicas. • Su programa de certificación (Certified Information Systems Auditor) es el único que brinda este título a nivel mundial en toda la comunidad de auditoría y control de TI. • Sus actividades referentes a las normas establecen las bases de calidad en virtud de la cual se miden las demás
actividades de auditoría y control de TI. • Su programa de capacitación profesional ofrece conferencias técnicas y de administración en los cinco continentes así como también seminarios a nivel mundial con el propósito de ayudar a los profesionales de todo el mundo a recibir capacitación permanente de alta calidad. • Su área de publicaciones técnicas brinda bibliografía y materiales de desarrollo profesional, que se suman a su distinguida selección de programas y servicios. La Information Systems Audit and Control Association se creó en el año 1969 con el objeto de satisfacer las necesidades exclusivas, diversas y de alta tecnología del campo de TI en constante crecimiento. En una industria en que el progreso se mide en nanosegundos, ISACA se moviliza con agilidad y celeridad a fin de dar respuesta a las necesidades de la comunidad internacional de negocios y a los profesionales en el área de controles de TI. Para obtener mayor información
Si desea recibir mayor información, puede comunicarse telefónicamente con la institución llamando al (+1.847.253.1545), enviar un e-mail (
[email protected].), o bien puede visitar nuestra página web (http://www.isaca.org).
KENIA KUWAIT LATVIA LÍBANO LIETCHTENSTEIN LUXEMBURGO MALASIA MALTA MAURICIO MÉXICO MICRONESIA NAURU NIGERIA NORUEGA NUEVAGUINEA NUEVAZELANDA OMÁN PANAMÁ PERÚ POLONIA PORTUGAL QATAR REINO UNIDO REPÚBLICACHECA REPÚBLICADOMINICANA SEYCHELLES SINGAPUR SIRIA SRI LANKA SUDÁFRICA SUECIA SUIZA TAILANDIA TAIWÁN TASMANIA TRINIDADY TOBAGO TURQUÍA URUGUAY VENEZUELA ZAMBIA ZIMBABWE
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
TABLA DE CONTENIDO Agradecimientos
5-6
Sumario Ejecutivo
7-9
Antecedentes
10-12
El Marco COBIT Definición del Ambito de Aplicación
13-16
Principios del Marco de Referencia
17-22
Síntesis - Objetivos de Control de Alto Nivel Guía de uso del Marco COBIT
23 24-26
Detalle - Objetivos de Control de Alto Nivel para TI
27-60
Apéndices I. Descripción del Proyecto COBIT
61-63
II. Bibliografía principal
64-66
III. Glosario de Términos
67-68
Descargo de responsabilidades La Fundación de Auditoría y Control de Sistemas de Información y los patrocinadores de COBIT: Objetivos de Control de Información y Tecnologías Relacionadas concibieron el producto fundamentalmente como recurso educativo para los profesionales dedicados al área de control. La Fundación y los patrocinadores de ninguna manera afirman que el uso de este producto garantizará un resultado satisfactorio. No debe considerarse que este producto incluye todos los procedimientos y pruebas correctos o que excluye otros procedimientos y pruebas orientados razonablemente a obtener los mismos resultados. Para determinar la conveniencia de un determinado procedimiento o de una prueba específica, el profesional a cargo de los controles deberá aplicar su propio criterio profesional a las circunstancias específicas de control que presenta el ambiente de sistemas o la tecnología de información en un caso determinado. Declaración Copyright © 1996, 1998 de The Information Systems Audit and Control Foundation (ISACF) (Fundación de Auditoría y Control de Sistemas de Información). Prohibida su reproducción para fines comerciales sin previa autorización por escrito de la ISACF. Por la presente se autoriza la reproducción del Sumario Ejecutivo, Marco y Objetivos de Control para fines no comerciales, uso interno, incluido el almacenamiento en un sistema de recuperación y su transmisión a través de cualquier medio, incluidos los medios electrónicos, mecánicos, de grabación u otros. Todas las copias del Sumario Ejecutivo, Marco y Objetivos de Control deben incluir la siguiente declaración y reconocimiento de copyright: Copyright © 1996, 1998 de The Information Systems Audit and Control Foundation (Fundación de Auditoría y Control de Sistemas de Información). Reimpreso con autorización de la Fundación de Auditoría y Control de Sistemas de Información. No se concede ningún otro derecho o permiso con respecto a esta publicación. Las Pautas de Auditoría y el Conjunto de Herramientas de Implementación no podrán copiarse, almacenarse en un sistema de recuperación ni transmitirse de ninguna forma y por ningún medio, ya sea electrónico, mecánico, fotocopiado, grabación u otro, sin la autorización previa por escrito de ISACF. Con excepción de las declaraciones precedentes, no se concede ningún otro derecho o permiso con respecto a esta publicación. Fundación de Auditoría y Control de Sistemas de Información 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 E-mail:
[email protected] Web site: www.isaca.org ISBN ISBN
0-9629440-5-X (Objetivos de Control) 0-9629440-3-3 (Paquete completo de 5 libros con CD-ROM) Impreso en Estados Unidos de América.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
31
COBIT AGRADECIMIENTOS PRINCIPALES EMPRESAS PATROCINANTES MUNDIALES
EMPRESAS PATROCINANTES ASOCIADAS Fellesdata p/a, Noruega NoviT p/a, Noruega
PRINCIPALES CAPÍTULOS PATROCINANTES
DE ISACA
Benelux Area Capital Nacional Area Metropolitana de Nueva York
Noruega Toronto
CAPÍTULOS DE ISACA PATROCINANTES ASOCIADOS Adelaide Alabama del Norte Arkansas Central Atlanta Auckland Austin Bangkok Brisbane Canberra Denver Detroit Filadelfia Finlandia Gran Hartford Hawaii Houston Hudson Valley Indiana Central Indonesia Londres Los Angeles Maryland Central Minnesota
Nueva Inglaterra Nueva Jersey Nueva México Ohio Noreste Pittsburgh Puget Sound Reino Unido Norte Research Triangle Sacramento San Diego Santiago de Chile Seúl St. Louis Suecia Tennessee Medio Texas del Norte Texas del Sur Tokio Tulsa Victoria Virginia Wellington Winnipeg
CONTRIBUYENTES INDIVIDUALES Bill Bartgis John Beveridge William Bialkowski Allen Bragan Maryanne S. Canant Michael Donahue John Lainhart Akira Matsuo
4
OBJETIVOS DE CONTROL
Teresa McCauley Robert G. Parker Daniel Ramos Deepak Sarup Lily Shue Patrick Stachtchenko Kevin Weston
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
AGRADECIMIENTOS EQUIPO DEL PROYECTO
REVISIÓN ESPECIALIZADA, EE.UU.
Erik Guldentops, S.W.I.F.T.S.C., Bélgica Eddy Schuermans, Coopers & Lybrand, Bélgica Thomas Lamm, ISACF, EE.UU.
Prof. Ulric J. Gelinas, Bentley College John Hayes, Price Waterhouse LLP Greg Hedges, Arthur Andersen & Co., S.C. Dave Kent, Price Waterhouse LLP Tom Kothe, Ernst & Young LLP John Lainhart, Inspector General, Cámara de Diputados de la Nación, EE.UU. Robert Roussey, University of Southern California
COMITÉ DE DIRECCIÓN DEL PROYECTO Erik Guldentops, S.W.I.F.T.S.C., Bélgica John Beveridge, Departamento de Auditoría del Estado, Massachusetts, EE.UU. Prof. Dr. Bart De Schutter, Vrije Universiteit de Bruselas, Presidente BRT Bélgica Gary Hardy, Arthur Andersen, Reino Unido John Lainhart, Inspector General, Cámara de Diputados de la Nación, EE.UU. Akira Matsuo, Chuo Audit Corporation, Japón Eddy Schuermans, Coopers & Lybrand, Bélgica Paul Williams, Arthur Andersen, Reino Unido Thomas Lamm, ISACF, EE.UU.
INVESTIGADORES Vrije Universiteit Amsterdam, Holanda Prof. M.E. Van Biene-Hershey René Barlage, RB Consultores Universidad Politécnica de California, EE.UU. Prof. Dan Manson, Investigador Jefe
REVISIÓN ESPECIALIZADA, EUROPA Chris Bagot, OTAN René Barlage, RB Consultores Prof. Dr. Henri Beker, Zergo, Ltd. John Beveridge, Ex-presidente Internacional de ISACA Erik Guldentops, S.W.I.F.T. S.C. Gary Hardy, Arthur Andersen Eddy Schuermans, Coopers & Lybrand Alan Stanley, Forum de Seguridad Europeo Danny Van Riel, Johnson & Johnson Bram Vandenberg, Ernst & Young
CERTIFICACIÓN DE CALIDAD Gary Austin, GAO Chris Bagot, OTAN Rick Beatty, California Federal Bank Peter De Koninck, Coopers & Lybrand Balencia Dozier, Manufacturers Bank Doris Gin, Arthur Andersen & Co. LLP A.I. Heijkamp, Computercentrum VSB Max Huijbers, Rijkscomputercentrum Peter Maertens, OTAN Bill Pepper, Zergo, Ltd. Mark Stanley, Santa Bargara Bank Tjerk Terpstra, Inter Access Mark Wheeler, Farmers Insurance Carla Williams, Executive Consultants.
AGRADECEMOS ESPECIALMENTE a los miembros del Consejo Directivo de la Information Systems Audit and Control Association y a los miembros del Consejo de Administración de la Information Systems Audit and Control Foundation por su continuo e inquebrantable apoyo a la familia de productos COBIT.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
5
COBIT AGRADECIMIENTOS Versión en Español Edición especial para Organismos Gubernamentales
PATROCINANTE DE LA VERSIÓN EN ESPAÑOL
Sindicatura General de la Nación República Argentina
PRINCIPALES CAPÍTULOS DE ISACA PATROCINANTES Buenos Aires Mendoza
EQUIPO DEL PROYECTO PARA LA VERSIÓN EN ESPAÑOL Coordinación: Juan de Dios Bel, CISA, CFE
Fabiana L. Marges, CISA PricewaterhouseCoopers Ana C. Russo, CISA SIGEN Rubén A. Escobar, CISA BCRA Jorge N. Nunes, CISA ANSES Juan José Dell Acqua, CISA Argencard Marcelo H. González, CISA BCRA Marina L. Varela, CISA SIGEN Héctor D. Cazzasa, CISA Grant Thornton Fernando Vidal Lobo, CISA Pistrelli, Díaz y Asociados María Estefanía Rizzo, CISA SIGEN Laura Pérez Serantes, CISA Correo Argentino
REVISIÓN ESPECIALIZADA DE LA TRADUCCIÓN Martín Carrizo
El Capítulo Buenos Aires agradece especialmente a la SINDICATURA GENERAL DE LA NACIÓN de la República Argentina la preparación de esta versión en español y el constante apoyo recibido.
Diseño Gráfico: María Elizabeth Gioiosa
6
SIGEN
OBJETIVOS DE CONTROL
SUMARIO EJECUTIVO ara el éxito y la supervivencia de una organización la administración eficiente de la información y de la Tecnología de Información (TI) relacionada es sumamente crítica. En esta sociedad de información globalizada, en la cual la información viaja a través del ciberespacio sin limitaciones de tiempo, distancia ni velocidad, este problema surge de: • el aumento de la dependencia de la información y de los sistemas que la proveen; • el aumento de la vulnerabilidad y del amplio espectro de amenazas, tales como las ciberamenazas y la guerra de la información; • la escala y costos de las inversiones actuales y futuras en información y en sistemas de información; y • el potencial que poseen las tecnologías para cambiar drásticamente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.
P
Para muchas organizaciones, la información y la tecnología que le da soporte representan el bien más valioso. Más aún, en el ambiente actual extremadamente competitivo y de rápido cambio, la gerencia ha elevado sus expectativas respecto de las funciones de entrega de TI. En realidad, la información y los sistemas de información han penetrado en las organizaciones, desde las plataformas de usuarios a las redes de área local y amplia hasta los servidores de clientes y los sistemas mainframe. Es por ello que la gerencia requiere mayor calidad, funcionalidad y facilidad de uso; menor tiempo de entrega; y niveles de servicio en continua mejora, a la vez que demanda obtenerlos a menor costo. Muchas organizaciones reconocen los beneficios potenciales que puede producir la tecnología. Sin embargo, las organizaciones exitosas comprenden y manejan los riesgos asociados con la implementación de nuevas tecnologías. Por lo tanto, es necesario que la gerencia evalúe y comprenda básicamente los riesgos y las limitaciones de TI para proveer una
dirección eficaz y los controles adecuados. COBIT ayuda a llenar el vacío entre los riesgos de negocio, las necesidades de control y los temas técnicos. Provee buenas prácticas a través de un marco de dominio y proceso y presenta las actividades en una estructura manejable y lógica. Las “buenas prácticas” de COBIT significa el consenso de los expertos; le ayudarán a optimizar su inversión en información, y más aún, serán el instrumento por el cual se lo juzgará cuando las cosas no funcionen bien.
L
as organizaciones deben satisfacer los requerimientos de calidad, fiduciarios y de seguridad en lo que respecta a la información y a todos sus bienes. La gerencia debe optimizar el uso de los recursos disponibles incluyendo las personas, instalaciones, tecnología, sistemas de aplicación y datos. Para cumplir con las obligaciones emergentes de esta responsabilidad y para lograr sus objetivos, la gerencia debe establecer un sistema adecuado de control interno. Dicho sistema o marco debe brindar soporte a los procesos de negocio y debe ser claro en lo que atañe a la forma en la que cada actividad de control afecta a los recursos y satisface los requerimientos de información. En el Marco de COBIT se destaca el impacto sobre los recursos de TI junto con los requerimientos de negocio en cuanto a la efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información que deben satisfacerse. El control, que incluye políticas, estructuras organizacionales, prácticas y procedimientos, es responsabilidad de la gerencia. La gerencia, a través de su gobernabilidad corporativa debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de los sistemas de información. Un objetivo de control de TI constituye una declaración del resultado o fin que se desea lograr mediante la implementación de procedimientos de control específicos dentro del ámbito de una actividad de TI determinada.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
7
COBIT a orientación hacia el negocio es el tema principal de COBIT. Está concebido no sólo para que lo empleen los usuarios y auditores sino también, y lo que es más importante aún, para que lo utilicen los responsables de procesos de negocio como una lista de verificación integral. Cada vez más, las prácticas de negocio implican la total delegación a los responsables del proceso de negocio de la plena responsabilidad por todos los aspectos del proceso. En particular, esto incluye la provisión de controles adecuados. El Marco de COBIT ofrece una herramienta para el responsable de procesos de negocio que facilita el cumplimiento de las obligaciones inherentes a esta responsabilidad. Dicho Marco comienza con una premisa simple y pragmática: Es preciso administrar los recursos de TI por medio de una serie de procesos agrupados naturalmente, a fin de brindar la información que la organización necesita para lograr sus objetivos. ontinúa con una serie de 34 objetivos de control de alto nivel, uno por cada proceso de TI, agrupados en cuatro dominios: planificación y organización, adquisición e implementación, entrega y soporte, y monitoreo. Esta estructura abarca todos los aspectos de la información y la tecnología que le da soporte. Al abordar estos 34 objetivos de control de alto nivel, el responsable del proceso de negocio podrá garantizar que se suministre un sistema de control adecuado para el ambiente de TI. Asimismo, para cada uno de los 34 objetivos de control de alto nivel encontrará una pauta de auditoría o garantía, que le permitirá revisar los procesos de TI en comparación con los 302 objetivos de control detallados recomendados por COBIT, para brindar a la gerencia garantía y/o asesoramiento para mejorar. COBIT contiene un Conjunto de Herramientas de Implementación que proveen información sobre la experiencia de aquellas organizaciones que aplicaron rápida y exitosamente COBIT en sus ambientes de trabajo. Incluye un Resumen Ejecutivo para que la gerencia senior se concientice y comprenda los conceptos importantes y los principios de COBIT. La guía de implementación tiene dos herramientas útiles, Diagnóstico de
L
C
8
Concientización de la Gerencia y Diagnóstico de Control de TI, que lo ayudarán a analizar el ambiente de control de TI de una organización. a gerencia de la organización necesita un marco de referencia de prácticas generalmente aplicables y aceptadas de gobernabilidad y control de TI a fin de efectuar el “benchmarking” de su ambiente de TI existente y planificado. COBIT es una herramienta que permite a los gerentes comunicarse y llenar el vacío con respecto a los requerimientos de control, los temas técnicos y los riesgos de negocio. COBIT posibilita el desarrollo de políticas claras y buenas prácticas para el control de TI en toda la organización, a nivel mundial. Es la meta de COBIT suministrar estos objetivos de control dentro del marco definido, y obtener el respaldo de las organizaciones comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, el objetivo de COBIT es ser la herramienta más avanzada para la gobernabilidad, control y auditoría de información que ayude a comprender y a administrar los riesgos asociados con la información y tecnologías relacionadas.
L
OBJETIVOS DE CONTROL
SUMARIO EJECUTIVO PROCESOS DE TI DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
9
COBIT ANTECEDENTES DESARROLLO DEL PRODUCTO COBIT
COBIT se desarrolló como una norma generalmente aplicable y aceptada de buenas prácticas para la seguridad y el control de tecnología de información (TI). COBIT es la herramienta más avanzada para la gobernabilidad, control y auditoría de información y tecnologías relacionadas. COBIT se basa en los Objetivos de Control de la Fundación de Auditoría y Control de Sistemas de Información (ISACF) ampliados con las normas internacionales vigentes y emergentes de índole técnica, profesional, regulatoria y específica de la industria. Los objetivos de control resultantes se elaboraron para su aplicación a los sistemas de información de toda la organización. El término “generalmente aplicable y aceptada” se emplea explícitamente en el mismo sentido que Principios de Contabilidad Generalmente Aceptados (PCGA). A los fines de COBIT, se entenderá por “buenas prácticas” el consenso de los expertos – le ayudarán a optimizar su inversión en información, y más aún, serán el instrumento por el cual se lo juzgará cuando las cosas no funcionen bien. La norma es relativamente reducida en cuanto a su dimensión y trata de ser pragmática y de responder a las necesidades de negocio con independencia de las plataformas técnicas de TI adoptadas en una organización. Se determinó que la mejora de los Objetivos de Control originales consistirá en: Û el desarrollo de un marco para el control de TI que sirva de base para los objetivos de control de TI y de fuerza impulsora de la investigación constante en materia de auditoría y control de TI; Û una alineación del marco general y los objetivos de control individuales con las normas y reglamentaciones internacionales vigentes de hecho y de derecho; 10
Û una revisión crítica de las distintas actividades y tareas subyacentes de los dominios de control de TI y, de ser posible, la especificación de los parámetros del desempeño pertinentes (normas, reglas, etc.), y Û una revisión crítica y una actualización de las pautas existentes para realizar auditorías de sistemas de información. Si bien no se excluyen otras normas aceptadas en el área de control de sistemas de información que pueden haber salido a la luz durante la investigación, se identificaron las siguientes fuentes: Normas técnicas ISO, EDIFACT, etc.; Códigos de conducta publicados por el Consejo de Europa, OECD, ISACA, etc.; Criterios de calificación de sistemas y procesos de TI: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Criterios Comunes, etc.; Normas profesionales de control interno y auditoría: Informe COSO, IFAC, AICPA, ISACA, IIA, PCIE, normas GAO, etc.; Prácticas y requerimientos de la industria emanados de foros de la industria (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI), etc.; y Requisitos emergentes específicos de la industria del sector bancario, del comercio electrónico y del sector de producción de TI. (Consulte el apéndice III, Glosario de Términos). DEFINICION DEL PRODUCTO COBIT
Como resultado del desarrollo de COBIT se publicó lo siguiente: • un Resumen Ejecutivo que, junto con esta sección de Antecedentes, consta de una Reseña Ejecutiva (que provee a la gerencia senior la concientización y la comprensión de los conceptos y los principios clave de COBIT) y el Marco (que provee a la gerencia senior OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
•
•
•
•
una comprensión más detallada de los conceptos y principios de COBIT, e identifica los cuatro dominios de COBIT y los 34 procesos de TI correspondientes); el Marco que describe detalladamente los 34 obje-tivos de control de TI de alto nivel de COBIT, e iden-tifica los requerimientos de negocio en cuanto a la información y a los recursos de TI principalmente afectados por cada objetivo de control; los Objetivos de Control que contienen las declaraciones de los resultados esperados o de las metas que se desean alcanzar a través de la implementación de 302 objetivos de control detallados y específicos a través de los 34 Procesos de TI; las Pautas de auditoría que contienen los pasos sugeridos de auditoría que corresponden a cada uno de los 34 objetivos de control de TI de alto nivel para ayudar a los auditores de sistemas de información a revisar los procesos de TI en comparación con los 302 objetivos de control detallados recomendados de COBIT para proveer a la gerencia la garantía y/o asesoramiento para lograr mejoras; y un Conjunto de Herramientas de Implementación que brinda la experiencia obtenida por aquellas organizaciones que aplicaron COBIT en forma rápida y con éxito en sus ambientes de trabajo.
El Conjunto de Herramientas de Implementación incluye la Reseña Ejecutiva, que brinda a la gerencia senior la concientización y la comprensión de COBIT. También incluye una guía de implementación con dos herramientas útiles – Management Awareness Diagnostic (Diagnóstico de Concientización de la Gerencia) e IT Control Diagnostic (Diagnóstico de Control de TI) – como ayuda para analizar el ambiente de control de TI de una organización. También se incluye una cantidad de estudios de casos con información sobre la forma en que las organizaciones en todo el mundo han implementado COBIT satisfactoriamente.
Además, se incluyen respuestas a las 25 preguntas sobre COBIT formuladas con mayor frecuencia y varias presentaciones de diapositivas para distintos niveles jerárquicos y de audiencia dentro de las organizaciones. EVOLUCION DEL PRODUCTO COBIT
COBIT evolucionará con el transcurso de los años y será la base de las futuras investigaciones. Por lo tanto, se generará así una familia de productos COBIT, y a medida que esto suceda, se perfeccionarán las tareas y actividades de TI que sirven como estructura para organizar los Objetivos de Control de TI y se revisará el balance entre los dominios y los procesos a la luz del “panorama cambiante” de la industria. Un agregado importante para la familia de productos COBIT es el desarrollo de Pautas de Gestión que incluyen los Factores Críticos del Exito, los Indicadores Clave del Desempeño y los Benchmarks. Este agregado proveerá a la gerencia de las herramientas para evaluar el ambiente de TI de sus organizaciones en comparación con los 34 Objetivos de Control de alto nivel de COBIT. Los Factores Críticos del Exito identificarán los temas/medidas más importantes que la gerencia debe considerar/tomar para llevar a cabo el control sobre sus procesos de TI. Los Indicadores Clave del Desempeño proveerán una medida del éxito que le indicará a la gerencia si un proceso de TI está logrando sus requerimientos de negocio. Los benchmarks definirán los niveles de madurez que podrá usar la gerencia para: (1) determinar el nivel de madurez actual de la organización; (2) determinar el nivel de madurez que se desea alcanzar, como función de sus riesgos y objetivos; y (3) proporcionar una base para comparar sus prácticas de control de TI con las normas de sus pares y/o de la industria. Este agregado le proveerá a la gerencia herramientas para evaluar el ambiente de TI de la organización en comparación con los 34 Objetivos de Control de alto nivel de COBIT. La investigación y la publicación fueron posibles
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
11
COBIT gracias a la importante colaboración de Unisys, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd., y Coopers & Lybrand. El Foro de Seguridad Europeo (ESF: European Security
Forum) ha generosamente aportado material de investigación al proyecto. Se recibieron otras donaciones de los Capítulos de ISACA y de miembros de todo el mundo.
Familia de Productos COBIT SUMARIO EJECUTIVO CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIÓN
-
MARCO con Objetivos de Control de Alto Nivel
12
PAUTAS DE GESTIÓN
OBJETIVOS DE CONTROL DETALLADOS
PAUTAS DE AUDITORÍA
Factores Críticos del Éxito
Indicadores Clave del Desempeño
Benchmarks
Sumario Ejecutivo Reseña Ejecutiva Estudio de Casos Preguntas Frecuentes Presentaciones en Power Point Guía de Implementación *Diagnóstico de Concientización de la Gerencia *Diagnóstico de Control de TI
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
EL MARCO COBIT DEFINICIÓN DEL AMBITO DE APLICACIÓN LA NECESIDAD DEL CONTROL DE LA TECNOLOGÍA DE INFORMACIÓN
En los últimos años, la necesidad de un marco de referencia para la seguridad y el control de la tecnología de información (TI) se presenta con una evidencia cada vez mayor ante los reguladores, legisladores, usuarios y prestadores de servicios. Para el éxito y la supervivencia de una organización la administración eficiente de la Tecnología de Información (TI) es sumamente crítica. En esta sociedad de información globalizada, en la cual la información viaja a través del ciberespacio sin limitaciones de tiempo, distancia ni velocidad, este problema surge de: • el aumento de la dependencia de la información y de los sistemas que la proveen; • el aumento de la vulnerabilidad y del amplio espectro de amenazas, tales como las ciberamenazas y la guerra de la información; • la escala y costos de las inversiones actuales y futuras en información y en sistemas de información; y • el potencial que poseen las tecnologías para cambiar drásticamente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos. Para muchas organizaciones, la información y la tecnología que le da soporte representan el bien más valioso. En realidad, la información y los sistemas de información han penetrado en las organizaciones, desde las plataformas de usuarios a las redes de área local y amplia hasta los servidores de clientes y los sistemas mainframe. Muchas organizaciones reconocen los beneficios potenciales que puede producir la tecnología. Sin embargo, las organizaciones exitosas comprenden y manejan los riesgos asociados con la implementación de nuevas tecnologías. Por lo tanto, es necesario que la gerencia evalúe y comprenda básicamente los riesgos y las limitaciones de TI para proveer una dirección eficaz y los controles adecuados.
La GERENCIA debe decidir lo que ha de invertir razonablemente en seguridad y control de TI y cómo equilibrar el riesgo y la inversión en control en un ambiente de TI a menudo imprevisible. Si bien la seguridad y el control de los sistemas de información ayudan a manejar los riesgos, no los elimina. Además, el nivel exacto de riesgo nunca se puede conocer ya que siempre hay cierto grado de incertidumbre. Por último, la gerencia debe decidir el nivel de riesgo que está dispuesta a aceptar. Determinar qué nivel se puede tolerar, en especial cuando se lo compara con el costo, puede constituir una difícil decisión de gestión. Por lo tanto, la gerencia necesita un marco de prácticas generalmente aceptadas de seguridad y control de TI a fin de efectuar el “benchmarking” de su ambiente de TI existente y planificado. Los USUARIOS de servicios de TI tienen una creciente necesidad de que se les garantice, a través de la acreditación y auditoría de los servicios de TI provistos a nivel interno o por terceros, de que existen seguridad y control adecuados. Sin embargo en la actualidad la implementación de buenos controles de TI en sistemas de información, ya sea que se trate de organizaciones comerciales, de instituciones sin fines de lucro o de entidades gubernamentales, se vio obstaculizada por la confusión. La confusión surge de los distintos métodos de evaluación que existen, tales como las evaluaciones ITSEC, TCSEC, ISO 9000, las emergentes de control interno de COSO, etc. En consecuencia, los usuarios necesitan en primer lugar que se establezca un fundamento general. Con frecuencia, los AUDITORES tomaron la iniciativa en los esfuerzos de estandarización internacional ya que continuamente se enfrentan con la necesidad de justificar el dictamen sobre el control interno que presentan a la gerencia. Sin un marco de referencia, esta tarea es extremadamente difícil. Acreditan lo dicho varios estudios realizados recientemente acerca de la forma en que los auditores juzgan situaciones complejas de seguridad y control de
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
13
COBIT TI, estudios estos que se llevaron a cabo casi simultáneamente en distintas partes del mundo. Además, la gerencia solicita cada vez más a los auditores que asesoren y aconsejen de modo proactivo en asuntos relacionados con la seguridad y el control de TI. EL AMBIENTE DE NEGOCIO: COMPETENCIA, CAMBIOS Y COSTOS
La competencia mundial está aquí. Las organizaciones se están reestructurando a fin de modernizar sus opera-ciones y simultáneamente aprovechar los avances en TI a fin de mejorar su posición competitiva. La reingenie-ría de negocio, el dimensionamiento correcto, la tercerización, la delegación, las organizaciones horizontales, el procesamiento distribuido, son todos cambios que afectan la forma en que operan las organizaciones de negocio y gubernamentales. Estos cambios tienen y seguirán teniendo profundas repercusiones en las estructuras de control administrativo y operativo en el seno de las organizaciones a nivel mundial. El énfasis en el logro de una ventaja competitiva y la efectividad en cuanto a costos implica que se depende cada vez más de la tecnología como principal componente de la estrategia de la mayoría de las organizaciones. La automatización de las funciones organizacionales está determinando, por su propia naturaleza, la incorporación de mecanismos de control más potentes en computadoras y redes, basadas en hardware y software. Asimismo, las características estructurales fundamentales de estos controles están evolucionando al mismo ritmo y de la misma manera repentina que las tecnologías subyacentes de computadoras y redes. En este contexto de cambios acelerados, si los gerentes, especialistas en sistemas de información y auditores han de desempeñar realmente sus roles con efectividad, sus habilidades deben evolucionar con la misma rapidez que lo hacen la tecnología y el ambiente. Debe entenderse la tecnología de los controles y su naturaleza cambiante si han de aplicarse criterios razonables y prudentes para evaluar las prácticas de control presentes en las 14
organizaciones típicas de negocio o gubernamentales. RESPUESTA A LA NECESIDAD
En vista de estos cambios permanentes, el desarrollo de este marco para los objetivos de control de TI, junto con la investigación aplicada permanente en materia de controles de TI basada en este marco, constituyen las piedras angulares del progreso efectivo en el campo de control de información y tecnologías relacionadas. Por un lado, fuimos testigos del desarrollo y la publicación de los modelos generales de control de negocio como COSO [Comité de Organizaciones Patrocinantes del Marco Integrado de Control Interno de la Comisión Treadway, 1992] en los EE.UU., Cadbury en el Reino Unido y CoCo en Canadá y King en Sudáfrica. Por otro lado, existe una cantidad importante de modelos más centrados en el control a nivel de TI. Podemos citar como ejemplos de esta última categoría el Código de Conducta de Seguridad de la DTI (Secretaría de Industria y Comercio del Reino Unido) y el Manual de Seguridad del NIST (Instituto Nacional de Normas y Tecnología de los EE.UU.). Sin embargo, estos modelos centrados en el control no ofrecen un modelo integral y útil de control sobre la tecnología de información que apoye los procesos de negocio. COBIT tiene por objeto superar esta brecha brindando una base que esté íntimamente vinculada con los objetivos de negocio y que paralelamente se centre en la tecnología de información. Al centrarnos en los requerimientos de negocio para los controles de TI y la aplicación de modelos de control emergentes y normas internacionales relacionadas, se generó un proceso de evolución en el que los objetivos de control dejaron de ser una herramienta exclusiva de los auditores para convertirse en COBIT, una herramienta de los gerentes. Así, COBIT es la herramienta más avanzada para la gobernabilidad, control y auditoría de información que ayuda a la gerencia a OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) comprender y a administrar los riesgos asociados con la información y tecnologías relacionadas. En consecuencia, el principal objetivo del proyecto COBIT es el desarrollo de políticas claras y buenas prácticas en materia de seguridad y control de TI, y obtener el respaldo de las organizaciones comerciales, gubernamentales y profesionales en general. La meta del proyecto fue desarrollar estos objetivos de control fundamentalmente desde el punto de vista de los objetivos y las necesidades de negocio. Esto encuadra en la perspectiva de COSO que es, sobre todo, un marco de administración del control interno. Posteriormente, se desarrollaron los objetivos de control desde el punto de vista de los objetivos de auditoría (certificación de información financiera, certificación de medidas de control interno, eficiencia y efectividad, etc.). DESTINATARIOS: LA GERENCIA, USUARIOS Y AUDITORES
COBIT está concebido para tres tipos diferentes de destinatarios: GERENTES: para ayudarlos a equilibrar el riesgo y la inversión en controles en un ambiente de TI a menudo imprevisible. USUARIOS: para obtener la garantía de la seguridad y los controles de los servicios de TI provistos por personal de la organización o por terceros. AUDITORES DE SISTEMAS DE INFORMACIÓN: para respaldar sus opiniones y/o aconsejar a la gerencia con respecto a los controles internos. Además de responder a las necesidades de los destinatarios inmediatos –gerentes senior, auditores y profesionales en el área de seguridad y control -, COBIT puede ser utilizado en las organizaciones por los responsables de procesos de negocio a fin de afrontar su responsabilidad
por el control de los aspectos de información de los procesos así como también por los responsables de TI de la organización. ORIENTACIÓN DE LOS OBJETIVOS DE NEGOCIO
Los Objetivos de Control conforman un vínculo claro y preciso con los objetivos de negocio para respaldar su uso fuera de la comunidad de auditoría. Los Objetivos de Control están definidos en un modo orientado al proceso siguiendo el principio de reingeniería de negocio. En dominios y procesos identificados, se determina un objetivo de control de alto nivel y se brindan los fundamentos para documentar el vínculo con los objetivos de negocio. Además, se proporcionan consideraciones y pautas para definir e implementar el Objetivo de Control de TI. La clasificación de los dominios donde se aplican los objetivos de control de alto nivel (dominios y procesos), una indicación de los requerimientos de negocio para la información en ese dominio, así como también los recursos de TI afectados primariamente por el objetivo de control, conforman el Marco COBIT. El Marco se basa en las actividades de investigación que han identificado a los 34 objetivos de control de alto nivel y a los 302 objetivos de control detallados. El Marco se puso a disposición de la industria de TI y los profesionales de auditoría para brindar una oportunidad de revisión, expresar objeciones y comentarios. Las opiniones obtenidas fueron incorporadas oportunamente. DEFINICIONES
A los fines de este proyecto, se ofrecen las siguientes definiciones. El término “Control” está adaptado del Informe COSO [Comité de Organizaciones Patrocinantes del Marco Integrado de Control Interno de la Comisión Treadway, 1992] y el término “Objetivo de control de TI” fue adaptado del informe SAC [Informe de Auditoría y Control de Sistemas, Fundación de Investigación del Instituto de Auditores Internos, 1991 y 1994].
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
15
COBIT El control se define como
16
Las políticas, los procedimientos, las prácticas y las estructuras organizacionales concebidas para brindar una garantía razonable de que los objetivos de negocio se lograrán y que los eventos no deseados se impedirán o detectarán y corregirán.
El objetivo de Una declaración del resultado control de TI se o fin que se desea lograr define como mediante la implementación de procedimientos de control en una actividad de TI determinada.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
PRINCIPIOS DEL MARCO DE REFERENCIA En la actualidad se dispone de dos categorías diferentes de modelos de control, los de la categoría del “modelo de control de negocio” (por ejemplo, COSO) y los “modelos de control más centrados en TI” (por ejemplo, DTI). COBIT trata de superar la brecha que existe entre estas dos categorías y, por su posición, resultará ser una herramienta más completa para la gerencia y operará a un nivel más alto que las normas de tecnología para los gerentes de sistemas de información. Así, COBIT es el modelo para la gobernabilidad, control y auditoría de TI. El concepto que sustenta el Marco COBIT es que el control de TI se aborda considerando la información que se necesita para dar soporte a los objetivos o requerimientos de negocio y considerando la información como el resultado de la aplicación combinada de los recursos relacionados con TI que es preciso administrar por medio de los procesos de TI.
Para lograr los objetivos de negocio, es preciso que la información se ajuste a determinados criterios a los que COBIT denomina requerimientos de información del negocio. Para establecer la lista de requerimientos, COBIT combina los principios incorporados en los modelos de referencia existentes y conocidos:
Requerimientos de calidad
Calidad Costo Entrega
Requerimientos fiduciarios (Informe COSO)
Efectividad y eficiencia de las operaciones Confiabilidad de la información Cumplimiento de las leyes y reglamentaciones
Requerimientos de seguridad
Confidencialidad Integridad Disponibilidad El criterio de Calidad se conserva fundamentalmente por su aspecto “negativo” (ausencia de fallas, confiabilidad, etc.) que también se captura en gran medida en el criterio de Integridad. En una época, no se consideraron los aspectos positivos pero menos tangibles de la calidad (estilo, cualidades atractivas, aspecto y presentación, desempeño superior al esperado, etc.) desde el punto de vista de los objetivos de control de TI. La premisa es que la primera prioridad debe estar orientada a la correcta administración de los riesgos en contraposición a las oportunidades. El aspecto utilitario de la Calidad está cubierto por el criterio de Efectividad. Se consideró que el aspecto de la Calidad en relación con la Entrega se superponía con el relativo a la Disponibilidad de los requerimientos de Seguridad y también en cierta medida con la Efectividad y Eficiencia. Por último, también se considera que el “costo” está cubierto por la Eficiencia. Con respecto a los requerimientos fiduciarios, COBIT no intenta reinventar la rueda; se utilizaron las definiciones de COSO de efectividad y eficiencia de las operaciones, confiabilidad de la información y cumplimiento de las leyes y reglamentaciones. Sin embargo, la confiabilidad de la información se amplió para incluir toda la información, no sólo la información financiera.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
17
COBIT Con respecto a los requerimientos de seguridad, COBIT identificó la confidencialidad, integridad, y disponibilidad como elementos clave; se descubrió que estos mismos tres elementos son utilizados mundialmente para describir los requerimientos de seguridad de TI.
También se asocia con la protección de los recursos necesarios y las capacidades asociadas. Cumplimiento
A partir del análisis de los requerimientos más amplios de Calidad, Informes Fiduciarios y Seguridad, se extrajeron siete categorías diferentes que indudablemente se superponen. En la siguiente tabla se ofrecen las definiciones de trabajo de COBIT: Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
18
se refiere a la relevancia y pertinencia de la información para el proceso de negocio y a su entrega en forma oportuna, correcta, consistente y útil. se vincula con la provisión de información mediante el uso óptimo (el más productivo y económico) de los recursos. se refiere a la protección de la información crítica contra su divulgación no autorizada. se vincula con la exactitud y la totalidad de la información así como también con su validez de acuerdo con los valores y las expectativas de negocio. se vincula con el hecho de que la información se encuentre disponible cuando la necesite el proceso de negocio en el presente y en el futuro.
Confiabilidad de la información
se refiere al cumplimiento de las leyes, reglamentaciones y disposiciones contractuales a las que está sujeto el proceso de negocio, vale decir, los criterios de negocio impuestos a nivel externo. se vincula con la provisión de la información adecuada para que la gerencia maneje la entidad y ejerza sus responsabilidades de presentación de informes financieros y de cumplimiento.
Los recursos de TI identificados en COBIT se pueden explicar/definir del siguiente modo: Datos
objetos en su sentido más amplio (es decir, internos y externos), estructurados y no estructurados, gráficos, sonido, etc.
Sistemas de aplicación
Se entiende por tales la suma de los procedimientos manuales y programados.
Tecnología
La tecnología abarca el hardware, los sistemas operativos, los sistemas de administración de bases de datos, las redes, los multimedios, etc.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) Instalaciones Personas
Recursos utilizados para alojar y dar soporte a los sistemas de información. Habilidades, aptitudes, conocimiento y productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de información.
El dinero o capital no se mantuvo como recurso de TI en la clasificación de los objetivos de control ya que puede considerarse como la inversión que se realiza en cualquiera de los
recursos antes mencionados. El Marco no se refiere específicamente a la documentación de todos los asuntos importantes que guarden relación con un proceso de TI en particular. Como buena práctica, la documentación se considera esencial para el buen control y, por lo tanto, la falta de documentación sería la causa de otras revisiones y análisis de los controles compensatorios en cualquier área específica sujeta a revisión.
Otro modo de considerar la relación de los recursos de TI con la prestación de servicios se describe a continuación:
EVENTOS
INFORMACIÓN
Objetivos de negocio Oportunidades de negocio Requerimientos externos Reglamentaciones Riesgos
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
19
COBIT PRINCIPIOS DEL MARCO DE REFERENCIA, cont. Para garantizar que se cumplan los requerimientos de negocio en cuanto a la información, las medidas de control adecuadas necesitan ser definidas, implementadas y monitoreadas sobre estos recursos. ¿Cómo pueden las organizaciones convencerse de que la información que obtienen presenta las características que necesitan? Este es el punto donde se requiere un marco de Objetivos de Control de TI coherente. En el siguiente diagrama se ilustra este concepto.
vinculadas con cortes (de control) naturales. En el nivel más alto, los procesos se agrupan naturalmente en dominios. Su agrupamiento natural a menudo se concibe como dominios de responsabilidad en una estructura organizacional y encuadra en el ciclo de administración o el ciclo de vida aplicable a los procesos de TI.
Dominios
Procesos
Actividades/ Tareas
El Marco COBIT consiste en los Objetivos de Control de alto nivel y una estructura general para su clasificación. La teoría subyacente de la clasificación es que hay, en esencia, tres niveles de esfuerzos de TI al considerar la administración de los recursos de TI. Comenzando por la base, se encuentran las actividades y tareas necesarias para lograr un resultado mensurable. Las actividades se asocian con el concepto de ciclo de vida mientras que se considera que las tareas son más discretas. El concepto de ciclo de vida incluye requerimientos de control típicos que son diferentes de las actividades discretas. Luego, los procesos se definen una capa más arriba como una serie de actividades o tareas 20
Así, el marco conceptual se puede considerar desde tres posiciones ventajosas: (1) el Criterio de Información, (2) los Recursos de TI, y (3) los Procesos de TI. Por ejemplo, los gerentes pueden aplicar un interés de calidad, fiduciario o de seguridad (incluido en el Marco como siete criterios de información específicos). Un gerente de TI, por otro lado, puede considerar los recursos de TI por los que es responsable. Los responsables del proceso, los especialistas de TI, y los usuarios pueden tener un interés específico en procesos o actividades/tareas específicas. Los auditores pueden querer abordar el Marco desde un punto de vista de cobertura de control. Estas tres posiciones ventajosas se describen en el Cubo COBIT.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Considerando la figura anterior como marco, los dominios se identifican utilizando los términos que la gerencia utiliza en las actividades diarias de la organización, en lugar de la jerga de los auditores. De ese modo, se identifican cuatro dominios generales: planificación y organización; adquisición e implementación; entrega y soporte y monitoreo.
Adquisición e Implementación
Para realizar la estrategia de TI, deben identificarse, desarrollarse o adquirirse soluciones de TI y luego implementarse e integrarse en el proceso de negocio. Además, este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar que el ciclo de vida perdure para estos sistemas.
Entrega y Soporte
En este dominio nos ocupamos de la entrega o prestación efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación. Para prestar los servicios, deben establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento real de los datos por los sistemas de aplicación, a menudo clasificados como controles de aplicaciones.
Monitoreo
Es preciso evaluar regularmente todos los procesos de TI a medida que transcurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. De este modo este dominio corresponde a la vigilancia de la gerencia sobre los procesos de control de la organización y la garantía independiente provista por la auditoría interna y externa u obtenida de fuentes alternativas.
Las definiciones de los cuatro dominios identificados para la clasificación de alto nivel son: Planificación y Organización
Este dominio abarca la estrategia y la táctica y se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos de negocio. Además, es preciso planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. Por último, debe existir una correcta organización e infraestructura tecnológica.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
21
COBIT En síntesis, es preciso administrar los recursos de TI por medio de una serie de procesos agrupados naturalmente, a fin de brindar la información que la organización necesita para lograr sus objetivos. En el siguiente diagrama se ilustra este concepto:
de disponibilidad, integridad y confidencialidad. Resulta claro que todas las medidas de control no necesariamente satisfarán los distintos requerimientos de información de negocio con el mismo alcance. • primario
es el grado con el cual el objetivo de control definido impacta directamente sobre el requerimiento de información pertinente.
• secundario
• en blanco
Se debe tener en cuenta que estos procesos pueden ser aplicados en diferentes niveles dentro de la organización. Por ejemplo, algunos de estos procesos se aplicarán a nivel corporativo, otros a nivel de función de servicios de información, otros a nivel de responsables del proceso de negocio, etc. También se debe tener en cuenta que el criterio de efectividad de los procesos que planifican o presentan soluciones para los requerimientos de negocio algunas veces cubrirá los criterios de disponibilidad, integridad y confidencialidad; en la práctica, se han convertido en requerimientos de negocio. Por ejemplo, el proceso de “identificación de soluciones” tiene que ser efectivo al cumplir los requerimientos 22
es el grado con el cual el objetivo de control definido sólo satisface en menor medida o indirectamente el requerimiento de información pertinente. puede ser aplicable; sin embargo, los requerimientos se satisfacen más adecuadamente a través de otro criterio de este proceso y/o por otro proceso.
Del mismo modo, todas las medidas de control no necesariamente impactarán los distintos recursos de TI con el mismo alcance. Por lo tanto, el Marco COBIT indica de manera específica la aplicabilidad de los recursos de TI que son administrados en forma específica por el proceso bajo consideración (no aquellos que sólo participan en el proceso). Esta clasificación se realiza dentro del Marco COBIT en base al mismo proceso riguroso de información por parte de investigadores, expertos y revisores, utilizando las definiciones precisas indicadas anteriormente.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
CUADRO SINÓPTICO de control de alto nivel, así como también la El siguiente cuadro ofrece una indicación, por indicación de cuáles recursos de TI son proceso y dominio de TI, cuyos criterios de aplicables información son afectados por los objetivos
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
23
COBIT GUÍA DE USO DEL MARCO COBIT Y DE LOS OBJETIVOS DE CONTROL DISTINTOS PUNTOS DE VISTA, DISTINTAS INDICACIONES
EL MARCO COBIT
El marco conceptual se puede considerar desde tres posiciones ventajosas: (1) Recursos de TI, (2) Criterios de negocio para información y (3) Procesos de TI. Estos distintos puntos de vista permiten que se acceda al marco en forma eficiente.
El Marco COBIT ha sido limitado a objetivos de control de alto nivel en la forma de una necesidad de negocio dentro de un proceso de TI específico, cuyo logro es posible mediante una declaración de control, para lo cual se deben considerar los controles potencialmente aplicables.
Por ejemplo, los gerentes pueden aplicar un interés de calidad, fiduciario o de seguridad (incluido en el Marco como siete criterios de información específicos). Un gerente de TI, por otro lado, puede considerar los recursos de TI por los que es responsable. Los responsables del proceso, los especialistas de TI, y los usuarios pueden tener un interés específico en procesos particulares. Los auditores pueden querer abordar el Marco desde un punto de vista de cobertura de control.
Los Objetivos de Control de TI han sido organizados por proceso/actividad, pero se han proporcionado asistencias a la navegación no sólo para facilitar el ingreso desde cualquiera de las posiciones ventajosas como se explicó anteriormente, sino también facilitar los enfoques globales o combinados, tales como la instalación/implementación de un proceso, responsabilidades de administración globales y la utilización de recursos de TI en un proceso. También se debe tener en cuenta que los Objetivos de Control de TI han sido definidos de un modo genérico, es decir, no dependiendo de la plataforma técnica, mientras se acepta el hecho de que algunos ambientes tecnológicos especiales pueden necesitar una cobertura separada para los objetivos de control. El control de los
Procesos de TI
que satisface los
Requerimientos de Negocio
es habilitado por las
Declaraciones de Control
considerando las
Prácticas de Control
24
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
GUÍA DE USO DEL MARCO COBIT Y DE LOS OBJETIVOS DE CONTROL ASISTENCIAS A LA NAVEGACIÓN
Los dominios de TI se identifican por medio de este icono en el ángulo superior derecho de cada página en la sección Objetivos de Control, con el dominio que se está tratando remarcado y ampliado.
Planificación y Organización Adquisición e Implementación Entrega y Soporte
ef ec e tivi C ficie dad on n fid cia e in nci te a di gri lida sp da d cu oni d m bil co plim idad nf i ia ent bi o lid ad
Para facilitar la utilización eficiente de los objetivos de control en apoyo a las distintas posiciones ventajosas, se proporcionan algunas asistencias a la navegación como parte de la presentación de los Objetivos de Control de TI de alto nivel. Para cada una de las tres dimensiones por las cuales se puede acceder al Marco COBIT - procesos, recursos y criterio de información- se ofrece una asistencia a la navegación.
S
Criterios de información
Planificación y Organización Adquisición e Implementación
Dominios de TI
Recursos de TI
Monitoreo
P
Entrega y Soporte Monitoreo
pe ap rson lic as a te cio cn ne in olo s st al gía ac io da ne to s s
Tres posiciones ventajosas
La indicación para los criterios de información se proporcionan en el ÁNGULO SUPERIOR IZQUIERDO en la sección Objetivos de Control por medio de esta minimatriz, que identifica qué criterio es aplicable a cada Objetivo de Control de TI de alto nivel y con qué alcance (primario o secundario).
ef ec e tivi C ficie dad on n fid cia e in nc te ia di gri lid sp da ad cu oni d m bil co plim ida d nf ia ient bi o lid ad
Asistentes de navegación
S
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
P
25
Una segunda minimatriz en el ÁNGULO INFERIOR DERECHO en la sección Objetivos de Control identifica los recursos de TI que son específicamente administrados por el proceso bajo consideración, no aquellos que solamente participan en el proceso. Por ejemplo, el proceso de “administración de datos” se concentra particularmente en la integridad y confiabilidad del recurso de datos, mientras que la disponibilidad y confidencialidad son proporcionadas en forma primaria mediante el proceso que administra los recursos que utilizan los datos (es decir, las aplicaciones y tecnología).
26
pe ap rso lic na a s te cio cn ne in olo s st al gía ac i da one to s s
COBIT
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
OBJETIVOS DE CONTROL DE ALTO NIVEL P0 1
El control sobre el proceso de TI de
definición de un plan estratégico de TI que satisface el requerimiento de negocio
de encontrar el balance óptimo entre las oportunidades de tecnología de información y los requerimientos de negocio de TI así como garantizar su ulterior consecución puede realizarse por medio de
un proceso periódico de planificación estratégica que permita formular los planes a largo plazo. A su vez, estos planes deben traducirse periódicamente en planes operativos que definan metas claras y concretas a corto plazo y tiene en cuenta
• • • • • •
la definición de los objetivos y las necesidades de negocio de TI el inventario de las soluciones tecnológicas y la infraestructura actual los servicios de “vigilancia de tecnología” los cambios de la organización los estudios oportunos de factibilidad la evaluación de los sistemas existentes
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
27
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
P0 2
El control sobre el proceso de TI de
definición de la arquitectura de la información que satisface el requerimiento de negocio
de organizar los sistemas de información de la manera más adecuada puede realizarse por medio de
la creación y el mantenimiento de un modelo de información de negocio y la definición de los sistemas adecuados a fin de optimizar el uso de esta información y tiene en cuenta
• • •
•
28
la documentación el diccionario de datos las reglas de sintaxis de los datos la propiedad de los datos y la clasificación de criticidad
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
P0 3
El control sobre el proceso de TI de
determinación de la dirección tecnológica que satisface el requerimiento de negocio
de aprovechar la tecnología disponible y la emergente puede realizarse por medio de
la creación y el mantenimiento de un plan de infraestructura tecnológica y tiene en cuenta
• • • •
la suficiencia y la capacidad de evolución de la infraestructura actual el monitoreo de los desarrollos tecnológicos las contingencias los planes de adquisición
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
29
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
P0 4
El control sobre el proceso de TI de
definición de la organización y las relaciones de TI que satisface el requerimiento de negocio
de prestar servicios de TI puede realizarse por medio de
una organización adecuada en cantidad e idoneidad del personal en la que los roles y las responsabilidades están definidos y se comunican y tiene en cuenta
• • • • • • • • •
30
el comité de dirección la responsabilidad a nivel de directorio propiedad, custodia supervisión distribución de las tareas roles y responsabilidades descripciones de los puestos niveles de dotación de personal personal clave
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
P0 5
El control sobre el proceso de TI de
administración de la inversión en TI que satisface el requerimiento de negocio
de garantizar la financiación y controlar el desembolso de recursos financieros puede realizarse por medio de
la definición de un presupuesto periódico operativo y de inversión y su aprobación por parte de la organización y tiene en cuenta
• • •
•
las alternativas de financiación el control del gasto real la justificación de costos la justificación de los beneficios
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
31
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
P0 6
El control sobre el proceso de TI de
comunicación de los objetivos y directivas de la gerencia que satisface el requerimiento de negocio
de garantizar que los usuarios conozcan y entiendan dichos objetivos puede realizarse por medio de
la definición de políticas y su comunicación a la comunidad de usuarios. Además, es preciso que se establezcan normas a fin de traducir las opciones estratégicas en reglas prácticas y útiles y tiene en cuenta
• • • • • •
32
el código de conducta/ética las directivas tecnológicas el cumplimiento el compromiso con la calidad las políticas de seguridad las políticas de control interno
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
P0 7
El control sobre el proceso de TI de
administración de los recursos humanos que satisface el requerimiento de negocio
de maximizar los aportes del personal a los procesos de TI puede realizarse por medio de
técnicas bien concebidas de administración del personal y tiene en cuenta
• • • • • • •
el reclutamiento y la promoción la formación y la experiencia la capacitación la concientización la capacitación cruzada los procedimientos de autorización la evaluación objetiva y mensurable del desempeño
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
33
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
P0 8
El control sobre el proceso de TI de
garantía del cumplimiento de los requisitos externos que satisface el requerimiento de negocio
de cumplir con las obligaciones legales, regulatorias y contractuales puede realizarse por medio de
la identificación y el análisis de los requisitos externos a fin de determinar su impacto sobre la tecnología de información y la adopción de las medidas necesarias para su cumplimiento y tiene en cuenta
• • • • • • •
•
34
las leyes, reglamentaciones y contratos el monitoreo de los desarrollos legales y regulatorios las revisiones periódicas de los cambios y las modificaciones las consultas a asesores legales la seguridad y ergonomía la privacidad la propiedad intelectual el flujo de los datos
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
P0 9
El control sobre el proceso de TI de
evaluación de riesgos que satisface el requerimiento de negocio
de garantizar el logro de los objetivos de TI y responder a las amenazas que puedan afectar la provisión de los servicios de TI puede realizarse por medio de
un proceso por el cual la organización se ocupa de identificar los riesgos de TI, efectuar el análisis del impacto y adoptar medidas efectivas en cuanto a costos a fin de mitigar los riesgos y tiene en cuenta
• • • • • •
los distintos tipos de riesgos de TI (por ejemplo, tecnología, seguridad, continuidad, aspectos regulatorios, etc.) el alcance: global o específico de sistemas las actualizaciones de evaluación de riesgos la metodología de evaluación de riesgos la medición cuantitativa y/o cualitativa de riesgos el plan de acción de riesgos
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
35
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
P0 10
El control sobre el proceso de TI de
administración de proyectos que satisface el requerimiento de negocio
de definir prioridades y suministrar el servicio dentro de los plazos y los límites presupuestarios puede realizarse por medio de
un proceso por el cual la organización identifica y prioriza los proyectos en concordancia con el plan operativo. Asimismo, la organización deberá adoptar y aplicar técnicas bien concebidas de administración de proyectos por cada proyecto que se inicie y tiene en cuenta
• • • • • • •
36
la responsabilidad por el proyecto la participación del usuario la división de tareas y los plazos la asignación de responsabilidades las aprobaciones del proyecto y sus fases los presupuestos de costos y recursos humanos los planes y métodos de garantía de calidad
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
P0 11
El control sobre el proceso de TI de
administración de la calidad que satisface el requerimiento de negocio
de responder a los requerimientos de los clientes de TI puede realizarse por medio de
la planificación, implementación y el mantenimiento de normas y sistemas de administración de calidad de la organización; más aún, la organización deberá adoptar y aplicar una metodología que proporcione distintas fases de desarrollo y prevea fases y resultados claros y tiene en cuenta
• • • • •
la estructura del plan de calidad las responsabilidades de garantía de calidad la metodología del ciclo de vida de desarrollo de sistemas la prueba y documentación del programa y del sistema las revisiones y los informes de garantía de calidad
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
37
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
AI 1
El control sobre el proceso de TI de
identificación de soluciones que satisface el requerimiento de negocio
de garantizar el mejor enfoque a fin de satisfacer los requerimientos del usuario puede realizarse por medio de
un análisis claro de las oportunidades alternativas medidas en comparación con los requerimientos del usuario y tiene en cuenta
• • • • • • • •
38
la definición de los requerimientos de información los estudios de factibilidad (costos, beneficios, alternativas, etc.) los requerimientos del usuario la arquitectura de la información la economía de la seguridad las pistas de auditoría las contrataciones externas la aceptación de las instalaciones y la tecnología
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
AI 2
El control sobre el proceso de TI de
adquisición y mantenimiento del software de aplicación que satisface el requerimiento de negocio
de suministrar funciones automatizadas que den soporte efectivo al proceso de negocio puede realizarse por medio de
la definición de declaraciones específicas de requerimientos funcionales y operativos, y una implementación por etapas con resultados claros y tiene en cuenta
• • • • • • •
los requerimientos del usuario los requerimientos de archivo, entrada, procesamiento y salida la interface usuario-máquina la adaptación específica del paquete las pruebas funcionales los controles de aplicación y los requerimientos de seguridad la documentación
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
39
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL AI 3
El control sobre el proceso de TI de
adquisición y mantenimiento de la infraestructura tecnológica que satisface el requerimiento de negocio
de suministrar las plataformas adecuadas para dar soporte a las aplicaciones de negocio puede realizarse por medio de
la evaluación del desempeño del software y hardware, la provisión de mantenimiento preventivo del hardware, y la instalación, seguridad y control del software de sistemas. y tiene en cuenta
• • •
40
la evaluación de la tecnología el mantenimiento preventivo del hardware la seguridad, instalación, mantenimiento y controles de cambio del software de sistema
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
AI 4
El control sobre el proceso de TI de
desarrollo y mantenimiento de procedimientos de TI que satisface el requerimiento de negocio
de garantizar el uso correcto de las aplicaciones y las soluciones tecnológicas implementadas puede realizarse por medio de
un enfoque estructurado del desarrollo de manuales de procedimiento del usuario y de operaciones, requerimientos de servicio y materiales de capacitación y tiene en cuenta
• • •
los procedimientos y controles del usuario los procedimientos y controles operativos los materiales de capacitación
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
41
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
AI 5
El control sobre el proceso de TI de
instalación y acreditación de sistemas que satisface el requerimiento de negocio
de verificar y confirmar que la solución es apta para el uso previsto puede realizarse por medio de
un plan bien formalizado de instalación, migración, conversión y aceptación y tiene en cuenta
• • • • •
42
la capacitación la carga/conversión de datos las pruebas específicas la acreditación las revisiones posteriores a la implementación
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
AI 6
El control sobre el proceso de TI de
administración de cambios que satisface el requerimiento de negocio
de minimizar las probabilidades de interrupción, alteraciones no autorizadas y errores puede realizarse por medio de
un sistema de administración que permita el análisis, la implementación y el seguimiento de todos los cambios solicitados y realizados en la infraestructura de TI existente y tiene en cuenta
• • • • • •
la identificación de los cambios los procedimientos de categorización, priorización y de emergencia la evaluación del impacto la autorización de cambios la administración de las distintas versiones la distribución del software
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
43
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
ES1
El control sobre el proceso de TI de
definición de los niveles de servicio que satisface el requerimiento de negocio
de establecer un acuerdo común del nivel de servicio requerido puede realizarse por medio de
el establecimiento de acuerdos de nivel de servicio que formalicen los criterios de ejecución en virtud de los cuales se medirá la cantidad y calidad del servicio y tiene en cuenta
• • • • • •
44
los acuerdos formales la definición de responsabilidades los tiempos de respuesta y los volúmenes las imputaciones de gastos y consumos las garantías de integridad los convenios de no divulgación
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
ES 2
El control sobre el proceso de TI de
administración de los servicios prestados por terceros que satisface el requerimiento de negocio
de garantizar que los roles y las responsabilidades de terceros estén claramente definidos, se respeten y satisfagan en forma permanente los requerimientos puede realizarse por medio de
medidas de control orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para garantizar su efectividad y el cumplimiento de la política de la organización y tiene en cuenta
• • • •
los acuerdos de servicios prestados por terceros los convenios de no divulgación los requerimientos legales y regulatorios el monitoreo de la prestación del servicio
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
45
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
ES 3
El control sobre el proceso de TI de
administración de la capacidad y del desempeño que satisface el requerimiento de negocio
de garantizar que se encuentra disponible la capacidad adecuada y que se la aprovecha al máximo y de manera óptima para satisfacer las necesidades de desempeño requerido puede realizarse por medio de
controles de administración de la capacidad y del desempeño que recopilen datos e informen sobre la administración de la carga de trabajo, la dimensión de las aplicaciones, y la administración de recursos y demandas y tiene en cuenta
• • • • •
46
los requerimientos de disponibilidad y desempeño el monitoreo y los informes las herramientas de creación de modelos la administración de capacidad la disponibilidad de recursos
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
ES 4
El control sobre el proceso de TI de
garantía de un servicio continuo que satisface el requerimiento de negocio
de proveer los servicios de TI según sea necesario y garantizar un mínimo impacto de negocio en caso de una interrupción importante puede realizarse por medio de
un plan de continuidad de TI probado y operativo que concuerde con el plan de continuidad general de negocio y sus requerimientos de negocio relacionados y tiene en cuenta
• • • •
•
la clasificación de criticidad el plan documentado los procedimientos alternativos el resguardo y la recuperación las pruebas y la capacitación sistemáticas y regulares
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
47
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
ES 5
El control sobre el proceso de TI de
garantía de la seguridad de los sistemas que satisface el requerimiento de negocio
de proteger la información contra su uso no autorizado, divulgación o modificación, daño o pérdida puede realizarse por medio de
controles de acceso lógico que garantizan que el acceso a los sistemas, datos y programas está limitado a los usuarios autorizados y tiene en cuenta
• • • • • • • • •
48
la autorización la autenticación el acceso los perfiles y la identificación de usuarios la administración de claves criptográficas el manejo, presentación de informes y seguimiento de incidentes la ruta de acceso confiable la prevención y detección de virus los “firewalls”
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
ES 6
El control sobre el proceso de TI de
identificación e imputación de costos que satisface el requerimiento de negocio
de garantizar que se conozcan correctamente los costos imputables a los servicios de TI puede realizarse por medio de
un sistema de imputación de costos que garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido. y tiene en cuenta
• • •
los recursos identificables y mensurables la política y procedimientos de cargos las tarifas
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
49
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
ES 7
El control sobre el proceso de TI de
educación y capacitación de los usuarios que satisface el requerimiento de negocio
de garantizar que los usuarios utilicen de manera efectiva la tecnología y conozcan los riesgos y las responsabilidades correspondientes puede realizarse por medio de
un plan integral de capacitación y desarrollo y tiene en cuenta
• • •
50
el programa de capacitación las campañas de concientización las técnicas de concientización
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
ES 8
El control sobre el proceso de TI de
asistencia y asesoramiento a los clientes de TI que satisface el requerimiento de negocio
de garantizar que se resuelva adecuadamente cualquier problema que tenga el usuario puede realizarse por medio de
una mesa de ayuda que brinde soporte y asesoramiento de primera línea y tiene en cuenta
• • •
la respuesta a los problemas y consultas de los clientes el monitoreo y la solución de consultas el análisis de tendencias y la presentación de informes
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
51
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
ES 9
El control sobre el proceso de TI de
administración de la configuración que satisface el requerimiento de negocio
de rendir cuenta de todos los componentes de TI, impedir las modificaciones no autorizadas, verificar la existencia física y brindar una base para la correcta administración de los cambios puede realizarse por medio de
controles que identifiquen y registren todos los bienes de TI y su ubicación física, y un programa de verificación regular que confirme su existencia y tiene en cuenta
• • • •
52
el registro de bienes la administración de cambio de configuración la verificación de software no autorizado los controles de almacenamiento de software
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
ES 10
El control sobre el proceso de TI de
administración de problemas e incidentes que satisface el requerimiento de negocio
de garantizar que se resuelvan los problemas e incidentes y se investigue su causa a fin de evitar su recurrencia puede realizarse por medio de
un sistema de administración de problemas que registre y dé respuesta a todos los incidentes y tiene en cuenta
• • • •
pistas de auditoría suficientes de problemas y soluciones la resolución oportuna de los problemas registrados los procedimientos de escalamiento de problemas los informes de incidentes
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
53
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
ES 11
El control sobre el proceso de TI de
administración de datos que satisface el requerimiento de negocio
de garantizar que los datos sean completos, exactos y válidos durante su entrada, actualización y almacenamiento puede realizarse por medio de
una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI y tiene en cuenta
• • • • • • • •
54
el diseño de formularios los controles de documentos fuente los controles de entrada los controles de procesamiento los controles de salida la identificación de los medios, su movimiento y la administración de bibliotecas la administración del almacenamiento y resguardo de los medios la autenticación e integridad
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
ES 12
El control sobre el proceso de TI de
administración de instalaciones que satisface el requerimiento de negocio
de suministrar un ambiente físico adecuado que brinde protección a las personas y los equipos de TI contra los peligros generados por la naturaleza y el hombre puede realizarse por medio de
la instalación de controles ambientales y físicos adecuados cuya revisión se efectúa periódicamente a fin de determinar su correcto funcionamiento y tiene en cuenta
• • • • •
el acceso a las instalaciones la identificación del sitio la seguridad física la seguridad y salud del personal la protección contra amenazas ambientales
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
55
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
ES 13
El control sobre el proceso de TI de
administración de operaciones que satisface el requerimiento de negocio
de garantizar que las funciones importantes de soporte de TI se desempeñan en forma regular y ordenada puede realizarse por medio de
un cronograma de actividades de soporte que se registra y aprueba para el logro de todas las actividades y tiene en cuenta
• • • • • •
56
el manual de procedimientos de operaciones la documentación de proceso de arranque la administración de servicios de red el cronograma del personal y de carga de trabajo el proceso de cambio de turnos el registro de eventos del sistema
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
M1
El control sobre el proceso de TI de
monitoreo de los procesos que satisface el requerimiento de negocio
de garantizar el logro de los objetivos de desempeño establecidos para los procesos de TI puede realizarse por medio de
la definición por parte de la gerencia de un sistema de informes e indicadores del desempeño relevantes, la implementación de sistemas de soporte y la aprobación de los informes en forma periódica y tiene en cuenta
• • • •
los indicadores clave del desempeño los factores críticos del éxito la evaluación de satisfacción del cliente los informes de la gerencia
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
57
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
M2
El control sobre el proceso de TI de
evaluación de la idoneidad del control interno que satisface el requerimiento de negocio
de garantizar el logro de los objetivos de control interno establecidos para los procesos de TI puede realizarse por medio de
el compromiso de la gerencia de monitorear los controles internos, evaluar su efectividad e informar sobre los mismos en forma periódica y tiene en cuenta
• • • • •
58
el monitoreo de control interno en curso los “benchmarks” los informes de errores y excepciones las autoevaluaciones los informes de la gerencia
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
M3
El control sobre el proceso de TI de
obtención de garantía independiente que satisface el requerimiento de negocio
de aumentar los niveles de confianza entre las organizaciones, clientes y proveedores puede realizarse por medio de
revisiones de garantía independientes llevadas a cabo en forma periódica y tiene en cuenta
• • • • • • •
las certificaciones/acreditaciones independientes las evaluaciones de efectividad independientes las garantías independientes de cumplimiento de las leyes y los requerimientos regulatorios las garantías independientes de cumplimiento con los compromisos contractuales las revisiones del proveedor del servicio el desempeño de las revisiones de garantía por parte de personal calificado participación proactiva en la auditoría
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
59
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL
M4
El control sobre el proceso de TI de
provisión de auditoría independiente que satisface el requerimiento de negocio
de aumentar los niveles de confianza y las ventajas derivadas de las mejores prácticas recomendadas puede realizarse por medio de
auditorías independientes llevadas a cabo en forma periódica y tiene en cuenta
• • • • •
60
la independencia de la auditoría la participación proactiva de la auditoría la ejecución de las auditorías por personal calificado la aprobación de los resultados y las recomendaciones las actividades de seguimiento
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
APÉNDICE I – DESCRIPCIÓN DEL PROYECTO COBIT ORGANIZACION Y RESPONSABILIDADES
El proyecto es supervisado por un Comité de Dirección del Proyecto formado por representantes internacionales de la industria, del ámbito universitario, del gobierno y profesionales en el campo de la auditoría. El Consejo Ejecutivo de ISACF brinda asesoramiento general sobre el proyecto. El Comité de Dirección del
proyecto ha sido de utilidad para el desarrollo del Marco COBIT y para la aplicación de los resultados de la investigación. Los grupos de trabajo internacionales fueron estableci-dos con el fin de garantizar la calidad y efectuar la revisión especializada de la investigación preliminar y los resultados del desarrollo.
Director de Proyecto Erik Guldentops*
Director de Proyecto Eddy Schuermans*
COMITE DE DIRECCION John Beveridge Bart De Shutter Gary Hardy John Lainhart Thomas Lamm Akira Matuso Paul Williams
* = Equipo de proyecto
Europa
USA Investigación Académica
Investigación Académica Garantía de Calidad del Capítulo Local Grupo de Expertos Regionales
Australia Investigación de Benchmarks
Garantía de Calidad del Capítulo Local
Garantía de Calidad del Capítulo Local
Grupo de Expertos Regionales
Equipo de Expertos Internacionales
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
61
COBIT INVESTIGACION
La investigación incluyó una recolección y análisis de las fuentes identificadas y fue realizada por un equipo de investigación en Europa (Free University of Amsterdam), los Estados Unidos (California Polytechnic University) y Australia (University of New South Wales). Los equipos de investigación estaban integrados por representantes académicos y profesionales. Luego de la recolección y el análisis, los investigadores se enfrentaron al desafío de examinar cada dominio y proceso con detenimiento y sugerir nuevos objetivos de control aplicables a ese proceso de tecnología
62
de información particular. Se les encargó a los investigadores la compilación, revisión, evaluación e incorporación apropiada de las normas técnicas internacionales, los códigos de conducta, las normas de calidad, las normas profesionales con relación a la auditoría, las prácticas y requerimientos industriales y los requerimientos específicos de la industria, en lo que se relaciona con el marco y con los objetivos de control individuales. Sus esfuerzos han producido más de 300 objetivos de control nuevos y actualizados para su consideración por parte de los grupos de expertos y revisores de calidad.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
APÉNDICE I – DESCRIPCIÓN DEL PROYECTO COBIT, cont. Corriente Básica de Investigación en Europa
QA
Corriente Básica de Investigación en Estados Unidos
QA
Corriente de Investigación de Benchmarks en Australia
QA
Revisión especializada en Europa Consolidación de los descubrimientos de los Expertos
Consolidación de pautas de investigación Revisión especializada en Estados Unidos
CobiT BD
La consolidación de los resultados fue llevada a cabo en un principio por el Equipo del Proyecto, compuesto por el Director del Proyecto, el Administrador del Proyecto y el Director de Investigaciones de ISACF. Enfoque y Material Fuente
Después del desarrollo del marco por parte del Comité de Dirección, puesto a prueba y actualizado por los Grupos de Expertos, los grupos de investigación llevaron a cabo la comparación individual de los Objetivos de Control con cada uno de los documentos y normas identificadas.
Objetivos de Control Mejorados
Disponibilidad Actual
CobiT BD
La intención no fue efectuar un análisis global de todo el material ni un nuevo desarrollo de los Objetivos de Control, sino más bien un proceso de comparación y actualización. El resultado básico de esta actividad de investigación fue una lista de correspondencias primarias (en los Objetivos de Control pero no en el material de comparación), y correspondencias secundarias (en el material de comparación pero no en los Objetivos de Control)
ISO
ITIL
DTI
CobiT ISACF
Informe concordante . No correspondencia primaria . No correspondencia secundaria Enmiendas propuestas
OECD ITSEC
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
63
COBIT APÉNDICE II –BIBLIOGRAFÍA PRINCIPAL Internal Control – Integrated Framework (Marco de control interno integrado). Comité de Organizaciones Patrocinantes de la Comisión Treadway (COSO), 2 vols. Nueva Jersey: Instituto Estadounidense de Contadores Públicos, 1994. Guidelines for the Security of Information (Pautas para la seguridad de la información). Organización de Cooperación y Desarrollo Económico (OECE). París, 1992. A Code of Practice for Information Security Management (Código de práctica para la administración de la seguridad de la información). Secretaría de Industria y Comercio (DTI) y el Instituto de Normas Británicas, Londres, 1993, 1995. ISO 9000-3 Quality Management and Quality Assurance Standards – Part 3: Guidelines for the Application of ISO 9001 to the Development, Supply and Maintenance of Software (ISO 9000-3 normas de gestión y garantía de calidad– Parte 3: Pautas para la aplicación de la norma ISO 9001 al desarrollo, suministro y mantenimiento de software). Organización Internacional de Estandarización (ISO). Suiza, 1991. An Introduction to Computer Security: the NIST Handbook (Una Introducción a la Seguridad Informática: Manual de seguridad del Instituto Nacional de Normas y Tecnología (NIST). Washington D.C., 1995. IT Infrastructure Library. (Biblioteca de infraestructura de TI.). Prácticas y guías desarrolladas por el ente central de computación y telecomunicaciones (CCTA). Londres, 1989. IBAG Framework (Marco de IBAG). Proyecto presentado por el Grupo asesor de empresas de Infosec al SOGIS (Grupo de funcionarios principales en Seguridad de la información, que asesora a la Comisión Europea), Bruselas, Bélgica, 1994. Statements of Best Practice #1 through #6 (Declaraciones de mejores prácticas Nro. 1 a Nro. 6). Departamento del Primer Ministro de Nueva Gales del Sur. Gobierno de Nueva Gales del Sur, Australia, 1990 a 1994. Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking (Memorando sobre la confiabilidad y continuidad del procesamiento electrónico de datos en bancos). De Nederlandsche Bank. Reimpresión del Boletín Trimestral Nro 3, Países Bajos, 1988. An Audit Approach (Un enfoque de auditoría). Serie de monografía #7. Information Systems Audit and Control Foundation, Inc. (Fundación para la Auditoría y Control de los Sistemas de Información), Rolling Meadows, IL, Abril 1994. A Model Framework for Management Over Automated Information Systems (Marco modelo para la administración de sistemas de información automatizados). Preparado en colaboración por el Consejo del Presidente para Mejoras de Administración y el Consejo del Presidente para la Integridad y la Eficiencia (PCIE), Washington D.C., 1987. Information System Auditing Standard of Japan (Norma de auditoría de sistemas de información de Japón). Provista por Chuo Audit Corporation, Tokyo, agosto de 1994. 64
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Control Objectives. Controls in an Information Systems Environment: Controls Guidelines and Audit Procedures (Objetivos de control. Controles en el ambiente de sistemas de información. Pautas de controles y procedimientos de auditoría). Fundación de auditores de EDP (actualmente la Fundación para la Auditoría y Control de Sistemas de Información). Cuarta edición, Rolling Meadows, IL, 1992. Certified Information Systems Auditor Job Analysis: (Análisis del Trabajo del Auditor de Sistemas de Información Certificado). Consejo de Certificación de la Asociación de Auditoría y Control de Sistemas de Información, Rolling Meadows, IL, 1994. Computer Control Guidelines (Pautas para el Control Informático). Instituto Canadiense de Contadores Matriculados (CICA), Toronto, 1986. International Guidelines for Managing Security of Information and Communications (Pautas Internacionales para la Administración de la Seguridad de Información y Comunicaciones). Federación Internacional de Contadores, Nueva York, NY, 1997. International Guidelines on Information Technology Management –Managing Information Technology Planning for Business Impact (Draft) (Pautas Internacionales sobre Administración de Tecnología de Información – Administración de Planificación de la Tecnología de Información para el Impacto en el Negocio (Borrador)). Federación Internacional de Contadores, Nueva York, NY, 1998. Standards for Internal Control in the U.S. Federal Government (Normas para el Control Interno en el Gobierno Federal de los Estados Unidos) Departamento Federal de Contabilidad General, Washington D.C., 1983. Guide to Auditing for Controls and Security: A System Development Life Cycle Approach (Guía de auditoría de controles y seguridad: Enfoque del ciclo de vida de desarrollo de sistemas). Publicación especial de la NBS 500-153. Secretaría de Comercio de los EE.UU., Instituto Nacional de Normas y Tecnología, Washington, D.C., 1988. Government Auditing Standards (Normas de Auditoría del Gobierno). Departamento Federal de Contabilidad General, Washington D.C., 1994. Denmark Generally Accepted IT Management Practices (Prácticas Danesas Generalmente Aceptadas de Administración de TI) Instituto de Contadores Autorizados por el Estado, Dinamarca, 1994. Software Process Improvement and Capability Determination (Determinación de la Capacidad y las Mejoras del Proceso de Software). Norma sobre mejoras en el proceso. Institución de Normas Británicas, Londres, 1995. Guidelines for Business Continuity Planners (Pautas para los planificadores de continuidad de negocio). Instituto Internacional de Recuperación ante Desastres (DRII), St. Louis, MO, 1997. Systems Auditability and Control Report (Informe sobre auditabilidad y control de sistemas). Fundación de Investigación del Instituto de Auditores Internos. Alamonte Springs, Florida, 1991, 1994.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
65
COBIT
Professional Practices Pamphlet 97-1, Electronic Commerce (Panfleto de práctica profesional, Comercio Electrónico). Fundación de Investigación del Instituto de Auditores Internos. Alamonte Springs, Florida, 1997. SAP R/3 Audit Guide (Guía de auditoría SAP R/3). Ernst & Young, Cleveland, OH, 1996. SAP R/3: Its Use, Control and Audit (SAP R/3: Su uso, control y auditoría), Coopers & Lybrand, Nueva York, NY, 1997. ISO IEC JTC1/SC27 Information Technology – Security (ISO IEC JTC1/SC27 Tecnología de Información – Seguridad). Comisión Técnica sobre Seguridad de la Tecnología de Información de la Organización Internacional para la Normalización (ISO), Suiza, 1998. An Assessment Model and Guidance Indicator (Un Modelo de Evaluación e Indicadores de Pautas) Comisión Técnica sobre Evaluación del Software de Proceso de la Organización Internacional para la Normalización (ISO), Suiza, 1992 ISO TC68/SC2/WG4 Information Security Guidelines for Banking and Related Financial Services (ISO TC68/SC2/WG4 Pautas de Seguridad de Información para Bancos y Servicios Financieros Relacionados). Comisión Técnica sobre Bancos y Servicios Financieros de la Organización Internacional para la Normalización (ISO), Borrador, Suiza, 1997. Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft (Alineación y comparación del criterio existente en cuanto a seguridad de TI de Europa, Estados Unidos y Canadá). Consejo de Implementación de un Criterio Común, Borrador, Washington D.C., 1997. Recommended Practice for EDI (Práctica recomendada para EDI). EDIFACT (EDI para Administración, Comercio y Negocios), París, 1987. TickIT – “Guide to Software Quality Management System Construction and Certification” (Guía para la construcción y certificación de sistemas de administración de calidad del software). Secretaría Británica de Comercio e Industria (DTI), Londres, 1994. Communications Network Security (Seguridad de Red de Comunicaciones), Septiembre, 1991. Baseline Controls for Local Area Networks (Controles básicos para las redes de área local), Foro para la Seguridad Europea, Londres, Septiembre de 1994. Microcomputers Attached to Network (Microcomputadoras adjuntadas a las redes) Foro para la Seguridad Europea, Londres, Junio 1990. Computerized Information Systems (CIS) Audit Manual (Manual de Auditoría de los Sistemas de Información Computarizados (CIS)). Fundación de Auditores de EDP (actualmente Fundación para el Control y Auditoría de los Sistemas de Información), Rolling Meadows, IL, 1992.
66
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
APÉNDICE III – GLOSARIO DE TÉRMINOS AICPA CICA CISA CCEB Control
COSO DRI DTI EDIFACT EDPAF ESF
GAO I4
IBAG
IFAC IIA INFOSEC ISACA ISACF ISO ISO9000
Instituto Estadounidense de Contadores Públicos Instituto Canadiense de Contadores Públicos Auditor Acreditado de Sistemas de Información Criterio Común para la Seguridad de Tecnología de Información Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para brindar una garantía razonable o suficiente de que se lograrán los objetivos de negocio y de que los eventos no deseados se evitarán, detendrán o corregirán. Comité de Organizaciones Patrocinantes de la Comisión Treadway Instituto Internacional de Recuperación de Desastres Secretaría de Industria y Comercio del Reino Unido Intercambio electrónico de datos para la administración y el comercio Fundación de Auditores del Procesamiento Electrónico de Datos (actualmente ISACF) Foro europeo de seguridad, en el que cooperan más de 70 multinacionales fundamentalmente europeas con el objeto de llevar a cabo investigaciones relativas a los problemas comunes de seguridad y control en TI. Departamento Federal de Contabilidad General Instituto Internacional para la Integridad de la Información, asociación similar a la ESF, con metas análogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigación de Standford. Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comité de Infosec. Este comité está integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su asesoramiento a la Comisión Europea en asuntos relativos a la seguridad de TI. Federación Internacional de Contadores Instituto de Auditores Internos Comité asesor en asuntos relativos a la seguridad de TI de la Comisión Europea Asociación de Auditoría y Control de Sistemas de Información Fundación de Auditoría y Control de Sistemas de Información Organización Internacional de Normalización (con sede en Ginebra, Suiza) Normas de administración y garantía de calidad definidas por la ISO
Objetivo de Control de TI ITIL
Declaración del resultado o fin que se desea lograr mediante la implementación de procedimientos de control en una actividad de TI determinada. Biblioteca de la infraestructura de tecnología de información
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
67
COBIT ITSEC
NBS NIST (ex NBS) NSW OCDE OSF PCIE SPICE TCSEC
TickIT
Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo de la Comisión Europea (véase también TCSEC, el equivalente de los EE.UU.). Oficina Nacional de Normas de los EE.UU. Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C. Nueva Gales del Sur, Australia Organización de Cooperación y Desarrollo Económico Fundación abierta del software Consejo del Presidente sobre Integridad y Eficiencia Determinación de Capacidad y Mejoras del Proceso de Software – una norma sobre la mejora del proceso de software Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el nombre de “Orange Book” (Libro naranja). Criterios de evaluación que fueran definidos originalmente por el Ministerio de Defensa de los EE.UU. Véase también ITSEC, el equivalente europeo. Guía para la Construcción y Certificación del Sistema de Administración de Calidad del
Software
68
OBJETIVOS DE CONTROL
TM
COBIT T Objetivos de Control Abril de 1998 Segunda Edición Publicado por el Comité de Dirección de COBIT y la Information Systems Audit and Control Foundation. Versión preliminar en Español sujeta a aprobación de ISACF Traducción del texto aprobado en Inglés realizada por el Capítulo Buenos Aires Information Systems Audit and Control Association Av Corrientes 389, 5to piso (1327) Capital Federal - Argentina E- mail:
[email protected] Se hace reserva de todos los derechos Impreso en Argentina
LA MISIÓN DE COBIT: Investigar, desarrollar, publicar y promover una serie internacional, autorizada y actualizada de objetivos de control de tecnología de información generalmente aceptados para su uso diario por parte de auditores y gerentes de negocio.
ALEMANIA ANTILLAS ARABIASAUDITA ARGENTINA
INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Un único centro de consulta internacional en controles de Tecnología de Información
AUSTRIA BAHAMAS BAHREIN BARBADOS BÉLGICA BERMUDA BOLIVIA BRASIL BULGARIA CANADÁ CHILE CHINA CHIPRE COLOMBIA COREA COSTA RICA CUBA DINAMARCA ECUADOR EE.UU. EGIPTO
La Information Systems Audit and Control Association es una organización de profesionales líder a nivel mundial con representación en más de 100 países, que abarca todos los niveles de TI: ejecutivo, gerencia senior, gerencia de nivel intermedio y profesionales. La Asociación se encuentra en una posición exclusiva para desempeñar el rol de un ente centralizador y unificador de normas relativas a las prácticas de control de TI para todo el mundo. Sus alianzas estratégicas con otros grupos en el ámbito financiero, contable, de auditoría y de TI garantizan un nivel inigualable de integración y compromiso por parte de los responsables de procesos de negocio.
EMIRATOSÁRABESUNIDOS ESCOCIA ESLOVENIA ESPAÑA ESTONIA FILIPINAS FINLANDIA FRANCIA GALES GHANA GRECIA GUAM HOLANDA HONG KONG HUNGRÍA INDIA INDONESIA IRLANDA ISLANDIA
ITALIA JAMAICA JAPÓN JORDANIA
ARUBA AUSTRALIA
ISRAEL
Programas y servicios
Los servicios y programas de la Asociación han sido distinguidos por establecer los máximos niveles de excelencia en materia de certificación, normas, capacitación profesional y publicaciones técnicas. • Su programa de certificación (Certified Information Systems Auditor) es el único que brinda este título a nivel mundial en toda la comunidad de auditoría y control de TI. • Sus actividades referentes a las normas establecen las bases de calidad en virtud de la cual se miden las demás
actividades de auditoría y control de TI. • Su programa de capacitación profesional ofrece conferencias técnicas y de administración en los cinco continentes así como también seminarios a nivel mundial con el propósito de ayudar a los profesionales de todo el mundo a recibir capacitación permanente de alta calidad. • Su área de publicaciones técnicas brinda bibliografía y materiales de desarrollo profesional, que se suman a su distinguida selección de programas y servicios. La Information Systems Audit and Control Association se creó en el año 1969 con el objeto de satisfacer las necesidades exclusivas, diversas y de alta tecnología del campo de TI en constante crecimiento. En una industria en que el progreso se mide en nanosegundos, ISACA se moviliza con agilidad y celeridad a fin de dar respuesta a las necesidades de la comunidad internacional de negocios y a los profesionales en el área de controles de TI. Para obtener mayor información
Si desea recibir mayor información, puede comunicarse telefónicamente con la institución llamando al (+1.847.253.1545), enviar un e-mail (
[email protected].), o bien puede visitar nuestra página web (http://www.isaca.org).
KENIA KUWAIT LATVIA LÍBANO LIETCHTENSTEIN LUXEMBURGO MALASIA MALTA MAURICIO MÉXICO MICRONESIA NAURU NIGERIA NORUEGA NUEVAGUINEA NUEVAZELANDA OMÁN PANAMÁ PERÚ POLONIA PORTUGAL QATAR REINO UNIDO REPÚBLICACHECA REPÚBLICADOMINICANA SEYCHELLES SINGAPUR SIRIA SRI LANKA SUDÁFRICA SUECIA SUIZA TAILANDIA TAIWÁN TASMANIA TRINIDADY TOBAGO TURQUÍA URUGUAY VENEZUELA ZAMBIA ZIMBABWE
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
TABLA DE CONTENIDO Agradecimientos
4-6
Sumario Ejecutivo
7-9
Antecedentes
10-12
El Marco COBIT Definición del Ambito de Aplicación
13-16
Principios del Marco de Referencia
17-22
Guía de uso del Marco COBIT y de los Objetivos de Control
23-25
Principios de los Objetivos de Control
27
Cuadro Sinóptico
28
Relaciones entre los Objetivos de Control: Dominios, procesos y objetivos de control Objetivos de Control Planificación y Organización Adquisición e Implementación Entrega y Soporte Monitoreo
29-35 37 38-71 72-89 90-129 130-138
Apéndice I Descripción del Proyecto COBIT
139-141
Apéndice II Bibliografía principal
143-145
Apéndice III Glosario de Términos Indice
146-147 148-155
Descargo de responsabilidades La Fundación de Auditoría y Control de Sistemas de Información y los patrocinadores de COBIT: Objetivos de Control de Información y Tecnologías Relacionadas concibieron el producto fundamentalmente como recurso educativo para los profesionales dedicados al área de control. La Fundación y los patrocinadores de ninguna manera afirman que el uso de este producto garantizará un resultado satisfactorio. No debe considerarse que este producto incluye todos los procedimientos y pruebas correctos o que excluye otros procedimientos y pruebas orientados razonablemente a obtener los mismos resultados. Para determinar la conveniencia de un determinado procedimiento o de una prueba específica, el profesional a cargo de los controles deberá aplicar su propio criterio profesional a las circunstancias específicas de control que presenta el ambiente de sistemas o la tecnología de información en un caso determinado. Declaración Copyright © 1996, 1998 de The Information Systems Audit and Control Foundation (ISACF) (Fundación de Auditoría y Control de Sistemas de Información). Prohibida su reproducción para fines comerciales sin previa autorización por escrito de la ISACF. Por la presente se autoriza la reproducción del Sumario Ejecutivo, Marco y Objetivos de Control para fines no comerciales, uso interno, incluido el almacenamiento en un sistema de recuperación y su transmisión a través de cualquier medio, incluidos los medios electrónicos, mecánicos, de grabación u otros. Todas las copias del Sumario Ejecutivo, Marco y Objetivos de Control deben incluir la siguiente declaración y reconocimiento de copyright: Copyright © 1996, 1998 de The Information Systems Audit and Control Foundation (Fundación de Auditoría y Control de Sistemas de Información). Reimpreso con autorización de la Fundación de Auditoría y Control de Sistemas de Información. No se concede ningún otro derecho o permiso con respecto a esta publicación. Las Pautas de Auditoría y el Conjunto de Herramientas de Implementación no podrán copiarse, almacenarse en un sistema de recuperación ni transmitirse de ninguna forma y por ningún medio, ya sea electrónico, mecánico, fotocopiado, grabación u otro, sin la autorización previa por escrito de ISACF. Con excepción de las declaraciones precedentes, no se concede ningún otro derecho o permiso con respecto a esta publicación. Fundación de Auditoría y Control de Sistemas de Información 3701 Algonquin Road, Suite 1010 Rolling Meadows, IL 60008 USA Teléfono: +1.847.253.1545 Fax: +1.847.253.1443 E-mail:
[email protected] Web site: www.isaca.org ISBN ISBN
0-9629440-5-X (Objetivos de Control) 0-9629440-3-3 (Paquete completo de 5 libros con CD-ROM) Impreso en Estados Unidos de América.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
3
COBIT AGRADECIMIENTOS PRINCIPALES EMPRESAS PATROCINANTES MUNDIALES
EMPRESAS PATROCINANTES ASOCIADAS Fellesdata p/a, Noruega NoviT p/a, Noruega
PRINCIPALES CAPÍTULOS PATROCINANTES
DE ISACA
Benelux Area Capital Nacional Area Metropolitana de Nueva York
Noruega Toronto
CAPÍTULOS DE ISACA PATROCINANTES ASOCIADOS Adelaide Alabama del Norte Arkansas Central Atlanta Auckland Austin Bangkok Brisbane Canberra Denver Detroit Filadelfia Finlandia Gran Hartford Hawaii Houston Hudson Valley Indiana Central Indonesia Londres Los Angeles Maryland Central Minnesota
Nueva Inglaterra Nueva Jersey Nueva México Ohio Noreste Pittsburgh Puget Sound Reino Unido Norte Research Triangle Sacramento San Diego Santiago de Chile Seúl St. Louis Suecia Tennessee Medio Texas del Norte Texas del Sur Tokio Tulsa Victoria Virginia Wellington Winnipeg
CONTRIBUYENTES INDIVIDUALES Bill Bartgis John Beveridge William Bialkowski Allen Bragan Maryanne S. Canant Michael Donahue John Lainhart Akira Matsuo
4
OBJETIVOS DE CONTROL
Teresa McCauley Robert G. Parker Daniel Ramos Deepak Sarup Lily Shue Patrick Stachtchenko Kevin Weston
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
AGRADECIMIENTOS EQUIPO DEL PROYECTO
REVISIÓN ESPECIALIZADA, EE.UU.
Erik Guldentops, S.W.I.F.T.S.C., Bélgica Eddy Schuermans, Coopers & Lybrand, Bélgica Thomas Lamm, ISACF, EE.UU.
Prof. Ulric J. Gelinas, Bentley College John Hayes, Price Waterhouse LLP Greg Hedges, Arthur Andersen & Co., S.C. Dave Kent, Price Waterhouse LLP Tom Kothe, Ernst & Young LLP John Lainhart, Inspector General, Cámara de Diputados de la Nación, EE.UU. Robert Roussey, University of Southern California
COMITÉ DE DIRECCIÓN DEL PROYECTO Erik Guldentops, S.W.I.F.T.S.C., Bélgica John Beveridge, Departamento de Auditoría del Estado, Massachusetts, EE.UU. Prof. Dr. Bart De Schutter, Vrije Universiteit de Bruselas, Presidente BRT Bélgica Gary Hardy, Arthur Andersen, Reino Unido John Lainhart, Inspector General, Cámara de Diputados de la Nación, EE.UU. Akira Matsuo, Chuo Audit Corporation, Japón Eddy Schuermans, Coopers & Lybrand, Bélgica Paul Williams, Arthur Andersen, Reino Unido Thomas Lamm, ISACF, EE.UU.
INVESTIGADORES Vrije Universiteit Amsterdam, Holanda Prof. M.E. Van Biene-Hershey René Barlage, RB Consultores Universidad Politécnica de California, EE.UU. Prof. Dan Manson, Investigador Jefe
REVISIÓN ESPECIALIZADA, EUROPA Chris Bagot, OTAN René Barlage, RB Consultores Prof. Dr. Henri Beker, Zergo, Ltd. John Beveridge, Ex-presidente Internacional de ISACA Erik Guldentops, S.W.I.F.T. S.C. Gary Hardy, Arthur Andersen Eddy Schuermans, Coopers & Lybrand Alan Stanley, Forum de Seguridad Europeo Danny Van Riel, Johnson & Johnson Bram Vandenberg, Ernst & Young
CERTIFICACIÓN DE CALIDAD Gary Austin, GAO Chris Bagot, OTAN Rick Beatty, California Federal Bank Peter De Koninck, Coopers & Lybrand Balencia Dozier, Manufacturers Bank Doris Gin, Arthur Andersen & Co. LLP A.I. Heijkamp, Computercentrum VSB Max Huijbers, Rijkscomputercentrum Peter Maertens, OTAN Bill Pepper, Zergo, Ltd. Mark Stanley, Santa Bargara Bank Tjerk Terpstra, Inter Access Mark Wheeler, Farmers Insurance Carla Williams, Executive Consultants.
AGRADECEMOS ESPECIALMENTE a los miembros del Consejo Directivo de la Information Systems Audit and Control Association y a los miembros del Consejo de Administración de la Information Systems Audit and Control Foundation por su continuo e inquebrantable apoyo a la familia de productos COBIT.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
5
COBIT AGRADECIMIENTOS Versión en Español Edición especial para Organismos Gubernamentales
PATROCINANTE DE LA VERSIÓN EN ESPAÑOL
Sindicatura General de la Nación República Argentina
PRINCIPALES CAPÍTULOS DE ISACA PATROCINANTES Buenos Aires Mendoza
EQUIPO DEL PROYECTO PARA LA VERSIÓN EN ESPAÑOL Coordinación: Juan de Dios Bel, CISA, CFE
Fabiana L. Marges, CISA PricewaterhouseCoopers Ana C. Russo, CISA SIGEN Rubén A. Escobar, CISA BCRA Jorge N. Nunes, CISA ANSES Juan José Dell Acqua, CISA Argencard Marcelo H. González, CISA BCRA Marina L. Varela, CISA SIGEN Héctor D. Cazzasa, CISA Grant Thornton Fernando Vidal Lobo, CISA Pistrelli, Díaz y Asociados María Estefanía Rizzo, CISA SIGEN Laura Pérez Serantes, CISA Correo Argentino
REVISIÓN ESPECIALIZADA DE LA TRADUCCIÓN Martín Carrizo
El Capítulo Buenos Aires agradece especialmente a la SINDICATURA GENERAL DE LA NACIÓN de la República Argentina la preparación de esta versión en español y el constante apoyo recibido.
Diseño Gráfico: María Elizabeth Gioiosa
6
SIGEN
OBJETIVOS DE CONTROL
SUMARIO EJECUTIVO ara el éxito y la supervivencia de una organización la administración eficiente de la información y de la Tecnología de Información (TI) relacionada es sumamente crítica. En esta sociedad de información globalizada, en la cual la información viaja a través del ciberespacio sin limitaciones de tiempo, distancia ni velocidad, este problema surge de: • el aumento de la dependencia de la información y de los sistemas que la proveen; • el aumento de la vulnerabilidad y del amplio espectro de amenazas, tales como las ciberamenazas y la guerra de la información; • la escala y costos de las inversiones actuales y futuras en información y en sistemas de información; y • el potencial que poseen las tecnologías para cambiar drásticamente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos.
P
Para muchas organizaciones, la información y la tecnología que le da soporte representan el bien más valioso. Más aún, en el ambiente actual extremadamente competitivo y de rápido cambio, la gerencia ha elevado sus expectativas respecto de las funciones de entrega de TI. En realidad, la información y los sistemas de información han penetrado en las organizaciones, desde las plataformas de usuarios a las redes de área local y amplia hasta los servidores de clientes y los sistemas mainframe. Es por ello que la gerencia requiere mayor calidad, funcionalidad y facilidad de uso; menor tiempo de entrega; y niveles de servicio en continua mejora, a la vez que demanda obtenerlos a menor costo. Muchas organizaciones reconocen los beneficios potenciales que puede producir la tecnología. Sin embargo, las organizaciones exitosas comprenden y manejan los riesgos asociados con la implementación de nuevas tecnologías. Por lo tanto, es necesario que la gerencia evalúe y comprenda básicamente los riesgos y las limitaciones de TI para proveer una
dirección eficaz y los controles adecuados. COBIT ayuda a llenar el vacío entre los riesgos de negocio, las necesidades de control y los temas técnicos. Provee buenas prácticas a través de un marco de dominio y proceso y presenta las actividades en una estructura manejable y lógica. Las “buenas prácticas” de COBIT significa el consenso de los expertos; le ayudarán a optimizar su inversión en información, y más aún, serán el instrumento por el cual se lo juzgará cuando las cosas no funcionen bien.
L
as organizaciones deben satisfacer los requerimientos de calidad, fiduciarios y de seguridad en lo que respecta a la información y a todos sus bienes. La gerencia debe optimizar el uso de los recursos disponibles incluyendo las personas, instalaciones, tecnología, sistemas de aplicación y datos. Para cumplir con las obligaciones emergentes de esta responsabilidad y para lograr sus objetivos, la gerencia debe establecer un sistema adecuado de control interno. Dicho sistema o marco debe brindar soporte a los procesos de negocio y debe ser claro en lo que atañe a la forma en la que cada actividad de control afecta a los recursos y satisface los requerimientos de información. En el Marco de COBIT se destaca el impacto sobre los recursos de TI junto con los requerimientos de negocio en cuanto a la efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información que deben satisfacerse. El control, que incluye políticas, estructuras organizacionales, prácticas y procedimientos, es responsabilidad de la gerencia. La gerencia, a través de su gobernabilidad corporativa debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de los sistemas de información. Un objetivo de control de TI constituye una declaración del resultado o fin que se desea lograr mediante la implementación de procedimientos de control específicos dentro del ámbito de una actividad de TI determinada.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
7
COBIT
L
a orientación hacia el negocio es el tema principal de COBIT. Está concebido no sólo para que lo empleen los usuarios y auditores sino también, y lo que es más importante aún, para que lo utilicen los responsables de procesos de negocio como una lista de verificación integral. Cada vez más, las prácticas de negocio implican la total delegación a los responsables del proceso de negocio de la plena responsabilidad por todos los aspectos del proceso. En particular, esto incluye la provisión de controles adecuados. El Marco de COBIT ofrece una herramienta para el responsable de procesos de negocio que facilita el cumplimiento de las obligaciones inherentes a esta responsabilidad. Dicho Marco comienza con una premisa simple y pragmática: Es preciso administrar los recursos de TI por medio de una serie de procesos agrupados naturalmente, a fin de brindar la información que la organización necesita para lograr sus objetivos. ontinúa con una serie de 34 objetivos de control de alto nivel, uno por cada proceso de TI, agrupados en cuatro dominios: planificación y organización, adquisición e implementación, entrega y soporte, y monitoreo. Esta estructura abarca todos los aspectos de la información y la tecnología que le da soporte. Al abordar estos 34 objetivos de control de alto nivel, el responsable del proceso de negocio podrá garantizar que se suministre un sistema de control adecuado para el ambiente de TI. Asimismo, para cada uno de los 34 objetivos de control de alto nivel encontrará una pauta de auditoría o garantía, que le permitirá revisar los procesos de TI en comparación con los 302 objetivos de control detallados recomendados por COBIT, para brindar a la gerencia garantía y/o asesoramiento para mejorar. COBIT contiene un Conjunto de Herramientas de Implementación que proveen información sobre la experiencia de aquellas organizaciones que aplicaron rápida y exitosamente COBIT en sus ambientes de trabajo. Incluye un Resumen Ejecutivo para que la gerencia senior se concientice y comprenda los conceptos importantes y los principios de COBIT. La guía de implementación tiene dos herramientas útiles, Diagnóstico de
C
8
Concientización de la Gerencia y Diagnóstico de Control de TI, que lo ayudarán a analizar el ambiente de control de TI de una organización. a gerencia de la organización necesita un marco de referencia de prácticas generalmente aplicables y aceptadas de gobernabilidad y control de TI a fin de efectuar el “benchmarking” de su ambiente de TI existente y planificado. COBIT es una herramienta que permite a los gerentes comunicarse y llenar el vacío con respecto a los requerimientos de control, los temas técnicos y los riesgos de negocio. COBIT posibilita el desarrollo de políticas claras y buenas prácticas para el control de TI en toda la organización, a nivel mundial. Es la meta de COBIT suministrar estos objetivos de control dentro del marco definido, y obtener el respaldo de las organizaciones comerciales, gubernamentales y profesionales en todo el mundo. Por lo tanto, el objetivo de COBIT es ser la herramienta más avanzada para la gobernabilidad, control y auditoría de información que ayude a comprender y a administrar los riesgos asociados con la información y tecnologías relacionadas.
L
OBJETIVOS DE CONTROL
SUMARIO EJECUTIVO PROCESOS DE TI DE COBIT DEFINIDOS DENTRO DE LOS CUATRO DOMINIOS
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
9
COBIT ANTECEDENTES DESARROLLO DEL PRODUCTO COBIT
COBIT se desarrolló como una norma generalmente aplicable y aceptada de buenas prácticas para la seguridad y el control de tecnología de información (TI). COBIT es la herramienta más avanzada para la gobernabilidad, control y auditoría de información y tecnologías relacionadas. COBIT se basa en los Objetivos de Control de la Fundación de Auditoría y Control de Sistemas de Información (ISACF) ampliados con las normas internacionales vigentes y emergentes de índole técnica, profesional, regulatoria y específica de la industria. Los objetivos de control resultantes se elaboraron para su aplicación a los sistemas de información de toda la organización. El término “generalmente aplicable y aceptada” se emplea explícitamente en el mismo sentido que Principios de Contabilidad Generalmente Aceptados (PCGA). A los fines de COBIT, se entenderá por “buenas prácticas” el consenso de los expertos – le ayudarán a optimizar su inversión en información, y más aún, serán el instrumento por el cual se lo juzgará cuando las cosas no funcionen bien. La norma es relativamente reducida en cuanto a su dimensión y trata de ser pragmática y de responder a las necesidades de negocio con independencia de las plataformas técnicas de TI adoptadas en una organización. Se determinó que la mejora de los Objetivos de Control originales consistirá en: Û el desarrollo de un marco para el control de TI que sirva de base para los objetivos de control de TI y de fuerza impulsora de la investigación constante en materia de auditoría y control de TI; Û una alineación del marco general y los objetivos de control individuales con las normas y reglamentaciones internacionales vigentes de hecho y de derecho; 10
Û una revisión crítica de las distintas actividades y tareas subyacentes de los dominios de control de TI y, de ser posible, la especificación de los parámetros del desempeño pertinentes (normas, reglas, etc.), y Û una revisión crítica y una actualización de las pautas existentes para realizar auditorías de sistemas de información. Si bien no se excluyen otras normas aceptadas en el área de control de sistemas de información que pueden haber salido a la luz durante la investigación, se identificaron las siguientes fuentes: Normas técnicas ISO, EDIFACT, etc.; Códigos de conducta publicados por el Consejo de Europa, OECD, ISACA, etc.; Criterios de calificación de sistemas y procesos de TI: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Criterios Comunes, etc.; Normas profesionales de control interno y auditoría: Informe COSO, IFAC, AICPA, ISACA, IIA, PCIE, normas GAO, etc.; Prácticas y requerimientos de la industria emanados de foros de la industria (ESF, 14) y plataformas patrocinadas por el gobierno (IBAG, NIST, DTI), etc.; y Requisitos emergentes específicos de la industria del sector bancario, del comercio electrónico y del sector de producción de TI. (Consulte el apéndice III, Glosario de Términos). DEFINICION DEL PRODUCTO COBIT
Como resultado del desarrollo de COBIT se publicó lo siguiente: • un Resumen Ejecutivo que, junto con esta sección de Antecedentes, consta de una Reseña Ejecutiva (que provee a la gerencia senior la concientización y la comprensión de los conceptos y los principios clave de COBIT) y el Marco (que provee a la gerencia senior OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
•
•
•
•
una comprensión más detallada de los conceptos y principios de COBIT, e identifica los cuatro dominios de COBIT y los 34 procesos de TI correspondientes); el Marco que describe detalladamente los 34 obje-tivos de control de TI de alto nivel de COBIT, e iden-tifica los requerimientos de negocio en cuanto a la información y a los recursos de TI principalmente afectados por cada objetivo de control; los Objetivos de Control que contienen las declaraciones de los resultados esperados o de las metas que se desean alcanzar a través de la implementación de 302 objetivos de control detallados y específicos a través de los 34 Procesos de TI; las Pautas de auditoría que contienen los pasos sugeridos de auditoría que corresponden a cada uno de los 34 objetivos de control de TI de alto nivel para ayudar a los auditores de sistemas de información a revisar los procesos de TI en comparación con los 302 objetivos de control detallados recomendados de COBIT para proveer a la gerencia la garantía y/o asesoramiento para lograr mejoras; y un Conjunto de Herramientas de Implementación que brinda la experiencia obtenida por aquellas organizaciones que aplicaron COBIT en forma rápida y con éxito en sus ambientes de trabajo.
El Conjunto de Herramientas de Implementación incluye la Reseña Ejecutiva, que brinda a la gerencia senior la concientización y la comprensión de COBIT. También incluye una guía de implementación con dos herramientas útiles – Management Awareness Diagnostic (Diagnóstico de Concientización de la Gerencia) e IT Control Diagnostic (Diagnóstico de Control de TI) – como ayuda para analizar el ambiente de control de TI de una organización. También se incluye una cantidad de estudios de casos con información sobre la forma en que las organizaciones en todo el mundo han implementado COBIT satisfactoriamente.
Además, se incluyen respuestas a las 25 preguntas sobre COBIT formuladas con mayor frecuencia y varias presentaciones de diapositivas para distintos niveles jerárquicos y de audiencia dentro de las organizaciones. EVOLUCION DEL PRODUCTO COBIT
COBIT evolucionará con el transcurso de los años y será la base de las futuras investigaciones. Por lo tanto, se generará así una familia de productos COBIT, y a medida que esto suceda, se perfeccionarán las tareas y actividades de TI que sirven como estructura para organizar los Objetivos de Control de TI y se revisará el balance entre los dominios y los procesos a la luz del “panorama cambiante” de la industria. Un agregado importante para la familia de productos COBIT es el desarrollo de Pautas de Gestión que incluyen los Factores Críticos del Exito, los Indicadores Clave del Desempeño y los Benchmarks. Este agregado proveerá a la gerencia de las herramientas para evaluar el ambiente de TI de sus organizaciones en comparación con los 34 Objetivos de Control de alto nivel de COBIT. Los Factores Críticos del Exito identificarán los temas/medidas más importantes que la gerencia debe considerar/tomar para llevar a cabo el control sobre sus procesos de TI. Los Indicadores Clave del Desempeño proveerán una medida del éxito que le indicará a la gerencia si un proceso de TI está logrando sus requerimientos de negocio. Los benchmarks definirán los niveles de madurez que podrá usar la gerencia para: (1) determinar el nivel de madurez actual de la organización; (2) determinar el nivel de madurez que se desea alcanzar, como función de sus riesgos y objetivos; y (3) proporcionar una base para comparar sus prácticas de control de TI con las normas de sus pares y/o de la industria. Este agregado le proveerá a la gerencia herramientas para evaluar el ambiente de TI de la organización en comparación con los 34 Objetivos de Control de alto nivel de COBIT. La investigación y la publicación fueron posibles
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
11
COBIT gracias a la importante colaboración de Unisys, Unitech Systems, Inc., MIS Training Institute, Zergo, Ltd., y Coopers & Lybrand. El Foro de Seguridad Europeo (ESF: European Security
Forum) ha generosamente aportado material de investigación al proyecto. Se recibieron otras donaciones de los Capítulos de ISACA y de miembros de todo el mundo.
Familia de Productos COBIT SUMARIO EJECUTIVO CONJUNTO DE HERRAMIENTAS DE IMPLEMENTACIÓN
-
MARCO con Objetivos de Control de Alto Nivel
12
PAUTAS DE GESTIÓN
OBJETIVOS DE CONTROL DETALLADOS
PAUTAS DE AUDITORÍA
Factores Críticos del Éxito
Indicadores Clave del Desempeño
Benchmarks
Sumario Ejecutivo Reseña Ejecutiva Estudio de Casos Preguntas Frecuentes Presentaciones en Power Point Guía de Implementación *Diagnóstico de Concientización de la Gerencia *Diagnóstico de Control de TI
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
EL MARCO COBIT DEFINICIÓN DEL AMBITO DE APLICACIÓN LA NECESIDAD DEL CONTROL DE LA TECNOLOGÍA DE INFORMACIÓN
En los últimos años, la necesidad de un marco de referencia para la seguridad y el control de la tecnología de información (TI) se presenta con una evidencia cada vez mayor ante los reguladores, legisladores, usuarios y prestadores de servicios. Para el éxito y la supervivencia de una organización la administración eficiente de la Tecnología de Información (TI) es sumamente crítica. En esta sociedad de información globalizada, en la cual la información viaja a través del ciberespacio sin limitaciones de tiempo, distancia ni velocidad, este problema surge de: • el aumento de la dependencia de la información y de los sistemas que la proveen; • el aumento de la vulnerabilidad y del amplio espectro de amenazas, tales como las ciberamenazas y la guerra de la información; • la escala y costos de las inversiones actuales y futuras en información y en sistemas de información; y • el potencial que poseen las tecnologías para cambiar drásticamente las organizaciones y las prácticas de negocio, crear nuevas oportunidades y reducir costos. Para muchas organizaciones, la información y la tecnología que le da soporte representan el bien más valioso. En realidad, la información y los sistemas de información han penetrado en las organizaciones, desde las plataformas de usuarios a las redes de área local y amplia hasta los servidores de clientes y los sistemas mainframe. Muchas organizaciones reconocen los beneficios potenciales que puede producir la tecnología. Sin embargo, las organizaciones exitosas comprenden y manejan los riesgos asociados con la implementación de nuevas tecnologías. Por lo tanto, es necesario que la gerencia evalúe y comprenda básicamente los riesgos y las limitaciones de TI para proveer una dirección eficaz y los controles adecuados.
La GERENCIA debe decidir lo que ha de invertir razonablemente en seguridad y control de TI y cómo equilibrar el riesgo y la inversión en control en un ambiente de TI a menudo imprevisible. Si bien la seguridad y el control de los sistemas de información ayudan a manejar los riesgos, no los elimina. Además, el nivel exacto de riesgo nunca se puede conocer ya que siempre hay cierto grado de incertidumbre. Por último, la gerencia debe decidir el nivel de riesgo que está dispuesta a aceptar. Determinar qué nivel se puede tolerar, en especial cuando se lo compara con el costo, puede constituir una difícil decisión de gestión. Por lo tanto, la gerencia necesita un marco de prácticas generalmente aceptadas de seguridad y control de TI a fin de efectuar el “benchmarking” de su ambiente de TI existente y planificado. Los USUARIOS de servicios de TI tienen una creciente necesidad de que se les garantice, a través de la acreditación y auditoría de los servicios de TI provistos a nivel interno o por terceros, de que existen seguridad y control adecuados. Sin embargo en la actualidad la implementación de buenos controles de TI en sistemas de información, ya sea que se trate de organizaciones comerciales, de instituciones sin fines de lucro o de entidades gubernamentales, se vio obstaculizada por la confusión. La confusión surge de los distintos métodos de evaluación que existen, tales como las evaluaciones ITSEC, TCSEC, ISO 9000, las emergentes de control interno de COSO, etc. En consecuencia, los usuarios necesitan en primer lugar que se establezca un fundamento general. Con frecuencia, los AUDITORES tomaron la iniciativa en los esfuerzos de estandarización internacional ya que continuamente se enfrentan con la necesidad de justificar el dictamen sobre el control interno que presentan a la gerencia. Sin un marco de referencia, esta tarea es extremadamente difícil. Acreditan lo dicho varios estudios realizados recientemente acerca de la forma en que los auditores juzgan situaciones complejas de seguridad y control de
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
13
COBIT TI, estudios estos que se llevaron a cabo casi simultáneamente en distintas partes del mundo. Además, la gerencia solicita cada vez más a los auditores que asesoren y aconsejen de modo proactivo en asuntos relacionados con la seguridad y el control de TI. EL AMBIENTE DE NEGOCIO: COMPETENCIA, CAMBIOS Y COSTOS
La competencia mundial está aquí. Las organizaciones se están reestructurando a fin de modernizar sus opera-ciones y simultáneamente aprovechar los avances en TI a fin de mejorar su posición competitiva. La reingenie-ría de negocio, el dimensionamiento correcto, la tercerización, la delegación, las organizaciones horizontales, el procesamiento distribuido, son todos cambios que afectan la forma en que operan las organizaciones de negocio y gubernamentales. Estos cambios tienen y seguirán teniendo profundas repercusiones en las estructuras de control administrativo y operativo en el seno de las organizaciones a nivel mundial. El énfasis en el logro de una ventaja competitiva y la efectividad en cuanto a costos implica que se depende cada vez más de la tecnología como principal componente de la estrategia de la mayoría de las organizaciones. La automatización de las funciones organizacionales está determinando, por su propia naturaleza, la incorporación de mecanismos de control más potentes en computadoras y redes, basadas en hardware y software. Asimismo, las características estructurales fundamentales de estos controles están evolucionando al mismo ritmo y de la misma manera repentina que las tecnologías subyacentes de computadoras y redes. En este contexto de cambios acelerados, si los gerentes, especialistas en sistemas de información y auditores han de desempeñar realmente sus roles con efectividad, sus habilidades deben evolucionar con la misma rapidez que lo hacen la tecnología y el ambiente. Debe entenderse la tecnología de los controles y su naturaleza cambiante si han de aplicarse criterios razonables y prudentes para evaluar las prácticas de control presentes en las 14
organizaciones típicas de negocio o gubernamentales. RESPUESTA A LA NECESIDAD
En vista de estos cambios permanentes, el desarrollo de este marco para los objetivos de control de TI, junto con la investigación aplicada permanente en materia de controles de TI basada en este marco, constituyen las piedras angulares del progreso efectivo en el campo de control de información y tecnologías relacionadas. Por un lado, fuimos testigos del desarrollo y la publicación de los modelos generales de control de negocio como COSO [Comité de Organizaciones Patrocinantes del Marco Integrado de Control Interno de la Comisión Treadway, 1992] en los EE.UU., Cadbury en el Reino Unido y CoCo en Canadá y King en Sudáfrica. Por otro lado, existe una cantidad importante de modelos más centrados en el control a nivel de TI. Podemos citar como ejemplos de esta última categoría el Código de Conducta de Seguridad de la DTI (Secretaría de Industria y Comercio del Reino Unido) y el Manual de Seguridad del NIST (Instituto Nacional de Normas y Tecnología de los EE.UU.). Sin embargo, estos modelos centrados en el control no ofrecen un modelo integral y útil de control sobre la tecnología de información que apoye los procesos de negocio. COBIT tiene por objeto superar esta brecha brindando una base que esté íntimamente vinculada con los objetivos de negocio y que paralelamente se centre en la tecnología de información. Al centrarnos en los requerimientos de negocio para los controles de TI y la aplicación de modelos de control emergentes y normas internacionales relacionadas, se generó un proceso de evolución en el que los objetivos de control dejaron de ser una herramienta exclusiva de los auditores para convertirse en COBIT, una herramienta de los gerentes. Así, COBIT es la herramienta más avanzada para la gobernabilidad, control y auditoría de información que ayuda a la gerencia a OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) comprender y a administrar los riesgos asociados con la información y tecnologías relacionadas. En consecuencia, el principal objetivo del proyecto COBIT es el desarrollo de políticas claras y buenas prácticas en materia de seguridad y control de TI, y obtener el respaldo de las organizaciones comerciales, gubernamentales y profesionales en general. La meta del proyecto fue desarrollar estos objetivos de control fundamentalmente desde el punto de vista de los objetivos y las necesidades de negocio. Esto encuadra en la perspectiva de COSO que es, sobre todo, un marco de administración del control interno. Posteriormente, se desarrollaron los objetivos de control desde el punto de vista de los objetivos de auditoría (certificación de información financiera, certificación de medidas de control interno, eficiencia y efectividad, etc.). DESTINATARIOS: LA GERENCIA, USUARIOS Y AUDITORES
COBIT está concebido para tres tipos diferentes de destinatarios: GERENTES: para ayudarlos a equilibrar el riesgo y la inversión en controles en un ambiente de TI a menudo imprevisible. USUARIOS: para obtener la garantía de la seguridad y los controles de los servicios de TI provistos por personal de la organización o por terceros. AUDITORES DE SISTEMAS DE INFORMACIÓN: para respaldar sus opiniones y/o aconsejar a la gerencia con respecto a los controles internos. Además de responder a las necesidades de los destinatarios inmediatos –gerentes senior, auditores y profesionales en el área de seguridad y control -, COBIT puede ser utilizado en las organizaciones por los responsables de procesos de negocio a fin de afrontar su responsabilidad
por el control de los aspectos de información de los procesos así como también por los responsables de TI de la organización. ORIENTACIÓN DE LOS OBJETIVOS DE NEGOCIO
Los Objetivos de Control conforman un vínculo claro y preciso con los objetivos de negocio para respaldar su uso fuera de la comunidad de auditoría. Los Objetivos de Control están definidos en un modo orientado al proceso siguiendo el principio de reingeniería de negocio. En dominios y procesos identificados, se determina un objetivo de control de alto nivel y se brindan los fundamentos para documentar el vínculo con los objetivos de negocio. Además, se proporcionan consideraciones y pautas para definir e implementar el Objetivo de Control de TI. La clasificación de los dominios donde se aplican los objetivos de control de alto nivel (dominios y procesos), una indicación de los requerimientos de negocio para la información en ese dominio, así como también los recursos de TI afectados primariamente por el objetivo de control, conforman el Marco COBIT. El Marco se basa en las actividades de investigación que han identificado a los 34 objetivos de control de alto nivel y a los 302 objetivos de control detallados. El Marco se puso a disposición de la industria de TI y los profesionales de auditoría para brindar una oportunidad de revisión, expresar objeciones y comentarios. Las opiniones obtenidas fueron incorporadas oportunamente. DEFINICIONES
A los fines de este proyecto, se ofrecen las siguientes definiciones. El término “Control” está adaptado del Informe COSO [Comité de Organizaciones Patrocinantes del Marco Integrado de Control Interno de la Comisión Treadway, 1992] y el término “Objetivo de control de TI” fue adaptado del informe SAC [Informe de Auditoría y Control de Sistemas, Fundación de Investigación del Instituto de Auditores Internos, 1991 y 1994].
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
15
COBIT El control se define como
16
Las políticas, los procedimientos, las prácticas y las estructuras organizacionales concebidas para brindar una garantía razonable de que los objetivos de negocio se lograrán y que los eventos no deseados se impedirán o detectarán y corregirán.
El objetivo de Una declaración del resultado control de TI se o fin que se desea lograr define como mediante la implementación de procedimientos de control en una actividad de TI determinada.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
PRINCIPIOS DEL MARCO DE REFERENCIA En la actualidad se dispone de dos categorías diferentes de modelos de control, los de la categoría del “modelo de control de negocio” (por ejemplo, COSO) y los “modelos de control más centrados en TI” (por ejemplo, DTI). COBIT trata de superar la brecha que existe entre estas dos categorías y, por su posición, resultará ser una herramienta más completa para la gerencia y operará a un nivel más alto que las normas de tecnología para los gerentes de sistemas de información. Así, COBIT es el modelo para la gobernabilidad, control y auditoría de TI. El concepto que sustenta el Marco COBIT es que el control de TI se aborda considerando la información que se necesita para dar soporte a los objetivos o requerimientos de negocio y considerando la información como el resultado de la aplicación combinada de los recursos relacionados con TI que es preciso administrar por medio de los procesos de TI.
Para lograr los objetivos de negocio, es preciso que la información se ajuste a determinados criterios a los que COBIT denomina requerimientos de información del negocio. Para establecer la lista de requerimientos, COBIT combina los principios incorporados en los modelos de referencia existentes y conocidos:
Requerimientos de calidad
Calidad Costo Entrega
Requerimientos fiduciarios (Informe COSO)
Efectividad y eficiencia de las operaciones Confiabilidad de la información Cumplimiento de las leyes y reglamentaciones
Requerimientos de seguridad
Confidencialidad Integridad Disponibilidad
El criterio de Calidad se conserva fundamentalmente por su aspecto “negativo” (ausencia de fallas, confiabilidad, etc.) que también se captura en gran medida en el criterio de Integridad. En una época, no se consideraron los aspectos positivos pero menos tangibles de la calidad (estilo, cualidades atractivas, aspecto y presentación, desempeño superior al esperado, etc.) desde el punto de vista de los objetivos de control de TI. La premisa es que la primera prioridad debe estar orientada a la correcta administración de los riesgos en contraposición a las oportunidades. El aspecto utilitario de la Calidad está cubierto por el criterio de Efectividad. Se consideró que el aspecto de la Calidad en relación con la Entrega se superponía con el relativo a la Disponibilidad de los requerimientos de Seguridad y también en cierta medida con la Efectividad y Eficiencia. Por último, también se considera que el “costo” está cubierto por la Eficiencia. Con respecto a los requerimientos fiduciarios, COBIT no intenta reinventar la rueda; se utilizaron las definiciones de COSO de efectividad y eficiencia de las operaciones, confiabilidad de la información y cumplimiento de las leyes y reglamentaciones. Sin embargo, la confiabilidad de la información se amplió para incluir toda la información, no sólo la
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
17
COBIT información financiera. Con respecto a los requerimientos de seguridad, COBIT identificó la confidencialidad, integridad, y disponibilidad como elementos clave; se descubrió que estos mismos tres elementos son utilizados mundialmente para describir los requerimientos de seguridad de TI.
presente y en el futuro. También se asocia con la protección de los recursos necesarios y las capacidades asociadas. Cumplimiento
A partir del análisis de los requerimientos más amplios de Calidad, Informes Fiduciarios y Seguridad, se extrajeron siete categorías diferentes que indudablemente se superponen. En la siguiente tabla se ofrecen las definiciones de trabajo de COBIT: Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
18
se refiere a la relevancia y pertinencia de la información para el proceso de negocio y a su entrega en forma oportuna, correcta, consistente y útil. se vincula con la provisión de información mediante el uso óptimo (el más productivo y económico) de los recursos. se refiere a la protección de la información crítica contra su divulgación no autorizada. se vincula con la exactitud y la totalidad de la información así como también con su validez de acuerdo con los valores y las expectativas de negocio. se vincula con el hecho de que la información se encuentre disponible cuando la necesite el proceso de negocio en el
Confiabilidad de la información
se refiere al cumplimiento de las leyes, reglamentaciones y disposiciones contractuales a las que está sujeto el proceso de negocio, vale decir, los criterios de negocio impuestos a nivel externo. se vincula con la provisión de la información adecuada para que la gerencia maneje la entidad y ejerza sus responsabilidades de presentación de informes financieros y de cumplimiento.
Los recursos de TI identificados en COBIT se pueden explicar/definir del siguiente modo: Datos
objetos en su sentido más amplio (es decir, internos y externos), estructurados y no estructurados, gráficos, sonido, etc.
Sistemas de aplicación
Se entiende por tales la suma de los procedimientos manuales y programados.
Tecnología
La tecnología abarca el hardware, los sistemas operativos, los sistemas de administración de bases de datos, las redes, los multimedios, etc. OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) Instalaciones Personas
Recursos utilizados para alojar y dar soporte a los sistemas de información. Habilidades, aptitudes, conocimiento y productividad del personal para planificar, organizar, adquirir, entregar, brindar soporte y monitorear los sistemas y servicios de información.
El dinero o capital no se mantuvo como recurso de TI en la clasificación de los objetivos de control ya que puede considerarse como la inversión que se realiza en cualquiera de los
recursos antes mencionados. El Marco no se refiere específicamente a la documentación de todos los asuntos importantes que guarden relación con un proceso de TI en particular. Como buena práctica, la documentación se considera esencial para el buen control y, por lo tanto, la falta de documentación sería la causa de otras revisiones y análisis de los controles compensatorios en cualquier área específica sujeta a revisión.
Otro modo de considerar la relación de los recursos de TI con la prestación de servicios se describe a continuación:
EVENTOS
INFORMACIÓN
Objetivos de negocio Oportunidades de negocio Requerimientos externos Reglamentaciones Riesgos
Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
19
COBIT PRINCIPIOS DEL MARCO DE REFERENCIA, cont. Para garantizar que se cumplan los requerimientos de negocio en cuanto a la información, las medidas de control adecuadas necesitan ser definidas, implementadas y monitoreadas sobre estos recursos. ¿Cómo pueden las organizaciones convencerse de que la información que obtienen presenta las características que necesitan? Este es el punto donde se requiere un marco de Objetivos de Control de TI coherente. En el siguiente diagrama se ilustra este concepto.
vinculadas con cortes (de control) naturales. En el nivel más alto, los procesos se agrupan naturalmente en dominios. Su agrupamiento natural a menudo se concibe como dominios de responsabilidad en una estructura organizacional y encuadra en el ciclo de administración o el ciclo de vida aplicable a los procesos de TI.
Dominios
Procesos
Actividades/ Tareas
El Marco COBIT consiste en los Objetivos de Control de alto nivel y una estructura general para su clasificación. La teoría subyacente de la clasificación es que hay, en esencia, tres niveles de esfuerzos de TI al considerar la administración de los recursos de TI. Comenzando por la base, se encuentran las actividades y tareas necesarias para lograr un resultado mensurable. Las actividades se asocian con el concepto de ciclo de vida mientras que se considera que las tareas son más discretas. El concepto de ciclo de vida incluye requerimientos de control típicos que son diferentes de las actividades discretas. Luego, los procesos se definen una capa más arriba como una serie de actividades o tareas 20
Así, el marco conceptual se puede considerar desde tres posiciones ventajosas: (1) el Criterio de Información, (2) los Recursos de TI, y (3) los Procesos de TI. Por ejemplo, los gerentes pueden aplicar un interés de calidad, fiduciario o de seguridad (incluido en el Marco como siete criterios de información específicos). Un gerente de TI, por otro lado, puede considerar los recursos de TI por los que es responsable. Los responsables del proceso, los especialistas de TI, y los usuarios pueden tener un interés específico en procesos o actividades/tareas específicas. Los auditores pueden querer abordar el Marco desde un punto de vista de cobertura de control. Estas tres posiciones ventajosas se describen en el Cubo COBIT.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) Adquisición e Implementación
Para realizar la estrategia de TI, deben identificarse, desarrollarse o adquirirse soluciones de TI y luego implementarse e integrarse en el proceso de negocio. Además, este dominio abarca los cambios y el mantenimiento de los sistemas existentes para garantizar que el ciclo de vida perdure para estos sistemas.
Entrega y Soporte
En este dominio nos ocupamos de la entrega o prestación efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación. Para prestar los servicios, deben establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento real de los datos por los sistemas de aplicación, a menudo clasificados como controles de aplicaciones.
Monitoreo
Es preciso evaluar regularmente todos los procesos de TI a medida que transcurre el tiempo para determinar su calidad y el cumplimiento de los requerimientos de control. De este modo este dominio corresponde a la vigilancia de la gerencia sobre los procesos de control de la organización y la garantía independiente provista por la auditoría interna y externa u obtenida de fuentes alternativas.
Considerando la figura anterior como marco, los dominios se identifican utilizando los términos que la gerencia utiliza en las actividades diarias de la organización, en lugar de la jerga de los auditores. De ese modo, se identifican cuatro dominios generales: planificación y organización; adquisición e implementación; entrega y soporte y monitoreo. Las definiciones de los cuatro dominios identificados para la clasificación de alto nivel son: Planificación y Organización
Este dominio abarca la estrategia y la táctica y se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos de negocio. Además, es preciso planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. Por último, debe existir una correcta organización e infraestructura tecnológica.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
21
COBIT En síntesis, es preciso administrar los recursos de TI por medio de una serie de procesos agrupados naturalmente, a fin de brindar la información que la organización necesita para lograr sus objetivos. En el siguiente diagrama se ilustra este concepto:
Resulta claro que todas las medidas de control no necesariamente satisfarán los distintos requerimientos de información de negocio con el mismo alcance. • primario
• secundario
• en blanco
Se debe tener en cuenta que estos procesos pueden ser aplicados en diferentes niveles dentro de la organización. Por ejemplo, algunos de estos procesos se aplicarán a nivel corporativo, otros a nivel de función de servicios de información, otros a nivel de responsables del proceso de negocio, etc. También se debe tener en cuenta que el criterio de efectividad de los procesos que planifican o presentan soluciones para los requerimientos de negocio algunas veces cubrirá los criterios de disponibilidad, integridad y confidencialidad; en la práctica, se han convertido en requerimientos de negocio. Por ejemplo, el proceso de “identificación de soluciones” tiene que ser efectivo al cumplir los requerimientos de disponibilidad, integridad y confidencialidad. 22
es el grado con el cual el objetivo de control definido impacta directamente sobre el requerimiento de información pertinente. es el grado con el cual el objetivo de control definido sólo satisface en menor medida o indirectamente el requerimiento de información pertinente. puede ser aplicable; sin embargo, los requerimientos se satisfacen más adecuadamente a través de otro criterio de este proceso y/o por otro proceso.
Del mismo modo, todas las medidas de control no necesariamente impactarán los distintos recursos de TI con el mismo alcance. Por lo tanto, el Marco COBIT indica de manera específica la aplicabilidad de los recursos de TI que son administrados en forma específica por el proceso bajo consideración (no aquellos que sólo participan en el proceso). Esta clasificación se realiza dentro del Marco COBIT en base al mismo proceso riguroso de información por parte de investigadores, expertos y revisores, utilizando las definiciones precisas indicadas anteriormente.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
GUÍA DE USO DEL MARCO COBIT Y DE LOS OBJETIVOS DE CONTROL DISTINTOS PUNTOS DE VISTA, DISTINTAS INDICACIONES
EL MARCO COBIT
El marco conceptual se puede considerar desde tres posiciones ventajosas: (1) Recursos de TI, (2) Criterios de negocio para información y (3) Procesos de TI. Estos distintos puntos de vista permiten que se acceda al marco en forma eficiente.
El Marco COBIT ha sido limitado a objetivos de control de alto nivel en la forma de una necesidad de negocio dentro de un proceso de TI específico, cuyo logro es posible mediante una declaración de control, para lo cual se deben considerar los controles potencialmente aplicables.
Por ejemplo, los gerentes pueden aplicar un interés de calidad, fiduciario o de seguridad (incluido en el Marco como siete criterios de información específicos). Un gerente de TI, por otro lado, puede considerar los recursos de TI por los que es responsable. Los responsables del proceso, los especialistas de TI, y los usuarios pueden tener un interés específico en procesos particulares. Los auditores pueden querer abordar el Marco desde un punto de vista de cobertura de control.
Los Objetivos de Control de TI han sido organizados por proceso/actividad, pero se han proporcionado asistencias a la navegación no sólo para facilitar el ingreso desde cualquiera de las posiciones ventajosas como se explicó anteriormente, sino también facilitar los enfoques globales o combinados, tales como la instalación/implementación de un proceso, responsabilidades de administración globales y la utilización de recursos de TI en un proceso. También se debe tener en cuenta que los Objetivos de Control de TI han sido definidos de un modo genérico, es decir, no dependiendo de la plataforma técnica, mientras se acepta el hecho de que algunos ambientes tecnológicos especiales pueden necesitar una cobertura separada para los objetivos de control. El control de los
Procesos de TI
que satisface los
Requerimientos de Negocio
es habilitado por las
Declaraciones de Control
considerando las
Prácticas de Control
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
23
COBIT GUÍA DE USO DEL MARCO COBIT Y DE LOS OBJETIVOS DE CONTROL ASISTENCIAS A LA NAVEGACIÓN
Los dominios de TI se identifican por medio de este icono en el ángulo superior derecho de cada página en la sección Objetivos de Control, con el dominio que se está tratando remarcado y ampliado.
Planificación y Organización Adquisición e Implementación Entrega y Soporte
ef ec e tivi C ficie dad on n fid cia e in nci te a di gri lida sp da d o cu ni d m bil co plim idad nf i ia ent bi o lid ad
Para facilitar la utilización eficiente de los objetivos de control en apoyo a las distintas posiciones ventajosas, se proporcionan algunas asistencias a la navegación como parte de la presentación de los Objetivos de Control de TI de alto nivel. Para cada una de las tres dimensiones por las cuales se puede acceder al Marco COBIT - procesos, recursos y criterio de información- se ofrece una asistencia a la navegación.
S
Criterios de información
Planificación y Organización Adquisición e Implementación
Dominios de TI
Recursos de TI
Monitoreo
P
Entrega y Soporte Monitoreo
pe ap rson lic as a te cio cn ne in olo s st al gía ac io da ne to s s
Tres posiciones ventajosas
La indicación para los criterios de información se proporcionan en el ÁNGULO SUPERIOR IZQUIERDO en la sección Objetivos de Control por medio de esta minimatriz, que identifica qué criterio es aplicable a cada Objetivo de Control de TI de alto nivel y con qué alcance (primario o secundario).
ef ec e tivi C ficie dad on n fid cia e in nc te ia di gri lid sp da ad cu oni d m bil co plim ida d nf ia ient bi o lid ad
Asistentes de navegación
S
24
P
OBJETIVOS DE CONTROL
Una segunda minimatriz en el ÁNGULO INFERIOR DERECHO en la sección Objetivos de Control identifica los recursos de TI que son específicamente administrados por el proceso bajo consideración, no aquellos que solamente participan en el proceso. Por ejemplo, el proceso de “administración de datos” se concentra particularmente en la integridad y confiabilidad del recurso de datos, mientras que la disponibilidad y confidencialidad son proporcionadas en forma primaria mediante el proceso que administra los recursos que utilizan los datos (es decir, las aplicaciones y tecnología).
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
pe ap rso lic na a s te cio cn ne in olo s st al gía ac i da one to s s
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
25
COBIT
26
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
PRINCIPIOS DE LOS OBJETIVOS DE CONTROL COBIT, tal como se encuentra expresado en esta última versión de sus Objetivos de Control, refleja el compromiso permanente de ISACA para mejorar y mantener el conjunto común de conocimientos necesarios para el sostenimiento de la profesión de auditoría y control de sistemas de información. Mientras que el Marco COBIT se concentraba en los controles de alto nivel para cada proceso, los Objetivos de Control se concentran en objetivos específicos y detallados de control asociados con cada proceso de TI. Para cada uno de los 34 procesos de TI que forman parte del Marco, hay de tres a 30 objetivos de control detallados. Los Objetivos de Control alinean el Marco general con los objetivos de control detallados de las 36 fuentes principales que comprenden las normas y reglamentaciones internacionales de hecho y de derecho relacionadas con la TI. Contienen enunciados de los resultados deseados o los fines que han de alcanzarse al implementar procedimientos de control específicos dentro de una actividad de TI y, de ese modo,
proporciona una política clara y una práctica adecuada para el control de la TI en la industria en todo el mundo. Los Objetivos de Control están orientados a los gerentes y al personal de las funciones servicios de información, control y auditoría y, más importante aún, a los responsables de los procesos de negocio. Los Objetivos de Control constituyen un documento de trabajo para estos individuos. Se identifican definiciones precisas y claras de un conjunto mínimo de controles para garantizar la eficacia, eficiencia y economía de la utilización de recursos. Para cada proceso, se identifican objetivos de control detallados como controles mínimos que deben existir necesariamente, es decir, aquellos controles que serán evaluados en cuanto a su suficiencia por los profesionales dedicados al área de control. Hay 302 objetivos de control detallados que proporcionan una descripción de las relaciones entre dominio/proceso/objetivo de control. Los Objetivos de Control permiten traducir los conceptos presentados en el Marco en controles específicos aplicables a cada proceso de TI.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
27
COBIT CUADRO SINÓPTICO El siguiente cuadro ofrece una indicación, por proceso y dominio de TI, cuyos criterios de información son afectados por los objetivos de
control de alto nivel, así como también la indicación de cuáles recursos de TI son aplicables.
Criterios de información
28
Recursos de TI
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
RELACIONES ENTRE LOS OBJETIVOS DE CONTROL: DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL PLANIFICACIÓN Y ORGANIZACIÓN 1.0 Definición de planes estratégicos de TI 1.1 La tecnología de información como parte del plan de la organización a corto y largo plazo 1.2 Plan de TI a largo plazo 1.3 Enfoque y estructura de la planificación de TI a largo plazo 1.4 Cambios del plan de TI a largo plazo 1.5 Planificación a corto plazo de la función servicios de información 1.6 Evaluación de los sistemas existentes 2.0 Definición de la arquitectura de la información 2.1 Modelo de arquitectura de la información 2.2 Diccionario de datos corporativo y reglas de sintaxis de los datos 2.3 Esquema de clasificación de los datos 2.4 Niveles de seguridad 3.0 Determinación de la dirección tecnológica 3.1 Planificación de la infraestructura tecnológica 3.2 Monitoreo de las futuras tendencias y reglamentaciones 3.3 Contingencias de la infraestructura tecnológica 3.4 Planes de adquisición de hardware y software 3.5 Normas de tecnología 4.0 Definición de la organización y las relaciones de TI 4.1 Planificación de la función servicios de información o el comité de dirección 4.2 Ubicación de los servicios de información en la organización 4.3 Revisión de los logros organizacionales 4.4 Roles y responsabilidades
4.5
5.0
6.0
7.0
Responsabilidad por garantía de calidad 4.6 Responsabilidad por la seguridad lógica y física 4.7 Propiedad y custodia 4.8 Propiedad de los datos y sistemas 4.9 Supervisión 4.10 Distribución de tareas 4.11 Personal de TI 4.12 Descripciones de los cargos o puestos del personal de la función servicios de información 4.13 Personal clave de TI 4.14 Procedimientos relativos al personal contratado 4.15 Relaciones Administración de la inversión en TI 5.1 Presupuesto operativo anual de la función servicios de información 5.2 Monitoreo de costos y beneficios 5.3 Justificación de costos y beneficios Comunicación de los objetivos y las directivas de la gerencia 6.1 El ambiente de control positivo de la información 6.2 Responsabilidad de la gerencia por las políticas 6.3 Comunicación de las políticas de la organización 6.4 Recursos para la implementación de políticas 6.5 Mantenimiento de políticas 6.6 Cumplimiento de las políticas, los procedimientos y las normas 6.7 Compromiso con la calidad 6.8 Política marco de seguridad y control interno 6.9 Derechos de propiedad intelectual 6.10 Políticas específicas 6.11 Comunicación de la concientización de seguridad de TI Administración de los recursos humanos
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
29
COBIT 7.1
Reclutamiento y promoción del personal 7.2 Formación y experiencia del personal 7.3 Capacitación del personal 7.4 Capacitación cruzada o personal de reemplazo 7.5 Procedimientos de autorización del personal 7.6 Evaluación del desempeño laboral del empleado 7.7 Cambio de puestos y extinción de la relación laboral 8.0 Garantía del cumplimiento de los requisitos externos 8.1 Revisión de los requisitos externos 8.2 Prácticas y procedimientos para garantizar el cumplimiento de los requisitos externos 8.3 Cumplimiento de la normativa en materia de seguridad y ergonomía 8.4 Privacidad, propiedad intelectual y flujo de datos 8.5 El comercio electrónico 8.6 Cumplimiento de los contratos de seguros 9.0 Evaluación de riesgos 9.1 Evaluaciones de riesgos de negocio 9.2 Enfoque de la evaluación de riesgos 9.3 Identificación de riesgos 9.4 Medición de riesgos 9.5 Plan de acción de reducción de riesgos 9.6 Aceptación de riesgos 10.0 Administración de proyectos 10.1 Marco de administración de proyectos 10.2 Participación del departamento de usuarios en el inicio del proyecto 10.3 Miembros y responsabilidades del equipo del proyecto 10.4 Definición del proyecto 10.5 Aprobación del proyecto 10.6 Aprobación de las fases del proyecto 10.7 Plan maestro del proyecto
30
10.8 Plan de garantía de calidad de sistemas 10.9 Planificación de métodos de garantía 10.10 Administración formal de riesgos de proyectos 10.11 Plan de pruebas 10.12 Plan de capacitación 10.13 Plan de revisión posterior a la implementación 11.0 Administración de la calidad 11.1 Plan general de calidad 11.2 Enfoque de garantía de calidad 11.3 Planificación de garantía de calidad 11.4 Revisión de garantía de calidad de la observación de las normas y procedimientos de la función servicios de información 11.5 Metodología del ciclo de vida del desarrollo de sistemas 11.6 Metodología del ciclo de vida del desarrollo de sistemas para la introducción de cambios importantes en la tecnología existente 11.7 Actualización de la metodología del ciclo de vida del desarrollo de sistemas 11.8 Coordinación y comunicación 11.9 Marco de adquisición y mantenimiento de la infraestructura de TI 11.10 Relaciones con terceros a cargo de la implementación 11.11 Normas de documentación de programas 11.12 Normas de pruebas de programas 11.13 Normas de pruebas de sistemas 11.14 Pruebas paralelas/piloto 11.15 Documentación de pruebas de sistemas 11.16 Evaluación de garantía de calidad de la observación de las normas de desarrollo
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL PLANIFICACIÓN Y ORGANIZACIÓN, continúa 11.18 Medidores de calidad 11.19 Informes de las revisiones de garantía de calidad ADQUISICIÓN E IMPLEMENTACIÓN 1.0 Identificación de soluciones 1.1 Definición de los requerimientos de información 1.2 Formulación de cursos alternativos de acción 1.3 Formulación de la estrategia de adquisición 1.4 Requerimientos de los servicios prestados por terceros 1.5 Estudio de factibilidad tecnológica 1.6 Estudio de factibilidad económica 3.0 1.7 Arquitectura de la información 1.8 Informe de análisis de riesgos 1.9 Controles de seguridad de efectividad de costo 1.10 Diseño de pistas de auditoría 1.11 Ergonomía 1.12 Selección del software de sistemas 1.13 Control de compras 1.14 Adquisición de productos de software 1.15 Mantenimiento del software de terceros 1.16 Programación contratada de 4.0 aplicaciones 1.17 Aceptación de las instalaciones 1.18 Aceptación de la tecnología 2.0 Adquisición y mantenimiento del software de aplicación 2.1 Métodos de diseño 2.2 Cambios importantes de los sistemas existentes 5.0 2.3 Aprobación del diseño 2.4 Definición y documentación de los requerimientos de archivos 2.5 Especificaciones de programas 2.6 Diseño de la recopilación de datos fuente 2.7. Definición y documentación de los requerimientos de entrada
2.8. Definición de interfaces 2.9 Interface usuario-máquina 2.10 Definición y documentación de los requerimientos de procesamiento 2.11 Definición y documentación de los requerimientos de salida 2.12 Control 2.13 Disponibilidad como factor clave del diseño 2.14 Integridad de TI en el software de programas de aplicación 2.15 Pruebas del software de aplicación 2.16 Materiales de soporte y referencia del usuario 2.17 Nueva evaluación del diseño de sistemas Adquisición y mantenimiento de la infraestructura tecnológica 3.1 Evaluación del hardware y software nuevos 3.2 Mantenimiento preventivo del hardware 3.3 Seguridad del software de sistemas 3.4 Instalación del software de sistemas 3.5 Mantenimiento del software de sistemas 3.6 Controles de cambios del software de sistemas Desarrollo y mantenimiento de procedimientos de TI 4.1 Requerimientos operativos y niveles de servicio futuros 4.2 Manuales de procedimientos del usuario 4.3 Manual de operaciones 4.4 Materiales de capacitación Instalación y acreditación de sistemas 5.1 Capacitación 5.2 Dimensionamiento del desempeño del software de aplicación 5.3 Conversión 5.4 Pruebas de cambios 5.5 Criterios y ejecución de pruebas paralelas/piloto
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
31
COBIT Prueba de aceptación final Pruebas y acreditación de seguridad Prueba de funcionamiento Promoción a producción Evaluación del cumplimiento de los requerimientos del usuario 5.11 Revisión de la gerencia posterior a la implementación 6.0 Administración de cambios 6.1 Inicio y control de solicitudes de cambios 6.2 Evaluación del impacto 6.3 Control de cambios 6.4 Documentación y procedimientos 6.5 Mantenimiento autorizado 6.6 Política de versiones de software 6.7 Distribución del software ENTREGA Y SOPORTE 1.0 Definición de los niveles de servicio 1.1 Marco de acuerdos de nivel de servicio 1.2 Aspectos de los acuerdos de nivel de servicio 1.3 Procedimientos de desempeño 1.4 Monitoreo e informes 1.5 Revisión de los contratos y acuerdos de nivel de servicio 1.6 Items imputables 1.7 Programa de mejora del servicio 2.0 Administración de servicios prestados por terceros 2.1 Interrelación con proveedores 2.2 Responsabilidad por las relaciones 2.3 Contratos con terceros 2.4 Conocimientos y experiencia de terceros 2.5 Contratos de tercerización 2.6 Continuidad de los servicios 2.7 Relaciones de seguridad 2.8 Monitoreo 3.0 Administración de la capacidad y del desempeño 3.1 Requerimientos de disponibilidad y desempeño 3.2 Plan de disponibilidad 3.3 Monitoreo e informes
3.4
5.6 5.7 5.8 5.9 5.10
32
4.0
5.0
Herramientas para la creación de modelos 3.5 Administración proactiva del desempeño 3.6 Pronósticos de la carga de trabajo 3.7 Administración de la capacidad de los recursos 3.8 Disponibilidad de recursos 3.9 Lista de recursos Garantía de un servicio continuo 4.1 Marco de continuidad de TI 4.2 Estrategia y Filosofía del plan de continuidad de TI 4.3 Contenido del plan de continuidad de TI 4.4 Reducción de los requerimientos de continuidad de TI 4.5 Mantenimiento del plan de continuidad de TI 4.6 Prueba del plan de continuidad de TI. 4.7 Capacitación para el plan de continuidad de TI 4.8 Distribución del plan de continuidad de TI 4.9 Procedimientos de resguardo del procesamiento alternativo del departamento usuario 4.10 Recursos críticos de TI 4.11 Hardware y sitio de resguardo 4.12 Procedimientos de resumen Garantía de la seguridad de los sistemas 5.1 Administración de medidas de seguridad 5.2 Identificación, autenticación y acceso 5.3 Seguridad del acceso en línea 5.4 Administración de cuentas de usuarios 5.5 Revisión de la gerencia de cuentas de usuarios 5.6 Control de los usuarios de las cuentas de los usuarios 5.7 Supervisión de la seguridad 5.8 Clasificación de datos 5.9 Administración centralizada de identificaciones y derechos de acceso OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
APÉNDICE I LISTA DE DOMINIOS, PROCESOS Y OBJETIVOS DE CONTROL ENTREGA Y SOPORTE, continúa 5.10 Informes de violación y actividades de seguridad 5.11 Manejo de incidentes 5.12 Reacreditación 5.13 Confianza en la contraparte 5.14 Autorización de transacción 5.15 Sin rechazo 5.16 Ruta de acceso confiable 5.17 Funciones de protección de seguridad 5.18 Administración de claves criptográficas 5.19 Corrección, detección y prevención de software malicioso 5.20 Arquitectura de “firewall” y conexiones con redes públicas 5.21 Protección del valor electrónico 6.0 Identificación e imputación de costos 6.1 Items imputables 6.2 Procedimientos de determinación de costos 6.3 Procedimientos de facturación e imputación de costos al usuario 7.0 Educación y capacitación de los usuarios 7.1 Identificación de las necesidades de capacitación 7.2 Organización de la capacitación 7.3 Principios de seguridad y capacitación para la concientización 8.0 Asistencia y asesoramiento a los clientes de TI 8.1 Mesa de ayuda 8.2 Registro de consultas de clientes 8.3 Escalamiento de consultas de clientes 8.4 Monitoreo de soluciones 8.5 Análisis e informes de tendencias 9.0 Administración de la configuración 9.1 Registro de la configuración 9.2 Nivel básico de configuración
9.3 Informes contables de estado 9.4 Control de la configuración 9.5 Software no autorizado 9.6 Almacenamiento del software 10.0 Administración de problemas e incidentes 10.1 Sistema de administración de problemas 10.2 Escalamiento de problemas 10.3 Seguimiento de problemas y pista de auditoría 11.0 Administración de datos 11.1 Procedimientos de preparación de datos 11.2 Procedimientos de autorización de documentos fuente 11.3 Recopilación de datos de documentos fuente 11.4 Manejo de errores de documentos fuente 11.5 Conservación de documentos fuente 11.6 Procedimientos de autorización de entrada de datos 11.7 Verificaciones de exactitud, totalidad y autorización 11.8 Manejo de errores de entrada de datos 11.9 Integridad del procesamiento de datos 11.10 Validación y edición del procesamiento de datos 11.11 Manejo de errores del procesamiento de datos 11.12 Manejo y conservación de salidas 11.13 Distribución de salidas de datos 11.14 Balance y conciliación de salidas de datos 11.15 Revisión y manejo de errores de salidas de datos 11.16 Seguridad de los informes de salida 11.17 Protección de información crítica durante la transmisión y el
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
33
COBIT transporte 11.18 Protección de información crítica ordenada 11.19 Administración del almacenamiento 11.20 Períodos de conservación y almacenamiento 11.21 Sistema de administración de bibliotecas de medios 11.22 Responsabilidades de administración de bibliotecas de medios 11.23 Resguardo y restauración 11.24 Tareas de resguardo 11.25 Almacenamiento de resguardos 11.26 Archivos 11.27 Protección de mensajes 11.28 Autenticación e integridad 11.29 Integridad de la transacción electrónica 11.30 Integridad permanente de datos almacenados 12.0 Administración de instalaciones 12.1 Seguridad física 12.2 Discreción del sitio de TI 12.3 Acompañantes de visitas 12.4 Seguridad e Higiene del personal 12.5 Protección contra factores ambientales 12.6 Fuentes de alimentación de energía ininterrumpible 13.0 Administración de operaciones 13.1 Manuales de operaciones, procedimientos e instrucciones de procesamiento 13.2 Documentación del proceso de puesta en marcha y otras operaciones 13.3 Cronogramas de trabajo 13.4 Desviaciones de los cronogramas estándar de trabajo 13.5 Continuidad del procesamiento 13.6 Registros de operaciones 13.7 Operaciones remotas
34
MONITOREO 1.0
2.0
3.0
Monitoreo de los procesos 1.1 Recopilación de datos de monitoreo 1.2 Evaluación del desempeño 1.3 Evaluación de la satisfacción del cliente 1.4 Informes de la administración Obtención de una garantía independiente 2.1 Monitoreo de los controles internos 2.2 Operación oportuna de los controles internos 2.3 Informe de nivel de los controles internos 2.4 Garantía de los controles internos y seguridad de operaciones Obtención de garantía independiente 3.1 Certificación/Acreditación Independiente de Controles Internos y Seguridad de los Servicios de Tecnología de Información 3.2 Certificación/Acreditación Independiente de Controles Internos y Seguridad de los Terceros Proveedores de Servicio 3.3 Evaluación Independiente de la Efectividad de los Servicios de Tecnología de Información 3.4 Evaluación Independiente de la Efectividad de los Terceros Proveedores de Servicios 3.5 Garantía Independiente del Cumplimiento de las Leyes y los Requerimientos Reglamentarios y los Compromisos Contractuales 3.6 Garantía Independiente del Cumplimiento de las Leyes y los Requerimientos Reglamentarios y los Compromisos Contractuales por parte de Terceros Proveedores de Servicio 3.7 Competencia de la Función de Garantía Independiente 3.8 Participación Proactiva en la Auditoría OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 4.0
Obtención de una garantía independiente 4.1 Contrato de Auditoría 4.2 Independencia 4.3 Etica y Normas Profesionales 4.4 Competencia 4.5 Planificación 4.6 Cumplimiento del Trabajo de Auditoría 4.7 Informes 4.8 Actividades de Seguimiento
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
35
COBIT
Esta página fue dejada en blanco intencionalmente.
36
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
LOS OBJETIVOS DE CONTROL En las páginas siguientes se incluyen objetivos de control detallados e individualizados para cada uno de los 34 procesos dentro de la función de tecnología de la información. En la página de la izquierda se encuentra el objetivo de control de alto nivel según consta en el Marco para garantizar la coherencia entre todos los productos de COBIT y para facilitar la comprensión. El indicador de dominio (“PO” para Planificación y Organización, “AI” para Adquisición e Implementación, “ES” para Entrega y Soporte, y “M” para Monitoreo) se incluye en la parte superior derecha. Luego se describe el proceso. También se incluyen indicadores de importancia primaria y secundaria. Asimismo, se consigna la información descriptiva del Marco y los recursos insumidos se ilustran mediante un diagrama. En la página de la derecha, que a veces se extiende hasta la(s) página(s) siguiente(s) se encuentran los objetivos de control detallados correspondientes a ese proceso. Se incluye una descripción del objetivo de control detallado. El formato en página izquierda/derecha requiere la inclusión de algunas páginas en blanco. Se desarrollan objetivos de control detallados para cada uno de los 34 procesos.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
37
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN P0 1
El control sobre el proceso de TI de
definición de un plan estratégico de TI que satisface el requerimiento de negocio
de encontrar el balance óptimo entre las oportunidades de tecnología de información y los requerimientos de negocio de TI así como garantizar su ulterior consecución puede realizarse por medio de
un proceso periódico de planificación estratégica que permita formular los planes a largo plazo. A su vez, estos planes deben traducirse periódicamente en planes operativos que definan metas claras y concretas a corto plazo y tiene en cuenta
• • • • • •
38
la definición de los objetivos y las necesidades de negocio de TI el inventario de las soluciones tecnológicas y la infraestructura actual los servicios de “vigilancia de tecnología” los cambios de la organización los estudios oportunos de factibilidad la evaluación de los sistemas existentes
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 1.
DEFINICIÓN DE UN PLAN ESTRATÉGICO DE TI.
1.1
La tecnología de información como parte del plan de la organización a corto y largo plazo OBJETIVO DE CONTROL La gerencia senior es responsable de la implementación y el desarrollo de planes a corto y largo plazo que cumplan la misión y las metas de la organización. En este aspecto, la gerencia senior debe garantizar que las cuestiones y las oportunidades en materia de tecnología de información se evalúen y se reflejen de manera adecuada en los planes a corto y largo plazo de la organización.
1.2
Plan de tecnología de información a largo plazo OBJETIVO DE CONTROL La gerencia de la función servicios de información es responsable del desarrollo periódico de planes de tecnología de información a largo plazo que sirvan de apoyo para alcanzar las misiones y metas generales de la organización. Por consiguiente, la gerencia debe implementar un proceso de planificación a largo plazo, adoptar un enfoque estructurado y definir una estructura estándar para el plan.
1.3
Planificación de tecnología de la información a largo plazo: enfoque y estructura OBJETIVO DE CONTROL La gerencia de la función servicios de información debe establecer y aplicar un enfoque estructurado en relación con el proceso de planificación a largo plazo. Como resultado, cabe esperar un plan de alta calidad que responda a las preguntas esenciales: qué, quién,
cómo, cuándo y por qué. Los aspectos que deben tenerse en cuenta y abordarse de manera adecuada durante el proceso de planificación son el modelo de organización y sus cambios, la distribución geográfica, la evolución tecnológica, los costos, los requerimientos legales y regulatorios, los requerimientos de terceros o del mercado, el horizonte de planificación, la reingeniería de los procesos de negocio, la dotación de personal, el uso de recursos internos o la tercerización, etc. Los beneficios derivados de cada opción deben identificarse con claridad. El plan propiamente dicho debe hacer referencia a otros planes tales como el plan de calidad de la organización y el de administración de riesgos de la información. 1.4
Cambios del plan de tecnología de información a largo plazo OBJETIVO DE CONTROL La gerencia de la función servicios de información debe garantizar la existencia de un proceso para modificar en forma oportuna y exacta el plan de tecnología de información a largo plazo a fin de permitir la incorporación de cambios en el plan a largo plazo de la organización y en las condiciones de la tecnología de información.
1.5
Planificación a corto plazo de la función servicios de información OBJETIVO DE CONTROL La gerencia de la función servicios de información debe garantizar que el plan a largo plazo de tecnología de la información se traduzca periódicamente en planes de tecnología de información a corto plazo. Estos últimos deben garantizar que se asignen los recursos adecuados de la función servicios de información de
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
39
COBIT manera consecuente con el plan de tecnología de información a largo plazo. Los planes a corto plazo deben volver a evaluarse periódicamente y modificarse según sea necesario para responder a los cambios en las condiciones de negocio y de la tecnología de información. La realización oportuna de estudios de factibilidad debe garantizar que la ejecución de los planes a corto plazo se inicie de manera adecuada. 1.6
40
Evaluación de los sistemas existentes OBJETIVO DE CONTROL Previo al desarrollo o cambio del plan estratégico de tecnología de información, la gerencia de la función servicios de información debe evaluar los sistemas de información existentes en función del grado de automatización del negocio, la funcionalidad, estabilidad, complejidad, los costos y las fortalezas y debilidades, a fin de determinar en qué medida los sistemas existentes dan soporte a los requerimientos de negocio de la organización.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Esta página fue dejada en blanco intencionalmente.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
41
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN
P0 2
El control sobre el proceso de TI de
definición de la arquitectura de la información que satisface el requerimiento de negocio
de organizar los sistemas de información de la manera más adecuada puede realizarse por medio de
la creación y el mantenimiento de un modelo de información de negocio y la definición de los sistemas adecuados a fin de optimizar el uso de esta información y tiene en cuenta
• • •
•
42
la documentación el diccionario de datos las reglas de sintaxis de los datos la propiedad de los datos y la clasificación de criticidad
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 2.
DEFINICIÓN DE LA ARQUITECTURA DE LA INFORMACIÓN
2.1
Modelo de arquitectura de la información OBJETIVO DE CONTROL La información debe ser consistente con las necesidades y debe ser identificada, captada y comunicada en forma y tiempo tales que permitan a las personas cumplir sus responsabilidades de manera eficiente y oportuna. Por lo tanto, la función servicios de información debe crear y actualizar periódicamente un modelo de arquitectura de la información que incluya el modelo de datos corporativo y los sistemas de información relacionados. El modelo de arquitectura de la información debe ser consistente con el plan de tecnología de información a largo plazo.
2.2
Diccionario de datos corporativo y reglas de sintaxis de los datos OBJETIVO DE CONTROL La función servicios de información debe garantizar la creación y actualización continua de un diccionario de datos corporativo que incorpore las reglas de sintaxis de los datos de la organización.
2.3
Esquema de clasificación de los datos OBJETIVO DE CONTROL Debe establecerse un marco general de clasificación con respecto a la ubicación de los datos en clases de información (por ejemplo, categorías de seguridad) así como a la asignación de la propiedad. Las reglas de acceso para las clases deben definirse de manera adecuada.
2.4
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
Niveles de seguridad OBJETIVO DE CONTROL La gerencia debe definir, implementar y mantener niveles de seguridad para cada clasificación de datos identificada por encima del nivel “no requiere protección”. Estos niveles de seguridad deben representar la cantidad adecuada (mínima) de medidas de seguridad y control para cada una de las clasificaciones.
43
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN
P0 3
El control sobre el proceso de TI de
determinación de la dirección tecnológica que satisface el requerimiento de negocio
de aprovechar la tecnología disponible y la emergente puede realizarse por medio de
la creación y el mantenimiento de un plan de infraestructura tecnológica y tiene en cuenta
• • • •
44
la suficiencia y la capacidad de evolución de la infraestructura actual el monitoreo de los desarrollos tecnológicos las contingencias los planes de adquisición
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 3.
DETERMINACIÓN DE LA DIRECCIÓN TECNOLÓGICA
3.1
Planificación de la infraestructura tecnológica OBJETIVO DE CONTROL La función servicios de información debe crear y actualizar periódicamente un plan de infraestructura tecnológica de conformidad con los planes de tecnología de información a corto y largo plazo. Dicho plan debe comprender aspectos tales como la arquitectura de los sistemas, la dirección tecnológica y las estrategias de migración.
3.2
Monitoreo de las tendencias y reglamentaciones futuras OBJETIVO DE CONTROL La función servicios de información debe garantizar un monitoreo continuo de las tendencias y condiciones regulatorias futuras a fin de que estos factores sean tenidos en cuenta durante el desarrollo y mantenimiento del plan de infraestructura tecnológica.
3.3
Contingencias de la infraestructura tecnológica OBJETIVO DE CONTROL El plan de infraestructura tecnológica debe evaluarse sistemáticamente en cuanto a las contingencias (por ejemplo, redundancia, elasticidad, conveniencia y capacidad de evolución de la infraestructura).
3.4
Planes de adquisición de hardware y software OBJETIVO DE CONTROL La gerencia de la función servicios de información debe garantizar el establecimiento de planes de adquisición de hardware y software
que reflejen las necesidades identificadas en el plan de infraestructura tecnológica. 3.5
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
Normas de tecnología OBJETIVO DE CONTROL Sobre la base del plan de infraestructura tecnológica, la gerencia debe definir normas de tecnología para promover la normalización.
45
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN
P0 4
El control sobre el proceso de TI de
definición de la organización y las relaciones de TI que satisface el requerimiento de negocio
de prestar servicios de TI puede realizarse por medio de
una organización adecuada en cantidad e idoneidad del personal en la que los roles y las responsabilidades están definidos y se comunican y tiene en cuenta
• • • • • • • • •
46
el comité de dirección la responsabilidad a nivel de directorio propiedad, custodia supervisión distribución de las tareas roles y responsabilidades descripciones de los puestos niveles de dotación de personal personal clave
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 4.
continuamente a los cambios.
DEFINICIÓN DE LA ORGANIZACIÓN Y LAS RELACIONES DE TI
4.4
Roles y responsabilidades OBJETIVO DE CONTROL La gerencia debe garantizar que todo el personal de la organización tenga y conozca sus roles y responsabilidades en relación con los sistemas de información. Todo el personal debe tener la autoridad suficiente para ejercer los roles y las responsabilidades asignados. Todos deben saber que tienen algún grado de responsabilidad en cuanto al control interno y la seguridad. En consecuencia, periódicamente deben organizarse y llevarse a cabo campañas para lograr una mayor concientización y disciplina.
Ubicación de la función servicios de información en la organización OBJETIVO DE CONTROL Al ubicar la función servicios de información dentro de la estructura general de la organización, la gerencia senior debe garantizar la competencia, masa crítica e independencia de los departamentos de usuarios en la medida necesaria para garantizar soluciones de tecnología de información eficientes y un grado de avance suficiente al implementarlas y establecer una relación de asociación con la alta gerencia para contribuir a aumentar la concientización, comprensión y habilidad para identificar y resolver las cuestiones de tecnología de información.
4.5
Responsabilidad por la garantía de calidad OBJETIVO DE CONTROL La gerencia debe asignar la responsabilidad del ejercicio de la función de garantía de calidad a miembros del personal de la función servicios de información y garantizar la existencia de la pericia adecuada en materia de garantía de calidad, sistemas, controles y comunicaciones en el grupo de garantía de calidad de la función servicios de información. La ubicación en la organización dentro de la función servicios de información, las responsabilidades y la dimensión del grupo de garantía de calidad deben satisfacer los requerimientos de la organización.
Revisión de los logros organizacionales OBJETIVO DE CONTROL Debe existir un marco para revisar la estructura de la organización a fin de alcanzar los objetivos y adaptarse
4.6
Responsabilidad por la seguridad lógica y física OBJETIVO DE CONTROL La gerencia debe asignar formalmente la responsabilidad por la seguridad, tanto lógica como física, de los bienes
4.1
Planificación de la función servicios de información o Comité de Dirección OBJETIVO DE CONTROL La gerencia senior de la organización debe designar un comité de planificación o dirección para supervisar la función servicios de información y sus actividades. El comité debe incluir entre sus miembros a representantes de la gerencia senior, la gerencia de usuarios y la función servicios de información. El comité debe reunirse periódicamente e informar a la gerencia senior.
4.2
4.3
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
47
COBIT de información de la organización a un gerente de seguridad de la información que dependa de la gerencia senior de la misma. La responsabilidad por la administración de la seguridad debe establecerse, al menos, a nivel de toda la organización a fin de atender las cuestiones de seguridad general en la organización. Si es necesario, deben asignarse responsabilidades adicionales de administración de la seguridad a nivel del sistema para atender las cuestiones de seguridad relacionadas. 4.7
Propiedad y custodia OBJETIVO DE CONTROL La gerencia debe crear una estructura para designar formalmente a los responsables y custodios de los datos. Sus roles y responsabilidades deben definirse en forma clara.
4.8
Propiedad de los datos y sistemas OBJETIVO DE CONTROL La gerencia debe garantizar que todos los bienes de información (datos y sistemas) tengan un responsable designado que tome decisiones sobre las clasificaciones y los derechos de acceso. Los responsables del sistema, en general, delegan la custodia diaria al grupo de entrega/operaciones de sistemas y las responsabilidades por la seguridad a un administrador de seguridad. No obstante, los responsables siguen teniendo a su cargo el mantenimiento de las medidas de seguridad adecuadas.
4.9
48
Supervisión OBJETIVO DE CONTROL La gerencia senior debe implementar prácticas adecuadas de supervisión en la organización de servicios de información para garantizar el
correcto ejercicio de los roles y las responsabilidades, evaluar si todo el personal cuenta con la autoridad y los recursos suficientes para cumplir sus roles y responsabilidades y revisar, en general, los indicadores clave del desempeño. 4.10
Distribución de tareas OBJETIVO DE CONTROL La gerencia senior debe implementar la división de roles y responsabilidades a fin de excluir la posibilidad de que una sola persona ocasione daños graves en un proceso crítico. Asimismo, la gerencia debe garantizar que el personal realice sólo aquellas tareas estipuladas para sus respectivos cargos y puestos. En particular, debe mantenerse una distribución de tareas entre las siguientes funciones: • uso de sistemas de información; • ingreso de datos; • operación de computadoras; • administración de redes; • administración de sistemas; • desarrollo y mantenimiento de sistemas; • administración de cambios; • administración de seguridad, y • auditoría de seguridad.
4.11
Personal de TI OBJETIVO DE CONTROL Periódicamente, deben realizarse evaluaciones de los requerimientos de dotación de personal para garantizar que la función servicios de información cuente con la cantidad suficiente de personal competente de tecnología de información. Los requerimientos de personal deben evaluarse, como mínimo, anualmente o al producirse cambios substanciales OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) en el negocio, las operaciones o el ambiente de tecnología de información. Sobre la base de los resultados de las evaluaciones, deben tomarse medidas en forma inmediata a fin de garantizar la existencia de una dotación de personal adecuada en la actualidad y en el futuro. 4.12
Descripciones de cargos o puestos para el personal de la función servicios de información OBJETIVO DE CONTROL La gerencia debe garantizar que las descripciones de cargos para el personal de la función servicios de información se establezcan y actualicen en forma periódica. Estas descripciones de cargos deben especificar con claridad la autoridad y la responsabilidad, incluir definiciones de las habilidades y la experiencia necesarias para el cargo pertinente y ser adecuadas para su uso en las evaluaciones de desempeño.
4.13
Personal clave de tecnología de información OBJETIVO DE CONTROL La gerencia debe definir e identificar el personal clave de tecnología de información.
4.14
Procedimientos relativos al personal contratado OBJETIVO DE CONTROL La gerencia debe definir e implementar los procedimientos pertinentes para el control de las actividades de consultores y demás personal contratado por parte de la función servicios de información a fin de garantizar la protección de los bienes de información de la organización.
4.15
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
Relaciones OBJETIVO DE CONTROL La gerencia de la función servicios de información debe tomar las acciones necesarias para establecer y mantener una estructura óptima de coordinación, comunicación y enlace entre la función servicios de información y otras partes interesadas dentro y fuera de dicha función (por ejemplo, usuarios, proveedores, funcionarios de seguridad, administradores de riesgo).
49
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN
P0 5
El control sobre el proceso de TI de
administración de la inversión en TI que satisface el requerimiento de negocio
de garantizar la financiación y controlar el desembolso de recursos financieros puede realizarse por medio de
la definición de un presupuesto periódico operativo y de inversión y su aprobación por parte de la organización y tiene en cuenta
• • •
•
50
las alternativas de financiación el control del gasto real la justificación de costos la justificación de los beneficios
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 5.
ADMINISTRACIÓN DE LA INVERSIÓN EN TI
5.1
Presupuesto operativo anual de la función servicios de información OBJETIVO DE CONTROL La gerencia senior debe implementar un proceso de presupuesto para garantizar el establecimiento de un presupuesto operativo anual de la función servicios de información y su aprobación de conformidad con los planes a corto y largo plazo de la organización y de tecnología de información. Deben investigarse alternativas de financiación.
5.2
Monitoreo de costos y beneficios OBJETIVO DE CONTROL La gerencia debe establecer un proceso de monitoreo de costos que compare los costos reales y los presupuestados. Asimismo, deben determinarse e informarse los beneficios posibles derivados de las actividades de tecnología de información. Para el monitoreo de costos, la fuente de las cifras reales debe estar basada en el sistema contable de la organización, el cual debe registrar, procesar e informar de manera habitual los costos asociados con las actividades de la función servicios de información. Para el monitoreo de beneficios, deben definirse, informarse y revisarse en forma periódica indicadores de desempeño de alto nivel.
5.3
Justificación de costos y beneficios OBJETIVO DE CONTROL Debe existir un control administrativo para garantizar que los costos de prestación de los servicios por parte de la función servicios de información estén justificados y sean coherentes
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
con los de la industria. Los beneficios derivados de las actividades de tecnología de información deben analizarse de manera similar.
51
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN
P0 6
El control sobre el proceso de TI de
comunicación de los objetivos y directivas de la gerencia que satisface el requerimiento de negocio
de garantizar que los usuarios conozcan y entiendan dichos objetivos puede realizarse por medio de
la definición de políticas y su comunicación a la comunidad de usuarios. Además, es preciso que se establezcan normas a fin de traducir las opciones estratégicas en reglas prácticas y útiles y tiene en cuenta
• • • • • •
52
el código de conducta/ética las directivas tecnológicas el cumplimiento el compromiso con la calidad las políticas de seguridad las políticas de control interno
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 6.
6.1
6.2
6.3
COMUNICACIÓN DE LOS OBJETIVOS Y DIRECTIVAS DE LA GERENCIA Ambiente de control positivo de la información OBJETIVO DE CONTROL La gerencia debe crear un marco y un programa de concientización que propicien un ambiente de control positivo en toda la organización mediante el abordaje de aspectos tales como: integridad, valores éticos y competencia de las personas; filosofía de administración y estilo de operación; responsabilidad, atención y orientación por parte del directorio. Deben tenerse en cuenta, especialmente, los aspectos relacionados con la tecnología de información. Responsabilidad de la gerencia por las políticas OBJETIVO DE CONTROL La gerencia debe asumir plena responsabilidad por la formulación, desarrollo, documentación, promulgación y control de políticas que abarquen objetivos y directivas generales. Deben llevarse a cabo revisiones periódicas para determinar si las políticas son adecuadas. La complejidad de las políticas y los procedimientos escritos siempre deben ser proporcionales al tamaño y al estilo de administración de la organización. Comunicación de las políticas de la organización OBJETIVO DE CONTROL La gerencia debe garantizar que las políticas de la organización sean comunicadas y entendidas a todos sus niveles.
6.4
Recursos para la implementación de políticas OBJETIVO DE CONTROL Después de la comunicación, la gerencia debe asignar recursos adecuados para la implementación de sus políticas. Asimismo, la gerencia debe monitorear los plazos de implementación de las mismas.
6.5
Mantenimiento de políticas OBJETIVO DE CONTROL Las políticas deben ajustarse periódicamente para adaptarse a las condiciones cambiantes. Deben volver a evaluarse anualmente, como mínimo, o al producirse cambios substanciales en el ambiente de operación o de negocio, a fin de evaluar su suficiencia y conveniencia y modificarlas según sea necesario. La gerencia debe proveer un marco y un proceso para la revisión y aprobación periódica de normas, políticas, directivas y procedimientos.
6.6
Cumplimiento de las políticas, los procedimientos y las normas OBJETIVO DE CONTROL La gerencia debe garantizar la existencia de procedimientos adecuados para determinar si el personal comprende las políticas y los procedimientos implementados así como que éstos se cumplan. La alta gerencia debe establecer, y predicar con el ejemplo, procedimientos de cumplimiento de las normas éticas, de seguridad y de control interno.
6.7
Compromiso con la calidad OBJETIVO DE CONTROL La gerencia de la función servicios de información debe definir, documentar y mantener una filosofía, políticas y
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
53
COBIT objetivos de calidad coherentes con las filosofías y políticas corporativas en este sentido. La filosofía, las políticas y los objetivos de calidad deben ser comprendidos, implementados y mantenidos a todos los niveles de la función servicios de información. 6.8
54
Política marco de seguridad y control interno OBJETIVO DE CONTROL La gerencia senior debe asumir plena responsabilidad por el desarrollo y mantenimiento de una política marco que establezca el enfoque general de la organización en materia de seguridad y control interno. La política debe cumplir con los objetivos generales de negocio y estar orientada hacia la minimización de los riesgos a través de medidas preventivas, identificación oportuna de irregularidades, limitación de pérdidas y restauración oportuna. Las medidas deben basarse en análisis de costo-beneficio y deben fijarse prioridades para las mismas. Por otra parte, la gerencia senior debe garantizar que esta política general de seguridad y control interno especifique la finalidad y los objetivos, la estructura gerencial, el ámbito de aplicación dentro de la organización, la definición y asignación de responsabilidades para la implementación a todos los niveles y la definición de sanciones y acciones disciplinarias asociadas con el incumplimiento de las políticas de seguridad y control interno.
6.9
Derechos de propiedad intelectual OBJETIVO DE CONTROL La gerencia debe proveer e implementar una política escrita sobre los derechos de propiedad intelectual que comprenda tanto el software desarrollado en la organización como el desarrollado a través de contratos con terceros.
6.10
Políticas específicas OBJETIVO DE CONTROL Deben implementarse medidas para garantizar el establecimiento de políticas específicas para documentar las decisiones gerenciales relacionadas con el tratamiento de determinadas actividades, aplicaciones, sistemas o tecnologías.
6.11
Comunicación de la concientización en materia de seguridad de TI OBJETIVO DE CONTROL Un programa de concientización en materia de seguridad de tecnología de la información debe comunicar la política de seguridad de TI a cada uno de sus usuarios y garantizar una comprensión cabal de la importancia de la seguridad de TI. Debe transmitir el mensaje de que la seguridad de la tecnología de información redunda en beneficio de la organización y todos sus empleados y que todos son responsables por ella. El programa de concientización de seguridad de tecnología de información debe contar con el apoyo de la gerencia senior y ser representativo de su visión.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Esta página fue dejada en blanco intencionalmente.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
55
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN
P0 7
El control sobre el proceso de TI de
administración de los recursos humanos que satisface el requerimiento de negocio
de maximizar los aportes del personal a los procesos de TI puede realizarse por medio de
técnicas bien concebidas de administración del personal y tiene en cuenta
• • • • • • •
56
el reclutamiento y la promoción la formación y la experiencia la capacitación la concientización la capacitación cruzada los procedimientos de autorización la evaluación objetiva y mensurable del desempeño
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 7.
ADMINISTRACIÓN DE LOS RECURSOS HUMANOS
7.1
Reclutamiento y promoción del personal OBJETIVO DE CONTROL La gerencia debe implementar y evaluar periódicamente los procesos necesarios para garantizar que las prácticas de reclutamiento y promoción del personal se basen en criterios objetivos y consideren la educación, la experiencia y la responsabilidad. Estos procesos deben ser coherentes con las políticas y los correspondientes procedimientos generales de la organización.
7.2
Formación y experiencia del personal OBJETIVO DE CONTROL La gerencia de la función servicios de información debe verificar periódicamente que el personal que realiza tareas específicas esté formado sobre la base de una educación, capacitación y/o experiencia adecuadas, según sea necesario. La gerencia debe alentar al personal a participar como miembros de asociaciones profesionales.
7.3
Capacitación del personal OBJETIVO DE CONTROL La gerencia debe garantizar que los empleados reciban orientación al ser contratados y capacitación continua para mantener sus conocimientos, competencia, habilidades y concientización en materia de seguridad dentro del nivel requerido a fin de lograr un desempeño eficaz. Los programas de educación y capacitación del personal tendientes a elevar de manera eficaz el nivel de competencia técnica y gerencial del personal deben revisarse en forma periódica.
7.4
Capacitación cruzada o personal de reemplazo OBJETIVO DE CONTROL La gerencia debe proveer capacitación cruzada o personal de reemplazo clave a fin de abordar el problema de ausencia del personal. El personal que ocupa cargos críticos debería tener vacaciones ininterrumpidas durante un período suficiente que le permita a la organización ejercer su habilidad de manejar la ausencia de personal y detectar actividades fraudulentas.
7.5
Procedimientos de autorización del personal OBJETIVO DE CONTROL La gerencia de la función servicios de información debe garantizar que su personal esté sujeto a procedimientos de acreditación antes de su contratación, traslado o promoción, dependiendo de la sensibilidad del puesto. Un empleado que no estuvo sujeto a dicho procedimiento al ser contratado por primera vez, no debe ser asignado a un puesto crítico hasta que no obtenga la acreditación correspondiente.
7.6
Evaluación del desempeño laboral del empleado OBJETIVO DE CONTROL La gerencia debe implementar un proceso de evaluación de desempeño del empleado y garantizar que ésta se realice periódicamente en función de las normas establecidas y las responsabilidades específicas de los cargos. Cuando sea necesario, los empleados deben recibir asesoramiento sobre el desempeño o la conducta.
7.7
Cambio de puestos y extinción de la relación laboral OBJETIVO DE CONTROL La gerencia debe garantizar que se
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
57
COBIT adopten acciones adecuadas y oportunas en relación con el cambio de puestos y la extinción de la relación laboral a fin de que los controles internos y la
58
seguridad no se vean perjudicados por dichos acontecimientos.
.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Esta página fue dejada en blanco intencionalmente.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
59
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN
P0 8
El control sobre el proceso de TI de
garantía del cumplimiento de los requisitos externos que satisface el requerimiento de negocio
de cumplir con las obligaciones legales, regulatorias y contractuales puede realizarse por medio de
la identificación y el análisis de los requisitos externos a fin de determinar su impacto sobre la tecnología de información y la adopción de las medidas necesarias para su cumplimiento y tiene en cuenta
• • • • • • •
•
60
las leyes, reglamentaciones y contratos el monitoreo de los desarrollos legales y regulatorios las revisiones periódicas de los cambios y las modificaciones las consultas a asesores legales la seguridad y ergonomía la privacidad la propiedad intelectual el flujo de los datos
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 8.
8.1
8.2
GARANTÍA DEL CUMPLIMIENTO DE LOS REQUISITOS EXTERNOS Revisión de los requisitos externos OBJETIVO DE CONTROL La organización debe establecer y mantener procedimientos para la revisión de los requisitos externos y la coordinación de dichas actividades. La investigación continua debe determinar los requisitos externos que resultan aplicables a la organización. Deben revisarse los requisitos legales, gubernamentales u otros requisitos externos relacionados con las prácticas y los controles de la tecnología de información. Asimismo, la gerencia debe evaluar el impacto de cualquier relación externa sobre las necesidades generales de información de la organización, incluyendo la determinación de la medida en la que es preciso que las estrategias de la función servicios de información cumplan o respalden los requerimientos de cualquier tercero relacionado. Prácticas y procedimientos para garantizar el cumplimiento de los requisitos externos OBJETIVO DE CONTROL Las prácticas de la organización deben garantizar que se adopten medidas correctivas en forma oportuna para garantizar el cumplimiento de los requisitos externos. Asimismo, deben establecerse y mantenerse procedimientos adecuados que garanticen el cumplimiento continuo. En este aspecto, la gerencia debe buscar, si es necesario, asesoramiento legal.
8.3
Cumplimiento de la normativa en materia de seguridad y ergonomía OBJETIVO DE CONTROL La gerencia debe garantizar el cumplimiento de la normativa en materia de seguridad y ergonomía en el ambiente de trabajo de los usuarios y el personal de la función servicios de información.
8.4
Privacidad, propiedad intelectual y flujo de datos OBJETIVO DE CONTROL La gerencia debe garantizar el cumplimiento de las reglamentaciones en materia de privacidad, propiedad intelectual, flujo de datos transfronteras y criptografía aplicables a las prácticas de tecnología de información de la organización.
8.5
Comercio electrónico OBJETIVO DE CONTROL La gerencia debe garantizar la existencia de contratos formales que establezcan acuerdos entre socios comerciales en cuanto a los procesos de comunicación y las normas de seguridad de mensajes de transacciones y almacenamiento de datos. Al ejercer el comercio en Internet, la gerencia debe implementar controles adecuados para garantizar el cumplimiento de la legislación local y las costumbres internacionales.
8.6
Cumplimiento de los contratos de seguro OBJETIVO DE CONTROL La gerencia debe garantizar que se identifiquen y cumplan de manera continua los requerimientos de los contratos de seguro.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
61
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN
P0 9
El control sobre el proceso de TI de
evaluación de riesgos que satisface el requerimiento de negocio
de garantizar el logro de los objetivos de TI y responder a las amenazas que puedan afectar la provisión de los servicios de TI puede realizarse por medio de
un proceso por el cual la organización se ocupa de identificar los riesgos de TI, efectuar el análisis del impacto y adoptar medidas efectivas en cuanto a costos a fin de mitigar los riesgos y tiene en cuenta
• • • • • •
62
los distintos tipos de riesgos de TI (por ejemplo, tecnología, seguridad, continuidad, aspectos regulatorios, etc.) el alcance: global o específico de sistemas las actualizaciones de evaluación de riesgos la metodología de evaluación de riesgos la medición cuantitativa y/o cualitativa de riesgos el plan de acción de riesgos
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 9.
EVALUACIÓN DE RIESGOS
9.1
Evaluación de riesgos de negocio OBJETIVO DE CONTROL La gerencia debe establecer un marco de evaluación sistemática de riesgos. Dicho marco debe incorporar una evaluación periódica de los riesgos de información relacionados con la consecución de los objetivos de negocio, que constituya una base para determinar cómo deben administrarse los riesgos a un nivel aceptable. El proceso debe contemplar evaluaciones de riesgo a nivel general y de sistemas específicos (para proyectos nuevos y en forma reiterada) y debe garantizar actualizaciones periódicas de la información de evaluación de riesgos con los resultados de las auditorías, las inspecciones y los incidentes identificados.
9.2
9.3
Enfoque de la evaluación de riesgos OBJETIVO DE CONTROL La gerencia debe establecer un enfoque general de la evaluación de riesgos que defina el ámbito de aplicación y los límites, la metodología que ha de adoptarse para las evaluaciones de riesgo, las responsabilidades y las habilidades requeridas. La calidad de las evaluaciones de riesgo debe garantizarse a través de un método estructurado y evaluadores de riesgo competentes.
tales como bienes, amenazas, puntos vulnerables, salvaguardias, consecuencias y probabilidad de la amenaza. 9.4
Medición de riesgos OBJETIVO DE CONTROL El enfoque de la evaluación de riesgos debe garantizar que el análisis de la información de identificación de riesgos de por resultado una medición cuantitativa y/o cualitativa del riesgo al que se encuentra expuesta el área examinada. Debe evaluarse la capacidad de la organización de aceptación del riesgo.
9.5
Plan de acción de reducción de riesgos OBJETIVO DE CONTROL El enfoque de la evaluación de riesgos debe contemplar la definición de un plan de acción de riesgos para garantizar que los controles económicos y las medidas de seguridad mitiguen la exposición a los riesgos de manera continua.
9.6
Aceptación de riesgos OBJETIVO DE CONTROL El enfoque de la evaluación de riesgos debe garantizar la aceptación formal del riesgo residual, dependiendo de la identificación y medición del riesgo, la política de la organización, la incertidumbre incorporada en el enfoque de evaluación de riesgo en sí y la economía de la implementación de salvaguardias y controles. El riesgo residual debe compensarse con un seguro con cobertura adecuada.
Identificación de riesgos OBJETIVO DE CONTROL El enfoque de la evaluación de riesgos debe concentrarse en el examen de los elementos fundamentales del riesgo
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
63
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN
P0 10
El control sobre el proceso de TI de
administración de proyectos que satisface el requerimiento de negocio
de definir prioridades y suministrar el servicio dentro de los plazos y los límites presupuestarios puede realizarse por medio de
un proceso por el cual la organización identifica y prioriza los proyectos en concordancia con el plan operativo. Asimismo, la organización deberá adoptar y aplicar técnicas bien concebidas de administración de proyectos por cada proyecto que se inicie y tiene en cuenta
• • • • • • •
64
la responsabilidad por el proyecto la participación del usuario la división de tareas y los plazos la asignación de responsabilidades las aprobaciones del proyecto y sus fases los presupuestos de costos y recursos humanos los planes y métodos de garantía de calidad
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 10.
ADMINISTRACIÓN DE PROYECTOS
10.1
Marco de administración de proyectos OBJETIVO DE CONTROL La gerencia debe establecer un marco general de administración de proyectos que defina el ámbito de aplicación y los límites, así como la metodología de administración de proyectos que ha de adoptarse y aplicarse a cada uno de los proyectos emprendidos. La metodología debe contemplar, como mínimo, la asignación de responsabilidades, división de tareas, presupuestación del tiempo y los recursos, plazos, puntos de verificación y aprobaciones.
10.2
Participación del departamento de usuarios en el inicio del proyecto OBJETIVO DE CONTROL El marco de administración de proyectos de la organización debe contemplar la participación de la gerencia del departamento de usuarios afectado en la definición y autorización de un proyecto de desarrollo, implementación o modificación.
proyectos de la organización debe contemplar la elaboración de una declaración escrita clara que defina la naturaleza y el ámbito de aplicación de cada proyecto de implementación antes de comenzar a trabajar en el mismo. 10.5
Aprobación del proyecto OBJETIVO DE CONTROL El marco de administración de proyectos de la organización debe garantizar que para cada uno de los proyectos propuestos, la gerencia senior de la organización revise los informes de los estudios de factibilidad pertinentes en base a los cuales tomará la decisión de llevar adelante, o no, el proyecto.
10.6
Aprobación de las fases del proyecto OBJETIVO DE CONTROL El marco de administración de proyectos de la organización debe contar con gerentes asignados a las funciones usuarios y servicios de información para que aprueben el trabajo realizado en cada fase del ciclo antes de comenzar el trabajo correspondiente a la fase siguiente.
10.3
Miembros y responsabilidades del equipo del proyecto OBJETIVO DE CONTROL El marco de administración de proyectos de la organización debe especificar las pautas para la asignación de miembros del personal al proyecto y definir las responsabilidades y facultades de los miembros del equipo del proyecto.
10.7
Plan maestro del proyecto OBJETIVO DE CONTROL La gerencia debe garantizar que para cada proyecto aprobado se cree un plan maestro que sea adecuado para mantener el control del proyecto durante su ciclo e incluya un método para el monitoreo del tiempo y los costos en los que se incurra durante el ciclo del proyecto.
10.4
Definición del proyecto OBJETIVO DE CONTROL El marco de administración de
10.8
Plan de garantía de calidad del sistema OBJETIVO DE CONTROL
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
65
COBIT La gerencia debe garantizar que la implementación de un sistema nuevo o modificado incluya la preparación de un plan de calidad que luego se integre con el plan maestro del proyecto y sea revisado y acordado formalmente por todas las partes involucradas. 10.9
10.10
66
Planificación de métodos de garantía OBJETIVO DE CONTROL Las tareas de garantía deben identificarse durante la fase de planificación del marco de administración del proyecto. Estas tareas deben servir de apoyo a la acreditación de sistemas nuevos o modificados y garantizar que los controles internos y las funciones de seguridad cumplan con los requerimientos relacionados. Administración formal de riesgos del proyecto OBJETIVO DE CONTROL La gerencia debe implementar un programa formal de administración de riesgos del proyecto para eliminar o minimizar los riesgos asociados con los distintos proyectos (por ejemplo, identificación y control de las áreas o los eventos que, potencialmente, podrían ocasionar cambios no
10.11
deseados). Plan de pruebas OBJETIVO DE CONTROL El marco de administración de proyectos de la organización debe requerir la elaboración de un plan de pruebas para cada proyecto de desarrollo, implementación y modificación.
10.12
Plan de capacitación OBJETIVO DE CONTROL El marco de administración de proyectos de la organización debe requerir la elaboración de un plan de capacitación para cada proyecto de desarrollo, implementación y modificación.
10.13
Plan de revisión posterior a la implementación OBJETIVO DE CONTROL El marco de administración de proyectos de la organización debe contemplar, como parte integrante de las actividades del equipo del proyecto, el desarrollo de un plan para la realización de una revisión posterior a la implementación de cada sistema de información nuevo o modificado, a fin de determinar si el proyecto ha producido los beneficios planificados.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Esta página fue dejada en blanco intencionalmente.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
67
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PLANIFICACIÓN Y ORGANIZACIÓN
P0 11
El control sobre el proceso de TI de
administración de la calidad que satisface el requerimiento de negocio
de responder a los requerimientos de los clientes de TI puede realizarse por medio de
la planificación, implementación y el mantenimiento de normas y sistemas de administración de calidad de la organización; más aún, la organización deberá adoptar y aplicar una metodología que proporcione distintas fases de desarrollo y prevea fases y resultados claros y tiene en cuenta
• • • • •
68
la estructura del plan de calidad las responsabilidades de garantía de calidad la metodología del ciclo de vida de desarrollo de sistemas la prueba y documentación del programa y del sistema las revisiones y los informes de garantía de calidad
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 11.
ADMINISTRACIÓN DE LA CALIDAD
11.1
Plan general de calidad OBJETIVO DE CONTROL La gerencia senior debe desarrollar y mantener periódicamente un plan general de calidad basado en los planes de la organización y de tecnología de información a largo plazo. El plan debe promover la filosofía de mejora continua y responder las preguntas esenciales: qué, quién y cómo.
11.2
Enfoque de garantía de calidad OBJETIVO DE CONTROL La gerencia debe establecer un enfoque estándar en relación con la garantía de calidad que contemple las actividades de garantía de calidad tanto generales como de proyectos específicos. El enfoque debe establecer el(los) tipo(s) de actividad(es) de garantía de calidad (tales como revisiones, auditorías, inspecciones, etc.) que ha(n) de llevarse a cabo para alcanzar los objetivos del plan general de calidad. Asimismo, debe requerir revisiones específicas de garantía de calidad.
11.3
Planificación de garantía de calidad OBJETIVO DE CONTROL La gerencia debe implementar un proceso de planificación de garantía de calidad para determinar el ámbito de aplicación y el plazo de las actividades pertinentes.
11.4
Revisión de garantía de calidad de la observación de las normas y los procedimientos de la función servicios de información OBJETIVO DE CONTROL La gerencia debe garantizar que las responsabilidades asignadas al
personal de garantía de calidad incluyan una revisión de la observación general de las normas y los procedimientos de la función servicios de información. 11.5
Metodología del ciclo de vida del desarrollo de sistemas OBJETIVO DE CONTROL La gerencia senior de la organización debe definir e implementar normas de sistemas de información y adoptar una metodología del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo, adquisición, implementación y mantenimiento de sistemas de información computarizado y tecnologías relacionadas. La metodología del ciclo de vida de desarrollo de sistemas elegida debe ser adecuada para los sistemas que se van a desarrollar, adquirir, implementar y mantener.
11.6
Metodología del ciclo de vida del desarrollo de sistemas para la introducción de cambios importantes en la tecnología existente. OBJETIVO DE CONTROL En caso de introducir cambios importantes en la tecnología existente, la gerencia debe garantizar la observación de una metodología del ciclo de vida de desarrollo de sistemas, al igual que en el caso de adquisición de tecnología nueva.
11.7
Actualización de la metodología del ciclo de vida del desarrollo de sistemas OBJETIVO DE CONTROL La gerencia senior debe implementar una revisión periódica de su metodología del ciclo de vida de desarrollo de sistemas a fin de
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
69
COBIT garantizar que sus disposiciones reflejen las técnicas y los procedimientos actuales generalmente aceptados. 11.8
11.9
70
Coordinación y comunicación OBJETIVO DE CONTROL La gerencia debe establecer un proceso para garantizar una coordinación y comunicación estrechas entre los clientes de la función servicios de información y aquellos individuos a cargo de la implementación del sistema. Este proceso debe comprender métodos estructurados que utilicen la metodología del ciclo de vida de desarrollo de sistemas para garantizar que se provean soluciones de tecnología de la información de calidad que satisfagan las exigencias de negocio. La gerencia debe promover una organización caracterizada por una estrecha cooperación y comunicación durante el ciclo de vida de desarrollo de sistemas. Marco de adquisición y mantenimiento de la infraestructura tecnológica OBJETIVO DE CONTROL Debe existir un marco general en relación con la adquisición y el mantenimiento de la infraestructura tecnológica. Los diferentes pasos que deben seguirse en relación con la infraestructura mencionada (tales como adquisición; programación, documentación y pruebas; definición de parámetros; mantenimiento y aplicación de reparaciones) deben regirse según el marco de adquisición y mantenimiento de la infraestructura tecnológica y ser consecuentes con éste.
11.10
Relaciones con terceros a cargo de la implementación OBJETIVO DE CONTROL La gerencia debe implementar un proceso para garantizar la existencia de buenas relaciones laborales con los terceros a cargo de la implementación. Dicho proceso debe contemplar el acuerdo entre el usuario y la parte encargada de la implementación en cuanto a los criterios de aceptación, la administración de los cambios, los problemas surgidos durante el desarrollo, los roles de los usuarios, las instalaciones, las herramientas, el software, las normas y los procedimientos.
11.11
Normas de documentación de programas OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe incorporar normas para la documentación de programas que se comuniquen al personal afectado y se cumplan. La metodología debe garantizar que la documentación creada durante los proyectos de desarrollo o modificación de sistemas de información observe dichas normas.
11.12
Normas de pruebas de programas OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe proveer normas que contemplen los requerimientos, la verificación, documentación y conservación de las pruebas unitarias del software y los programas agregados creados como parte de cada proyecto de desarrollo o modificación de sistemas de información. OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 11.13
11.14
11.15
11.16
Normas de pruebas de sistemas OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe proveer normas que contemplen los requerimientos, la verificación, documentación y conservación de pruebas para la prueba de todo el sistema como parte de cada proyecto de desarrollo o modificación de sistemas de información. Pruebas paralelas/piloto OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe definir las circunstancias en las que deben llevarse a cabo las pruebas paralelas o piloto de los sistemas nuevos y/o existentes. Documentación de pruebas de sistemas OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe establecer, como parte de cada proyecto de desarrollo, implementación o modificación de sistemas de información, que se conserven los resultados documentados de las pruebas de sistemas.
funcionamiento evalúe si el equipo del proyecto observó las normas de la metodología del ciclo de vida de desarrollo de sistemas. 11.17
Revisión de garantía de calidad del logro de los objetivos de la función servicios de información OBJETIVO DE CONTROL El enfoque de garantía de calidad debe incluir una revisión de la medida en la que determinadas actividades de desarrollo de sistemas y aplicaciones han alcanzado los objetivos de la función servicios de información.
11.18
Medidores de calidad OBJETIVO DE CONTROL La gerencia debe definir y utilizar medidores para medir los resultados de las actividades y, de este modo, evaluar si se alcanzaron las metas de calidad.
11.19
Informes de las revisiones de garantía de calidad OBJETIVO DE CONTROL Deben prepararse informes de las revisiones de garantía de calidad y presentarse a la gerencia del departamento usuario y a la función servicios de información
Evaluación de garantía de calidad de la observación de las normas de desarrollo OBJETIVO DE CONTROL El enfoque de garantía de calidad de la organización debe requerir que una revisión posterior a la implementación de un sistema de información en
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
71
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ADQUISICIÓN E IMPLEMENTACIÓN
AI 1
El control sobre el proceso de TI de
identificación de soluciones que satisface el requerimiento de negocio
de garantizar el mejor enfoque a fin de satisfacer los requerimientos del usuario puede realizarse por medio de
un análisis claro de las oportunidades alternativas medidas en comparación con los requerimientos del usuario y tiene en cuenta
• • • • • • • •
72
la definición de los requerimientos de información los estudios de factibilidad (costos, beneficios, alternativas, etc.) los requerimientos del usuario la arquitectura de la información la economía de la seguridad las pistas de auditoría las contrataciones externas la aceptación de las instalaciones y la tecnología
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 1.
IDENTIFICACIÓN DE SOLUCIONES
1.1
Definición de los requerimientos de información OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe establecer que se definan de manera clara los requerimientos de negocio que satisfagan los sistemas existentes y que satisfarán los sistemas propuestos, nuevos o modificados (software, datos e infraestructura), antes de aprobar un proyecto de desarrollo, implementación o modificación. La metodología del ciclo de vida de desarrollo de sistemas debe requerir que se especifiquen los requerimientos funcionales y operativos de la solución, incluidos el rendimiento, la seguridad, confiabilidad, compatibilidad y legislación.
1.2
Formulación de cursos alternativos de acción OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas debe contemplar el análisis de cursos alternativos de acción que satisfagan los requerimientos de negocio establecidos para un sistema propuesto nuevo o modificado.
1.3
Formulación de estrategias de adquisición OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas debe contemplar un plan de estrategias de adquisición de software que defina si el software que se adquirirá será un software comercial, desarrollado internamente, por contrato o a través
de la mejora del software existente, o mediante una combinación de todos éstos. 1.4
Requisitos de servicios de terceros OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas debe contemplar la evaluación de los requerimientos y las especificaciones de una solicitud de propuesta al tratar con un tercero proveedor de servicios.
1.5
Estudio de factibilidad tecnológica OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe contemplar un examen de la factibilidad tecnológica de cada alternativa para satisfacer los requerimientos de negocio establecidos para el desarrollo de un proyecto propuesto para un sistema de información nuevo o modificado.
1.6
Estudio de factibilidad económica OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas debe contemplar, en cada proyecto propuesto de desarrollo, implementación y modificación de sistemas de información, un análisis de los costos y los beneficios asociados con cada alternativa considerada para satisfacer los requerimientos de negocio establecidos.
1.7
Arquitectura de la información OBJETIVO DE CONTROL La gerencia debe garantizar que se tenga en cuenta el modelo de datos de la organización al identificar y analizar la factibilidad de las soluciones.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
73
COBIT 1.8
1.9
1.10
1.11 74
Informe de análisis de riesgo OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas debe contemplar, en cada proyecto propuesto de desarrollo, implementación y modificación de sistemas de información, el análisis y la documentación de las amenazas a la seguridad, sus posibles puntos vulnerables e impacto y las salvaguardias factibles de seguridad y control interno para reducir o eliminar el riesgo identificado. Esto debe realizarse de manera consecuente con el marco general de evaluación de riesgo. Controles de seguridad económicos OBJETIVO DE CONTROL La gerencia debe garantizar que los costos y los beneficios de la seguridad se analicen exhaustivamente, tanto en términos monetarios como no monetarios, para garantizar que los costos de los controles no sean mayores que los beneficios. La decisión requiere la aprobación formal de la gerencia. Diseño de pistas de auditoría OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe requerir que existan mecanismos adecuados disponibles para las pistas de auditoría o que puedan desarrollarse para la solución identificada y elegida. Los mecanismos deben contar con la capacidad de proteger los datos críticos (por ejemplo, las identificaciones de usuarios) contra el acceso a éstos y su uso indebido. Ergonomía OBJETIVO DE CONTROL
La gerencia debe garantizar que los proyectos de desarrollo, implementación y cambio de sistemas de información emprendidos por la función servicios de información tengan en cuenta las cuestiones de ergonomía asociadas con la introducción de soluciones automatizadas. 1.12
Selección del software de sistemas OBJETIVO DE CONTROL La gerencia debe garantizar que la función servicios de información observe el procedimiento estándar para identificar todos los programas posibles del software de sistemas que puedan satisfacer los requisitos operativos.
1.13
Control de compras OBJETIVO DE CONTROL La gerencia debe desarrollar e implementar un enfoque centralizado de compras que describa un conjunto común de procedimientos y normas que deben seguirse para la compra de hardware, software y servicios relacionados con la tecnología de información. Los productos deben ser analizados y probados antes de proceder al uso y pago de los mismos.
1.14
Adquisición de productos de software OBJETIVO DE CONTROL La adquisición de productos de software debe seguir las políticas de compra de la organización.
1.15
Mantenimiento del software de terceros OBJETIVO DE CONTROL La gerencia debe requerir que, para el software con licencia adquirido de terceros, los proveedores cuenten con OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
OBJETIVOS DE CONTROL DE ALTO NIVEL ADQUISICIÓN E IMPLEMENTACIÓN hardware y los componentes, de integración, de procedimientos, de carga y stress, de ajuste y rendimiento, de regresión, de aceptación del usuario y, por último, prueba piloto de todo el sistema a fin de evitar cualquier falla imprevista.
los procedimientos adecuados para validar, proteger y mantener los derechos de integridad del producto. En cualquier contrato de mantenimiento relacionado con el producto entregado debe contemplarse el soporte del producto. 1.16
Programación contratada de aplicaciones OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe establecer que la compra de servicios de programación contratada esté justificada por una solicitud de servicios por escrito de un miembro designado de la función servicios de información. El contrato debe estipular que el software, la documentación y otros ítems adquiridos estén sujetos a pruebas y revisión antes de la aceptación. Asimismo, debe establecer que los productos finales de los servicios prestados de programación contratada sean probados y revisados, conforme a las normas pertinentes, por el grupo de garantía de calidad de la función servicios de información y otras partes interesadas (tales como usuarios, gerentes de proyecto, etc.) antes de proceder al pago del trabajo y la aprobación del producto final. Las pruebas que deben incluirse en las especificaciones del contrato consistirán en: prueba del sistema, del
1.17
Aceptación de las instalaciones OBJETIVO DE CONTROL La gerencia debe garantizar que en el contrato con el proveedor se acuerde con éste un plan de aceptación de las instalaciones que a ser provistas y que dicho plan defina los procedimientos y criterios de aceptación. Asimismo, las pruebas de aceptación deben realizarse para garantizar que las instalaciones y el ambiente cumplan los requerimientos especificados en el contrato.
1.18
Aceptación de la tecnología OBJETIVO DE CONTROL La gerencia debe garantizar que en el contrato con el proveedor se acuerde con éste un plan de aceptación de la tecnología específica a ser provista y que dicho plan defina los procedimientos y criterios de aceptación. Asimismo, las pruebas de aceptación previstas en el plan deben incluir la inspección, las pruebas de funcionalidad y de carga de trabajo.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
75
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ADQUISICIÓN E IMPLEMENTACIÓN
AI 2
El control sobre el proceso de TI de
adquisición y mantenimiento del software de aplicación que satisface el requerimiento de negocio
de suministrar funciones automatizadas que den soporte efectivo al proceso de negocio puede realizarse por medio de
la definición de declaraciones específicas de requerimientos funcionales y operativos, y una implementación por etapas con resultados claros y tiene en cuenta
• • • • • • •
76
los requerimientos del usuario los requerimientos de archivo, entrada, procesamiento y salida la interface usuario-máquina la adaptación específica del paquete las pruebas funcionales los controles de aplicación y los requerimientos de seguridad la documentación
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 2.
ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE DE APLICACIÓN
2.1
Métodos de diseño OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe establecer la aplicación de los procedimientos y las técnicas adecuados, que implican una coordinación estrecha con los usuarios de sistemas, para la creación de especificaciones de diseño para cada proyecto de desarrollo de un sistema de información nuevo y la verificación de dichas especificaciones en función de los requerimientos de usuarios.
2.2
2.3
Cambios importantes de los sistemas existentes OBJETIVO DE CONTROL La gerencia debe garantizar que, en el caso de producirse cambios importantes en los sistemas existentes, se observe un proceso de desarrollo similar al que se aplica al desarrollo de sistemas nuevos. Aprobación del diseño OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe requerir que las especificaciones de diseño de todos los proyectos de desarrollo y modificación de sistemas de información sean revisadas y aprobadas por la gerencia, los departamentos de usuarios afectados y la gerencia senior de la organización, cuando corresponda.
organización debe establecer la aplicación de un procedimiento adecuado para la definición y documentación del formato de archivos de cada proyecto de desarrollo o modificación de sistemas de información. Dicho procedimiento debe garantizar que se respeten las reglas del diccionario de datos. 2.5
Especificaciones de programas OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe requerir la preparación de especificaciones detalladas de programas por escrito para cada proyecto de desarrollo o modificación de sistemas de información. La metodología debe garantizar, asimismo, que las especificaciones de programas se ajusten a las del diseño del sistema.
2.6
Diseño de la recopilación de datos fuente OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe requerir la especificación de mecanismos adecuados de recopilación e ingreso de datos para cada proyecto de desarrollo o modificación de sistemas de información.
2.7
Definición y documentación de los requerimientos de entrada OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe requerir la existencia de mecanismos adecuados de definición y documentación de los requerimientos de entrada de cada proyecto de desarrollo o modificación
8888
2.4
Definición y documentación de los requerimientos de archivos OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
77
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ADQUISICIÓN E IMPLEMENTACIÓN requerimientos de salida de cada proyecto de desarrollo o modificación de sistemas de información.
de sistemas de información. 2.8
Definición de interfaces OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe establecer que todas las interfaces externas e internas sean debidamente especificadas, diseñadas y documentadas.
2.9
Interface usuario-máquina OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe contemplar el desarrollo de una interface entre el usuario y la máquina fácil de usar y con autodocumentación (por medio de funciones de ayuda en línea).
2.10
Definición y documentación de los requerimientos de procesamiento OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe requerir la existencia de mecanismos adecuados de definición y documentación de los requerimientos de procesamiento de cada proyecto de desarrollo o modificación de sistemas de información.
2.11
Definición y documentación de los requerimientos de salida OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe requerir la existencia de mecanismos adecuados de definición y documentación de los
78
2.12
Control OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe requerir que se especifiquen mecanismos adecuados de garantía de los requerimientos de control interno y seguridad de cada proyecto de desarrollo o modificación de sistemas de información. Asimismo, la metodología debe garantizar que los sistemas de información se diseñen con inclusión de controles de aplicaciones que garanticen la exactitud, totalidad, oportunidad, y autorización de entradas, procesamiento y salidas. Durante el inicio del desarrollo o modificación del sistema debe realizarse una evaluación de criticidad. Los aspectos fundamentales de seguridad y control interno de un sistema que se va a desarrollar o modificar deben evaluarse junto con el diseño conceptual del sistema a fin de integrar los conceptos de seguridad en el diseño con la mayor antelación posible.
2.13
Disponibilidad como factor clave del diseño OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe establecer que se considere la disponibilidad en el proceso de diseño para sistemas de OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) antes de ser aprobadas por los usuarios. Deben adoptarse medidas adecuadas a fin de evitar la divulgación de información crítica utilizada durante las pruebas.
información nuevos o modificados con la mayor antelación posible. Debe analizarse la disponibilidad y, si es necesario, debe aumentarse mediante mejoras de la capacidad de mantenimiento y la confiabilidad. 2.14
2.15
Especificaciones de integridad de tecnología de información en programas de aplicación OBJETIVO DE CONTROL La organización debe establecer procedimientos para garantizar, cuando corresponda, que los programas de aplicación contengan especificaciones que verifiquen en forma rutinaria las tareas realizadas por el software para ayudar a garantizar la integridad de los datos y contribuir a la restauración de la integridad a través del retroceso a versiones anteriores resguardadas u otros medios.
2.16
Materiales de soporte y referencia del usuario OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe establecer la preparación de materiales de soporte y referencia del usuario (preferentemente en formato electrónico) como parte de cada uno de los proyectos de desarrollo o modificación de sistemas de información.
2.17
Reevaluación del diseño de sistemas OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe garantizar que se realice una nueva evaluación del diseño del sistema cada vez que se produzcan discrepancias técnicas y/o lógicas significativas durante el desarrollo o mantenimiento del sistema.
Pruebas del software de aplicación OBJETIVO DE CONTROL Las pruebas de la unidad, de la aplicación, de integración, del sistema, de carga y stress, deben realizarse conforme al plan de pruebas y las normas establecidas del proyecto
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
79
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ADQUISICIÓN E IMPLEMENTACIÓN
AI 3
El control sobre el proceso de TI de
adquisición y mantenimiento de la infraestructura tecnológica que satisface el requerimiento de negocio
de suministrar las plataformas adecuadas para dar soporte a las aplicaciones de negocio puede realizarse por medio de
la evaluación del desempeño del software y hardware, la provisión de mantenimiento preventivo del hardware, y la instalación, seguridad y control del software de sistemas. y tiene en cuenta
• • •
80
la evaluación de la tecnología el mantenimiento preventivo del hardware la seguridad, instalación, mantenimiento y controles de cambio del software de sistema
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 3.
3.1
3.2
ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTURA TECNOLÓGICA
3.5
Evaluación del hardware y software nuevos OBJETIVO DE CONTROL Se deben implementar procedimientos para evaluar el hardware y software nuevos para detectar cualquier impacto en el desempeño del sistema en su conjunto.
Mantenimiento del software de sistemas OBJETIVO DE CONTROL Se deben implementar procedimientos para garantizar que el software de sistemas se mantenga de acuerdo con el marco de adquisición y mantenimiento para la infraestructura tecnológica.
3.6
Controles de cambio del software de sistemas OBJETIVO DE CONTROL Se deben implementar procedimientos para garantizar que los cambios en el software de sistemas se controlen de acuerdo con los procedimientos de administración de cambios de la organización.
Mantenimiento preventivo del hardware OBJETIVO DE CONTROL La gerencia de la función de servicios de información debe programar el mantenimiento rutinario y periódico del hardware para reducir la frecuencia y el impacto de las fallas en el desempeño.
3.3
Seguridad del software de sistemas OBJETIVO DE CONTROL La gerencia de la función de servicios de información debe garantizar que la configuración del software de sistemas a instalarse no ponga en peligro la seguridad de los datos y programas que se están almacenando en el sistema. Se le debe prestar atención a la configuración y el mantenimiento de los parámetros del software de sistemas.
3.4
Instalación del software de sistemas OBJETIVO DE CONTROL Se deben implementar procedimientos para garantizar que el software de sistemas se instale de acuerdo con el marco de adquisición y mantenimiento para la infraestructura tecnológica. Las pruebas se deben llevar a cabo antes de que se autorice la utilización en el ámbito de producción.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
.
81
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ADQUISICIÓN E IMPLEMENTACIÓN
AI 4
El control sobre el proceso de TI de
desarrollo y mantenimiento de procedimientos de TI que satisface el requerimiento de negocio
de garantizar el uso correcto de las aplicaciones y las soluciones tecnológicas implementadas puede realizarse por medio de
un enfoque estructurado del desarrollo de manuales de procedimiento del usuario y de operaciones, requerimientos de servicio y materiales de capacitación y tiene en cuenta
• • •
82
los procedimientos y controles del usuario los procedimientos y controles operativos los materiales de capacitación
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 4.
DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS DE TI.
4.1
Requerimientos operativos y niveles de servicio futuros OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe garantizar la definición oportuna de los requerimientos operativos y los niveles de servicio futuros.
4.2
Manuales de procedimiento del usuario OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe disponer que se preparen y mantengan actualizados los manuales de procedimiento del usuario como parte de todo proyecto de desarrollo, implementación o modificación del sistema de información.
4.3
Manual de operaciones OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe disponer que se prepare y mantenga actualizado un manual de operaciones adecuado como parte de todo el proyecto de desarrollo, implementación o modificación del sistema de información.
4.4.
Materiales de capacitación OBJETIVO DE CONTROL La metodología del ciclo de vida del desarrollo de sistemas de la organización debe garantizar que se desarrollen materiales de capacitación adecuados como parte de todo proyecto de desarrollo, implementación o modificación del sistema de
información. Estos materiales deben estar enfocados hacia la utilización del sistema en la práctica diaria.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
83
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ADQUISICIÓN E IMPLEMENTACIÓN
AI 5
El control sobre el proceso de TI de
instalación y acreditación de sistemas que satisface el requerimiento de negocio
de verificar y confirmar que la solución es apta para el uso previsto puede realizarse por medio de
un plan bien formalizado de instalación, migración, conversión y aceptación y tiene en cuenta
• • • • •
84
la capacitación la carga/conversión de datos las pruebas específicas la acreditación las revisiones posteriores a la implementación
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 5.
INSTALACIÓN Y ACREDITACIÓN DE SISTEMAS
5.1
Capacitación OBJETIVO DE CONTROL El personal de los departamentos usuarios afectados y del grupo de operaciones de la función servicios de información debe capacitarse de acuerdo con el plan de capacitación definido y los materiales asociados, como parte de todo proyecto de desarrollo, implementación o modificación de sistemas de información.
5.2
Dimensionamiento del desempeño del software de aplicación OBJETIVO DE CONTROL El dimensionamiento del desempeño del software de aplicación (optimización) se debe establecer como parte integrante de la metodología del ciclo de vida de desarrollo de sistemas de la organización para prever los recursos requeridos para operar software nuevo y con cambios importantes.
5.3
Conversión OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe disponer que, como parte de todo proyecto de desarrollo, implementación o modificación de sistemas de información, los elementos necesarios del antiguo sistema se conviertan al nuevo de acuerdo con un plan preestablecido.
5.4
Pruebas de cambios OBJETIVO DE CONTROL La gerencia debe garantizar que los cambios sean probados de acuerdo con la evaluación de impacto y recursos en un ámbito de prueba distinto, por un grupo de pruebas independiente (de los
creadores) antes de que comiencen a utilizarse en el ámbito operativo normal. También se deberían desarrollar planes de remoción. Las pruebas de aceptación se deben llevar a cabo en un ámbito representativo del ámbito operativo futuro (por ejemplo, con seguridad, controles internos, cargas de trabajo similares, etc.). 5.5
Criterio y ejecución de pruebas paralelas/piloto OBJETIVO DE CONTROL Se deben implementar los procedimientos para garantizar que las pruebas paralelas o piloto se lleven a cabo de acuerdo con un plan preestablecido, y que el criterio para concluir el proceso de prueba se especifique con anterioridad.
5.6
Prueba de aceptación final OBJETIVO DE CONTROL Los procedimientos deben prever, como parte de la prueba de garantía de calidad o aceptación final de sistemas de información nuevos o modificados, una evaluación y aprobación formal de los resultados de la prueba por parte de la gerencia del/los departamento/s de usuario afectado/s y de la función servicios de información. Las pruebas deben cubrir todos los componentes del sistema de información (por ejemplo, el software de aplicación, las instalaciones, la tecnología, los procedimientos del usuario).
5.7
Pruebas y acreditación de seguridad OBJETIVO DE CONTROL La gerencia debe definir e implementar los procedimientos para garantizar que las gerencias de operaciones y del usuario acepten formalmente los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
85
COBIT riesgo residual remanente. 5.8
Prueba de funcionamiento OBJETIVO DE CONTROL La gerencia debe garantizar que antes de poner el sistema en funcionamiento, el usuario o custodio designado (la parte designada para manejar el sistema en nombre del usuario) ratifique su funcionamiento como producto completo, bajo condiciones similares al ámbito de aplicación y del modo en el que el sistema será operado en un ámbito de producción.
5.9
Transición a producción OBJETIVO DE CONTROL La gerencia debe definir e implementar los procedimientos formales para controlar el traspaso del sistema desde el desarrollo a las pruebas y posteriormente a las operaciones. Los ámbitos respectivos se deben separar y proteger de manera adecuada.
5.10
Evaluación del cumplimiento de los requerimientos del usuario OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe solicitar que se lleve a cabo una revisión posterior a la implementación de los requerimientos del sistema de información operativo (por ejemplo, capacidad, desempeño global, etc.) para evaluar si el sistema cumple con las necesidades del usuario.
5.11
Revisión de la gerencia posterior a la implementación OBJETIVO DE CONTROL La metodología del ciclo de vida de desarrollo de sistemas de la organización debe solicitar que una revisión posterior a la implementación del sistema de información operativo
86
evalúe e informe acerca de si el sistema generó los beneficios previstos en la forma más efectiva en cuanto a costos.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Esta página fue dejada en blanco intencionalmente.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
87
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ADQUISICIÓN E IMPLEMENTACIÓN
AI 6
El control sobre el proceso de TI de
administración de cambios que satisface el requerimiento de negocio
de minimizar las probabilidades de interrupción, alteraciones no autorizadas y errores puede realizarse por medio de
un sistema de administración que permita el análisis, la implementación y el seguimiento de todos los cambios solicitados y realizados en la infraestructura de TI existente y tiene en cuenta
• • • • • •
88
la identificación de los cambios los procedimientos de categorización, priorización y de emergencia la evaluación del impacto la autorización de cambios la administración de las distintas versiones la distribución del software
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 6.
ADMINISTRACIÓN DE CAMBIOS
6.1
Inicio y control de solicitudes de cambio OBJETIVO DE CONTROL La gerencia debe garantizar que todos los pedidos de cambios, mantenimiento de sistema y mantenimiento del proveedor estén estandarizados y sujetos a los procedimientos formales de administración de cambios. Los cambios deben estar categorizados y priorizados, y se deben implementar procedimientos específicos para tratar cuestiones urgentes. Se debe mantener informadas a las personas que solicitan los cambios acerca del estado de sus pedidos.
6.2
Evaluación del impacto OBJETIVO DE CONTROL Se debe implementar un procedimiento para garantizar que todos los pedidos de cambios sean evaluados de un modo estructural en cuanto a todos los impactos posibles en los sistemas operativos y su funcionalidad.
6.3
Control de cambios OBJETIVO DE CONTROL La gerencia debe garantizar que la administración de cambios, y el control y distribución de software estén debidamente integrados con un sistema de administración de configuración abarcativo.
6.4
Documentación y procedimientos OBJETIVO DE CONTROL El proceso de cambio debe garantizar que, en cualquier momento en que se implementen los cambios en el sistema, la documentación y los procedimientos asociados se actualicen de conformidad.
6.5
Mantenimiento autorizado OBJETIVO DE CONTROL La gerencia debe garantizar que el personal de mantenimiento tenga tareas específicas y que su trabajo esté adecuadamente monitoreado. Además, sus derechos de acceso al sistema deben ser controlados para evitar riesgos de accesos no autorizados a los sistemas automatizados.
6.6
Política de versiones de software OBJETIVO DE CONTROL La gerencia debe garantizar que la versión del software esté regida por procedimientos formales que garanticen la aprobación, el embalaje, la prueba de regresión, la entrega, etc.
6.7
Distribución del software OBJETIVO DE CONTROL Se deben establecer medidas de control interno específicas para garantizar la distribución del elemento de software correcto en el lugar debido, con integridad y de manera oportuna según las pistas de auditoría adecuadas.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
89
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES1
El control sobre el proceso de TI de
definición de los niveles de servicio que satisface el requerimiento de negocio
de establecer un acuerdo común del nivel de servicio requerido puede realizarse por medio de
el establecimiento de acuerdos de nivel de servicio que formalicen los criterios de ejecución en virtud de los cuales se medirá la cantidad y calidad del servicio y tiene en cuenta
• • • • • •
90
los acuerdos formales la definición de responsabilidades los tiempos de respuesta y los volúmenes las imputaciones de gastos y consumos las garantías de integridad los convenios de no divulgación
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 1.
DEFINICIÓN DE LOS NIVELES DE SERVICIO
1.1
Marco de acuerdos de nivel de servicio OBJETIVO DE CONTROL La gerencia senior debe definir un marco dentro del cual promueva la definición de acuerdos formales de nivel de servicio y defina los contenidos mínimos: disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, niveles de soporte provisto a los usuarios, planificación de continuidad, seguridad, nivel mínimo aceptable de funcionalidad satisfactoria del sistema, restricciones (límites sobre la cantidad de trabajo), cargos del servicio, procedimientos de cambio y distribución centralizada de la impresión. Los usuarios y la función de servicios de información deben tener un acuerdo escrito que describa el nivel de servicio en términos cualitativos y cuantitativos. El acuerdo define las responsabilidades de ambas partes. La función de servicios de información debe ofrecer la calidad y cantidad acordada de servicio y los usuarios deben restringir las demandas que ingresan en el servicio dentro de los límites acordados.
1.2
Aspectos de los acuerdos de nivel de servicio OBJETIVO DE CONTROL Se debe llegar a un acuerdo explícito sobre los aspectos que debe tener el acuerdo de nivel de servicio. El acuerdo de nivel de servicio debe cubrir por lo menos los siguientes aspectos: disponibilidad, confiabilidad, cumplimiento, capacidad de crecimiento, niveles de soporte provisto a los usuarios, planificación de continuidad, seguridad, nivel mínimo aceptable de funcionalidad satisfactoria del sistema, restricciones (límites sobre
la cantidad de trabajo), cargos del servicio, instalaciones de impresión centralizadas (disponibilidad), procedimientos de cambio y distribución centralizada de la impresión. 1.3
Procedimientos de ejecución OBJETIVO DE CONTROL Se deben implementar los procedimientos para garantizar que se establezcan, coordinen, mantengan y comuniquen a todos los departamentos afectados el modo y las responsabilidades de las relaciones que rigen el ejecución (por ejemplo, los acuerdos de no divulgación) entre las partes involucradas.
1.4
Monitoreo e informes OBJETIVO DE CONTROL La gerencia de la función servicios de información debe designar un administrador de nivel de servicio quien se0rá responsable de monitorear e informar acerca del logro del criterio de ejecución del servicio especificado y todos los problemas que se encuentren durante el procesamiento. Las estadísticas de monitoreo se deben analizar oportunamente. Se deben tomar las medidas correctivas apropiadas y se deben investigar las fallas.
1.5
Revisión de los contratos y acuerdos de nivel de servicio OBJETIVO DE CONTROL La gerencia debe implementar un proceso de revisión periódica de los acuerdos de nivel de servicio y los contratos con terceros proveedores de servicios.
1.6
Items imputables OBJETIVO DE CONTROL Las disposiciones por items imputables deben estar incluidas en los acuerdos de nivel de servicio para facilitar las
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
91
COBIT compensaciones entre los niveles de servicio y los costos. 1.7
92
Programa de mejora del servicio OBJETIVO DE CONTROL La gerencia debe implementar un proceso para garantizar que los usuarios y los gerentes de nivel de servicio acuerden regularmente un programa de mejora del servicio para implementar mejoras de costos justificados en el nivel de servicio.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Esta página fue dejada en blanco intencionalmente
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
93
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 2
El control sobre el proceso de TI de
administración de los servicios prestados por terceros que satisface el requerimiento de negocio
de garantizar que los roles y las responsabilidades de terceros estén claramente definidos, se respeten y satisfagan en forma permanente los requerimientos puede realizarse por medio de
medidas de control orientadas a la revisión y al monitoreo de los contratos y procedimientos existentes para garantizar su efectividad y el cumplimiento de la política de la organización y tiene en cuenta
• • • •
94
los acuerdos de servicios prestados por terceros los convenios de no divulgación los requerimientos legales y regulatorios el monitoreo de la prestación del servicio
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 2.
ADMINISTRACIÓN DE SERVICIOS PRESTADOS POR TERCEROS
2.1
Interrelación con proveedores OBJETIVO DE CONTROL La gerencia debe garantizar que los servicios prestados por terceros se identifiquen de modo adecuado y que la interrelación técnica y de organización con los proveedores esté documentada.
2.2
Responsabilidad por las relaciones OBJETIVO DE CONTROL La gerencia de relaciones con el cliente debe designar un responsable de relaciones quien estará a cargo de garantizar la calidad de las relaciones con terceros.
2.3
Contratos con terceros OBJETIVO DE CONTROL La gerencia debe definir los procedimientos específicos para garantizar que para cada relación con un tercero proveedor de servicios se defina y se acuerde un contrato formal.
2.4
Conocimiento y experiencia de terceros OBJETIVO DE CONTROL La gerencia debe garantizar que, antes de la selección, los terceros potenciales se califiquen en forma adecuada mediante una evaluación de su capacidad para prestar el servicio requerido (debida diligencia).
2.5
requerimientos de monitoreo y contingencias y otras estipulaciones que sean apropiadas. 2.6
Continuidad de los servicios OBJETIVO DE CONTROL Con respecto a la garantía de la continuidad del servicio, la gerencia debe considerar el riesgo de negocio relacionado con terceros en términos de incertidumbre legal y el concepto de continuidad del negocio, y negociar contratos de depósitos en garantía cuando sea necesario.
2.7
Relaciones de seguridad OBJETIVO DE CONTROL Con respecto a la relación con terceros proveedores de servicios, la gerencia debe garantizar que los acuerdos de seguridad (por ejemplo, los acuerdos de no divulgación) estén identificados y explícitamente formulados y acordados, y conforme a normas universales de negocio de acuerdo con los requisitos legales y regulatorios, incluyendo responsabilidad civil.
2.8
Monitoreo OBJETIVO DE CONTROL La gerencia debe establecer un proceso continuo del monitoreo de la prestación del servicio de terceros para garantizar que se cumplan los contratos pertinentes.
Contratos de tercerización OBJETIVO DE CONTROL Se deben definir los procedimientos de organización específicos para garantizar que el contrato entre el proveedor de administración de instalaciones y la organización se base en los niveles de procesamiento requeridos, seguridad,
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
95
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 3
El control sobre el proceso de TI de
administración de la capacidad y del desempeño que satisface el requerimiento de negocio
de garantizar que se encuentra disponible la capacidad adecuada y que se la aprovecha al máximo y de manera óptima para satisfacer las necesidades de desempeño requerido puede realizarse por medio de
controles de administración de la capacidad y del desempeño que recopilen datos e informen sobre la administración de la carga de trabajo, la dimensión de las aplicaciones, y la administración de recursos y demandas y tiene en cuenta
• • • • •
96
los requerimientos de disponibilidad y desempeño el monitoreo y los informes las herramientas de creación de modelos la administración de capacidad la disponibilidad de recursos
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 3.
requerimientos de disponibilidad. Se deben realizar investigaciones técnicas profundas sobre el hardware de sistema y se deben incluir pronósticos con respecto a las tecnologías futuras.
ADMINISTRACIÓN DE LA CAPACIDAD Y DEL DESEMPEÑO
3.1
3.2
3.3
3.4
Requerimientos de disponibilidad y desempeño OBJETIVO DE CONTROL El proceso de administración debe garantizar que las necesidades de negocio sean identificadas en cuanto a la disponibilidad y el desempeño de los servicios de información y que se traduzcan en términos de disponibilidad y requerimientos. Plan de disponibilidad OBJETIVO DE CONTROL La gerencia debe garantizar el establecimiento de un plan de disponibilidad para lograr, monitorear y controlar la disponibilidad de los servicios de información. Monitoreo e informes OBJETIVO DE CONTROL La gerencia debe implementar un proceso para garantizar que el desempeño de los recursos de tecnología de información sea monitoreado en forma continua y que las excepciones se informen de manera oportuna y exhaustiva. Herramientas para la creación de modelos OBJETIVO DE CONTROL La gerencia debe garantizar que se utilicen las herramientas adecuadas para producir un modelo del sistema actual que haya sido calibrado y ajustado con respecto a la carga de trabajo real y que sea preciso dentro de los niveles de carga recomendados. Las herramientas para la creación de modelos deben ser utilizadas para asistir en el pronóstico de capacidad, confiabilidad de la configuración, desempeño y
3.5
Administración proactiva del desempeño OBJETIVO DE CONTROL EL proceso de administración del desempeño debe incluir la capacidad de pronóstico para permitir que los problemas se corrijan antes de que afecten el desempeño del sistema. Se deben llevar a cabo análisis sobre las fallas e irregularidades del sistema relacionados con la frecuencia, grado de impacto y magnitud del daño.
3.6
Pronósticos de la carga de trabajo OBJETIVO DE CONTROL Se deben implementar controles para garantizar que las predicciones de la carga de trabajo se elaboren para identificar tendencias y para proporcionar la información necesaria para el plan de capacidad.
3.7
Administración de la capacidad de los recursos OBJETIVO DE CONTROL La gerencia de la función de servicios de información debe establecer un proceso de planificación para la revisión del desempeño del hardware y la habilidad de garantizar que siempre exista la capacidad que justifique los costos para procesar las cargas de trabajo acordadas y para proporcionar la calidad y cantidad de desempeño requerida estipulada en los acuerdos de nivel de servicio. El plan de capacidad debe cubrir múltiples posibilidades.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
97
COBIT 3.8
Disponibilidad de recursos OBJETIVO DE CONTROL La gerencia debe garantizar que los recursos estén disponibles mediante el empleo de mecanismos de tolerancia de fallas, las tareas de priorización y los mecanismos de asignación equitativa de recursos.
3.9
Planificación de recursos OBJETIVO DE CONTROL La gerencia debe garantizar la oportuna adquisición de la capacidad requerida, tomando en cuenta aspectos tales como la resiliencia, contingencia, cargas de trabajo y planes de almacenamiento.
98
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Esta página fue dejada en blanco intencionalmente.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
99
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 4
El control sobre el proceso de TI de
garantía de un servicio continuo que satisface el requerimiento de negocio
de proveer los servicios de TI según sea necesario y garantizar un mínimo impacto de negocio en caso de una interrupción importante puede realizarse por medio de
un plan de continuidad de TI probado y operativo que concuerde con el plan de continuidad general de negocio y sus requerimientos de negocio relacionados y tiene en cuenta
• • • •
•
100
la clasificación de criticidad el plan documentado los procedimientos alternativos el resguardo y la recuperación las pruebas y la capacitación sistemáticas y regulares
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 4.
GARANTÍA DE UN SERVICIO CONTINUO
4.1
Marco de continuidad de tecnología de información OBJETIVO DE CONTROL La gerencia de la función de servicios de información debe crear un marco de continuidad que defina los roles, responsabilidades, el enfoque / la metodología basada en el riesgo a ser adoptada, y las normas y estructuras para documentar el plan así como también los procedimientos de aprobación.
4.2
4.3
Estrategia y filosofía del plan de continuidad de tecnología de información OBJETIVO DE CONTROL La gerencia debe garantizar que el plan de continuidad de tecnología de información concuerde con el plan general de continuidad de negocio para garantizar su consistencia. Además, el plan de continuidad de tecnología de información debe tener en cuenta los planes de largo y mediano alcance de tecnología de información para garantizar su consistencia. Contenidos del plan de continuidad de la tecnología de información OBJETIVO DE CONTROL La gerencia de la función servicios de información debe garantizar que se desarrolle un plan por escrito que contenga lo siguiente: • Pautas sobre cómo utilizar el plan de continuidad; • Procedimientos de emergencia para garantizar la seguridad de todos los miembros del personal afectado; • Procedimientos de respuesta con el propósito de colocar a la empresa otra vez en el estado en el que se encontraba antes del
•
• • •
•
incidente o desastre; Procedimientos de recuperación destinados a llevar el negocio al estado en el que se encontraba antes del incidente o desastre ; Procedimientos para salvaguardar y reconstruir el sitio propio; Los procedimientos de coordinación con las autoridades públicas; Los procedimientos de comunicación con los depositarios, empleados, principales clientes, proveedores críticos, accionistas y la gerencia, etc., Información crítica sobre los equipos de continuidad, personal afectado, clientes, proveedores, autoridades públicas y medios.
4.4
Minimización de los requerimientos de continuidad de la tecnología de información OBJETIVO DE CONTROL La gerencia de la función servicios de información debe establecer los procedimientos y las pautas para la reducción de los requerimientos de continuidad con respecto al personal, las instalaciones, el hardware, software, equipamiento, formularios, suministros y accesorios.
4.5
Mantenimiento del plan de continuidad de tecnología de información OBJETIVO DE CONTROL La gerencia de la función servicios de información debe estipular los procedimientos de control de cambios para garantizar que el plan de continuidad esté actualizado y refleje los requerimientos de negocio reales. Esto requiere procedimientos de mantenimiento del plan de continuidad junto con los procedimientos de recursos
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
101
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE garantizar que los departamentos de usuario establezcan procedimientos de procesamiento alternativos que puedan ser utilizados hasta que la función servicios de información pueda reanudar completamente sus servicios luego de un desastre o contingencia.
humanos y administración. 4.6
4.7
4.8
4.9
102
Prueba del plan de continuidad de tecnología de información OBJETIVO DE CONTROL Para contar con un plan de continuidad efectivo, la gerencia necesita evaluar periódicamente su idoneidad; esto requiere una cuidadosa preparación, documentación, informar los resultados de las pruebas y, de acuerdo a los resultados, implementar un plan de acción. Capacitación en el plan de continuidad de tecnología de información OBJETIVO DE CONTROL La metodología de continuidad ante incidentes debe garantizar que todas las partes interesadas reciban una capacitación regular sobre los procedimientos a seguir en caso de incidentes o desastres. Distribución del plan de continuidad de tecnología de información OBJETIVO DE CONTROL Dada la naturaleza crítica de la información del plan de continuidad, éste último debe distribuirse sólo al personal autorizado y debe ser protegido contra la divulgación no autorizada. En consecuencia, las secciones del plan deben distribuirse en base a la necesidad de saber. Procedimientos alternativos del procesamiento de resguardo del departamento de usuarios OBJETIVO DE CONTROL La metodología de continuidad debe
4.10
Recursos críticos de tecnología de información OBJETIVO DE CONTROL El plan de continuidad debe identificar los programas de aplicación críticos, los servicios prestados por terceros, los sistemas operativos, el personal y los suministros, los archivos de datos y los plazos necesarios para la recuperación después de un desastre.
4.11
Sitio y hardware alternativos OBJETIVO DE CONTROL La gerencia debe garantizar que la metodología de continuidad incorpore una identificación de las opciones de sitio alternativo y hardware así como también una selección alternativa final. Si es aplicable, se debe celebrar un contrato para este tipo de servicios.
4.12
Procedimientos de recuperación de archivos OBJETIVO DE CONTROL Ante la exitosa reanudación de la función de servicios de información luego de una contingencia, la gerencia de la función servicios de información debe establecer procedimientos para evaluar la idoneidad del plan y para actualizar el plan de conformidad.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Esta página fue dejada en blanco intencionalmente.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
103
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 5
El control sobre el proceso de TI de
garantía de la seguridad de los sistemas que satisface el requerimiento de negocio
de proteger la información contra su uso no autorizado, divulgación o modificación, daño o pérdida puede realizarse por medio de
controles de acceso lógico que garantizan que el acceso a los sistemas, datos y programas está limitado a los usuarios autorizados y tiene en cuenta
• • • • • • • • •
104
la autorización la autenticación el acceso los perfiles y la identificación de usuarios la administración de claves criptográficas el manejo, presentación de informes y seguimiento de incidentes la ruta de acceso confiable la prevención y detección de virus los “firewalls”
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 5.
GARANTÍA DE LA SEGURIDAD DE LOS SISTEMAS
5.1
Administración de las medidas de seguridad OBJETIVO DE CONTROL La seguridad de la Tecnología de Información se debe manejar de modo tal que las medidas de seguridad concuerden con los requerimientos de negocio. Esto incluye: • traducir la información de evaluación de riesgo en planes de seguridad de tecnología de información; • implementar el plan de seguridad de tecnología de información; • actualizar el plan de seguridad de tecnología de información para reflejar cambios en la configuración de tecnología de información; • evaluar el impacto de los pedidos de cambio de la seguridad de tecnología de información; • monitorear la implementación del plan de seguridad de tecnología de información; y • alinear los procedimientos de seguridad de tecnología de información con otras políticas y procedimientos.
5.2
Identificación, autenticación y acceso OBJETIVO DE CONTROL El acceso lógico y la utilización de los recursos informáticos de la función servicios de información deben restringirse por medio de la implementación de un mecanismo de autenticación adecuado de usuarios y recursos identificados asociados con las normas de acceso. Dichos mecanismos deben evitar que el personal no autorizado, las conexiones de discado y los puertos de acceso de otros sistemas
(red) ingresen a los recursos de computadoras, y deben reducir la necesidad de que los usuarios autorizados utilicen inicios de sesiones múltiples. También se deben implementar procedimientos para que los mecanismos de acceso y autenticación sigan siendo efectivos (por ejemplo, cambios regulares de contraseñas). 5.3
Seguridad del acceso en línea a los datos OBJETIVO DE CONTROL En un ámbito de tecnología de información en línea, la administración de la función servicios de información debe implementar procedimientos que concuerden con la política de seguridad que proporciona el control de seguridad de acceso basado en la necesidad demostrada por el individuo de visualizar, agregar, cambiar o eliminar datos.
5.4
Administración de cuentas de usuarios OBJETIVO DE CONTROL La gerencia debe establecer procedimientos para garantizar una acción oportuna en relación al pedido, establecimiento, emisión, suspensión y cierre de cuentas de usuarios. Se debe incluir un procedimiento de aprobación formal que perfile al responsable de los datos o del sistema que otorga los privilegios de acceso.
5.5
Revisión gerencial de las cuentas de usuario OBJETIVO DE CONTROL La gerencia debe implementar un proceso de control para revisar y confirmar los derechos de acceso en forma periódica.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
105
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE 5.6
Control del usuario de cuentas de usuarios OBJETIVO DE CONTROL Los usuarios deben controlar de modo sistemático la actividad de su/s propia/s cuenta/s. Además se deben implementar mecanismos de información para permitirles revisar la actividad normal así como también estar alertas acerca de la actividad inusual de manera oportuna.
5.7
Vigilancia de la seguridad OBJETIVO DE CONTROL La administración de seguridad de la función servicios de información debe garantizar que la actividad de seguridad sea registrada y que cualquier indicación de una violación inminente a la seguridad sea notificada en forma inmediata al administrador y que se actúe automáticamente.
5.8
Clasificación de los datos OBJETIVO DE CONTROL La gerencia debe implementar procedimientos para garantizar que los datos se clasifiquen en términos de criticidad por medio de una decisión formal y explícita por parte del responsable de los datos de acuerdo con el plan de clasificación de datos. Aún los datos que “no necesitan protección” deben requerir que se tome una decisión formal.
5.9
106
Administración centralizada de identificaciones y derechos de acceso OBJETIVO DE CONTROL Los controles se implementan para garantizar que los derechos de identificación y acceso de los usuarios, así como también la identidad del
sistema y la propiedad de los datos se establezcan y administren de modo único y centralizado para obtener coherencia y eficacia en el control de acceso global. 5.10
Informes de violaciones y actividades de seguridad OBJETIVO DE CONTROL La administración de seguridad de la función servicios de información debe garantizar que las violaciones y las actividades de seguridad sean registradas, informadas, revisadas y adecuadamente comunicadas según procedimientos de escalamiento en forma periódica para identificar y resolver los incidentes que involucren actividades no autorizadas. El acceso lógico a la información relacionada con la responsabilidad por los recursos informáticos (seguridad y otros registros de actividades) debe otorgarse en base al principio de menor privilegio o necesidad de saber.
5.11
Manejo de incidentes OBJETIVO DE CONTROL La gerencia debe establecer la capacidad de manejo de incidentes de seguridad informática para abordar los incidentes de seguridad suministrando una plataforma centralizada con suficiente capacidad técnica y equipada con herramientas de comunicación seguras y rápidas. Se deben establecer las responsabilidades y los procedimientos de la administración de incidentes para garantizar una respuesta apropiada, efectiva y oportuna a los incidentes de seguridad. OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 5.12
Reacreditación OBJETIVO DE CONTROL La gerencia debe garantizar que la reacreditación de seguridad (por ejemplo, mediante “equipos agresivos”) se lleve a cabo en forma periódica para mantener actualizado el nivel de seguridad formalmente aprobado y la aceptación del riesgo residual.
5.13
Confianza en la contraparte OBJETIVO DE CONTROL La política de la organización debe garantizar que se implementen las prácticas de control para verificar la autenticidad de la contraparte que ofrece instrucciones o transacciones electrónicas. La misma se puede implementar mediante un intercambio confiable de contraseñas, identificaciones o claves criptográficas.
5.14
5.15
Autorización de transacciones OBJETIVO DE CONTROL La política de la organización debe garantizar que, cuando corresponda, se implementen controles para brindar autenticidad a las transacciones. Esto requiere la utilización de técnicas criptográficas para firmar y verificar las transacciones. Imposibilidad de rechazo OBJETIVO DE CONTROL La política de la organización debe garantizar que, cuando sea apropiado, las transacciones no puedan ser denegadas por ninguna de las partes, y que se implementen los controles para ofrecer la función de no rechazo de origen o de recepción, prueba de presentación y recepción de transacciones. Esto se puede implementar mediante firmas digitales, fechadores, y terceros confiables.
5.16
Ruta de acceso confiable OBJETIVO DE CONTROL La política de la organización debe garantizar que los datos críticos de las transacciones se intercambien sólo mediante una ruta de acceso confiable. La información crítica incluye la información de administración de seguridad, los datos de transacciones críticas, las contraseñas y las claves criptográficas. Para lograr esto, posiblemente se necesite establecer canales confiables utilizando la encriptación entre usuarios, entre usuarios y sistemas, y entre sistemas.
5.17
Protección de las funciones de seguridad OBJETIVO DE CONTROL Todo el hardware y software relacionado con la seguridad debe estar protegido en todo momento contra la violación para mantener su integridad y contra la divulgación de las claves secretas. Además, las organizaciones deben mantener un perfil bajo en cuanto a su diseño de seguridad, pero no debe basar sus seguridad en el hecho de que el diseño es secreto.
5.18
Administración de claves criptográficas OBJETIVO DE CONTROL La gerencia debe definir e implementar procedimientos y protocolos a ser utilizados para la generación, distribución, certificación, almacenamiento, ingreso, utilización y archivo de las claves criptográficas para garantizar la protección de las claves contra la modificación y divulgación no autorizada. Si se compromete una clave, la gerencia debe garantizar que esta información sea enviada a cualquier parte interesada mediante el uso de las Listas de Revocación de Certificados o
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
107
COBIT mecanismos similares. 5.19
Prevención, detección y corrección de software malicioso OBJETIVO DE CONTROL En cuanto al software malicioso, como por ejemplo los virus de computadoras o los virus troyanos, la gerencia debe establecer un marco de medidas de control de prevención, detección y corrección.
5.20
Arquitectura de firewalls y conexiones con redes públicas OBJETIVO DE CONTROL Si existe la conexión con Internet u otras redes públicas deben funcionar los firewalls adecuados para brindar protección contra las negaciones de servicios y cualquier acceso no autorizado a los recursos internos; deben controlar la administración de cualquier aplicación e infraestructura que fluya en ambas direcciones; y debe brindar protección contra los ataques de negaciones de servicios.
5.21
Protección del valor electrónico OBJETIVO DE CONTROL La gerencia debe proteger la integridad continua de todas las tarjetas o dispositivos físicos similares utilizados para la autenticación o el almacenamiento de información financiera u otra información crítica, considerando los medios, dispositivos, empleados y métodos de validación relacionados que se utilizan.
108
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
Esta página fue dejada en blanco intencionalmente
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
109
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 6
El control sobre el proceso de TI de
identificación e imputación de costos que satisface el requerimiento de negocio
de garantizar que se conozcan correctamente los costos imputables a los servicios de TI puede realizarse por medio de
un sistema de imputación de costos que garantice que se registren, calculen y asignen los costos de acuerdo con el nivel de detalle requerido. y tiene en cuenta
• • •
110
los recursos identificables y mensurables la política y procedimientos de cargos las tarifas
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 6.
IDENTIFICACIÓN E IMPUTACIÓN DE COSTOS
6.1
Items imputables OBJETIVO DE CONTROL La gerencia de la función servicios de información debe garantizar que los items imputables sean identificables, mensurables y pronosticables por los usuarios. Éstos deben tener la posibilidad de controlar la utilización de los servicios de información y los niveles de facturación asociados.
6.2
Procedimientos de determinación de costos OBJETIVO DE CONTROL La gerencia de la función servicios de información debe definir e implementar procedimientos de determinación de costos para ofrecer información administrativa sobre los costos de la prestación de los servicios de procesamiento de información mientras se garantiza la efectividad de los costos. Las variaciones entre los pronósticos y los costos reales deben analizarse e informarse en forma adecuada para facilitar el monitoreo de los costos. Además, la gerencia senior debe evaluar en forma periódica los resultados de los procedimientos de imputación de costos de tareas de la función servicios de información, a la luz de los otros sistemas de medición financieros de la organización.
6.3
Procedimientos de facturación e imputación de costos al usuario OBJETIVO DE CONTROL La gerencia de la función servicios de información debe definir y utilizar procedimientos de facturación e imputación de costos. Debe mantener los procedimientos de facturación e imputación de costos a los usuarios que
alienten la utilización adecuada de los recursos informáticos y garanticen el tratamiento justo de los departamentos del usuario y sus necesidades. La tasa cobrada debe reflejar los costos asociados a la prestación de los servicios.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
111
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 7
El control sobre el proceso de TI de
educación y capacitación de los usuarios que satisface el requerimiento de negocio
de garantizar que los usuarios utilicen de manera efectiva la tecnología y conozcan los riesgos y las responsabilidades correspondientes puede realizarse por medio de
un plan integral de capacitación y desarrollo y tiene en cuenta
• • •
112
el programa de capacitación las campañas de concientización las técnicas de concientización
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
7.
EDUCACIÓN Y CAPACITACIÓN DE LOS USUARIOS
7.1
Identificación de las necesidades de capacitación OBJETIVO DE CONTROL En concordancia con el plan de largo alcance, la gerencia debe establecer y mantener procedimientos para identificar y documentar las necesidades de capacitación de todo el personal que utiliza los servicios de información. Se debe establecer un plan de capacitación para cada grupo de empleados.
7.2
Organización de la capacitación OBJETIVO DE CONTROL En base a las necesidades identificadas, la gerencia debe definir grupos de objetivos, identificar y designar instructores, y organizar sesiones de capacitación oportunas. También se deben investigar
las alternativas de capacitación (ubicación interna o externa, instructores de la organización o instructores externos, etc.). 7.3
Capacitación en principios de seguridad y concientización OBJETIVO DE CONTROL Todo el personal se debe capacitar y educar en cuanto a los principios de seguridad del sistema. La gerencia senior debe proporcionar un programa de capacitación y educación que incluya: conducta ética de la función de servicios de información, prácticas de seguridad para proteger contra el daño que surja de las fallas que afecten la disponibilidad, confidencialidad, integridad y cumplimiento de las obligaciones de un modo seguro.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
113
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 8
El control sobre el proceso de TI de
asistencia y asesoramiento a los clientes de TI que satisface el requerimiento de negocio
de garantizar que se resuelva adecuadamente cualquier problema que tenga el usuario puede realizarse por medio de
una mesa de ayuda que brinde soporte y asesoramiento de primera línea y tiene en cuenta
• • •
114
la respuesta a los problemas y consultas de los clientes el monitoreo y la solución de consultas el análisis de tendencias y la presentación de informes
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 8.
ASISTENCIA Y ASESORAMIENTO DE LOS CLIENTES DE TECNOLOGÍA DE INFORMACIÓN
identificación de tendencias. Los informes deben ser analizados en forma adecuada y se debe actuar de conformidad.
. 8.1
Mesa de ayuda OBJETIVO DE CONTROL El soporte al usuario se debe establecer dentro de la función mesa de ayuda. Los individuos responsables de llevar a cabo esta función deben interactuar estrechamente con el personal de administración de problemas.
8.2
Registro de consultas de clientes OBJETIVO DE CONTROL Se deben implementar procedimientos para garantizar que todas las consultas de los clientes sean registradas de modo adecuado por la mesa de ayuda.
8.3
Escalamiento de consultas de clientes OBJETIVO DE CONTROL Los procedimientos de la mesa de ayuda deben garantizar que las consultas de los clientes que no pueden ser resueltas en forma inmediata sean ordenadas según procedimientos de escalamiento de manera adecuada dentro de la función servicios de información.
8.4
Monitoreo de autorizaciones OBJETIVO DE CONTROL La gerencia debe establecer procedimientos para monitorear en forma oportuna la solución de las consultas de los clientes. Las consultas que están pendientes desde hace mucho tiempo deben ser investigadas y resueltas.
8.5
Análisis e informes de tendencias OBJETIVO DE CONTROL Se deben implementar los procedimientos que garanticen la información adecuada con respecto a las consultas de los clientes y sus soluciones, tiempo de respuesta e
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
115
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 9
El control sobre el proceso de TI de
administración de la configuración que satisface el requerimiento de negocio
de rendir cuenta de todos los componentes de TI, impedir las modificaciones no autorizadas, verificar la existencia física y brindar una base para la correcta administración de los cambios puede realizarse por medio de
controles que identifiquen y registren todos los bienes de TI y su ubicación física, y un programa de verificación regular que confirme su existencia y tiene en cuenta
• • • •
116
el registro de bienes la administración de cambio de configuración la verificación de software no autorizado los controles de almacenamiento de software
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 9.
ADMINISTRACIÓN DE LA CONFIGURACIÓN
9.1
Registro de la configuración OBJETIVO DE CONTROL Se deben implementar los procedimientos para garantizar que sólo los elementos de configuración autorizados e identificables sean registrados en un inventario en el momento de la adquisición. Estos procedimientos también deben estipular la disposición autorizada de los mismos y la venta de los elementos de la configuración. Además, se deben implementar los procedimientos para el seguimiento de los cambios a la configuración (por ejemplo, un nuevo elemento, cambio de categoría de desarrollo a prototipo). El ingreso al sistema y el control deben ser una parte integrada del sistema de registro de configuración, incluyendo las revisiones de los registros modificados.
9.2
Configuración base OBJETIVO DE CONTROL La gerencia de la función servicios de información debe garantizar que se mantenga una línea de referencia de elementos de configuración como punto de control al cual retornar una vez efectuados los cambios.
9.3
Registro del estado de los consumos OBJETIVO DE CONTROL La gerencia de la función de servicios de información debe garantizar que los registros de configuración reflejen el estado real de todos los elementos de configuración incluyendo la historia de los cambios.
9.4
Control de configuración OBJETIVO DE CONTROL Los procedimientos deben garantizar que la existencia y consistencia del registro de la configuración de la función de
servicios de información se verifique en forma periódica. 9.5
Software no autorizado OBJETIVO DE CONTROL La gerencia de la función de servicios de información debe verificar en forma periódica que las computadoras del personal de la organización no tengan software no autorizado.
9.6
Almacenamiento del software OBJETIVO DE CONTROL Se debe definir un área de almacenamiento de archivos (biblioteca) para todos los elementos de software válidos en las fases correspondientes del ciclo de vida de desarrollo de sistemas. Estas áreas deben estar separadas entre sí y de las áreas de almacenamiento de archivos de desarrollo, prueba y producción.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
117
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 10
El control sobre el proceso de TI de
administración de problemas e incidentes que satisface el requerimiento de negocio
de garantizar que se resuelvan los problemas e incidentes y se investigue su causa a fin de evitar su recurrencia puede realizarse por medio de
un sistema de administración de problemas que registre y dé respuesta a todos los incidentes y tiene en cuenta
• • • •
118
pistas de auditoría suficientes de problemas y soluciones la resolución oportuna de los problemas registrados los procedimientos de escalamiento de problemas los informes de incidentes
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 10.
ADMINISTRACIÓN DE PROBLEMAS E INCIDENTES
10.1
Sistema de administración de problemas OBJETIVO DE CONTROL La gerencia de la función servicios de información debe definir e implementar un sistema de administración de problemas para garantizar que todos los eventos operativos que no son parte de la operación estándar (incidentes, problemas y errores) se registren, analicen y resuelvan en forma oportuna. Se deben establecer informes sobre incidentes en caso de que surjan problemas importantes.
10.2
Procedimiento de escalamiento de problemas OBJETIVO DE CONTROL La gerencia debe definir e implementar los procedimientos de escalamiento de problemas para garantizar que los problemas identificados se resuelvan del modo más eficiente en forma oportuna. Estos procedimientos deben garantizar que las prioridades se establezcan de manera apropiada. Los procedimientos deben además documentar el procedimiento de escalamiento de problemas para la activación del plan de continuidad de la tecnología de información.
10.3
Seguimiento de problemas y pista de auditoría OBJETIVO DE CONTROL El sistema de administración de problemas debe disponer de herramientas adecuadas de pista de auditoría que permitan rastrear desde el incidente hasta la causa fundamental (por ejemplo, la versión del software o la implementación urgente de cambios) y viceversa. Debe interactuar estrechamente con la
administración de cambios, la administración de disponibilidad y la
administración de configuración.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
119
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 11
El control sobre el proceso de TI de
administración de datos que satisface el requerimiento de negocio
de garantizar que los datos sean completos, exactos y válidos durante su entrada, actualización y almacenamiento puede realizarse por medio de
una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI y tiene en cuenta
• • • • • • • •
120
el diseño de formularios los controles de documentos fuente los controles de entrada los controles de procesamiento los controles de salida la identificación de los medios, su movimiento y la administración de bibliotecas la administración del almacenamiento y resguardo de los medios la autenticación e integridad
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
11.
ADMINISTRACIÓN DE DATOS
11.1
Procedimientos de preparación de datos OBJETIVO DE CONTROL La gerencia debe establecer los procedimientos de preparación de datos que han de seguir los departamentos usuarios. En este contexto, el diseño del formulario de entrada debe ayudar a garantizar que se minimicen los errores y omisiones. Los procedimientos de manejo de errores durante la generación de datos deben garantizar en forma razonable que se detecten, informen y corrijan los errores e irregularidades.
11.2
11.3
11.4
Procedimientos de autorización de documentos fuente OBJETIVO DE CONTROL La gerencia debe garantizar que los documentos fuente sean preparados de manera adecuada por el personal que actúa dentro de su facultades, y que se implemente una adecuada separación de tareas con respecto a la preparación y aprobación de los documentos fuente. Recopilación de datos de documentos fuente OBJETIVO DE CONTROL Los procedimientos de la organización deben garantizar que todos los documentos fuente autorizados sean completos y exactos, estén debidamente justificados y sean transmitidos de manera oportuna para su ingreso. Manejo de errores de documentos fuente OBJETIVO DE CONTROL Los procedimientos de manejo de errores durante la generación de datos deben garantizar en forma razonable que se detecten, informen y corrijan los errores e irregularidades.
11.5
Conservación de documentos fuente OBJETIVO DE CONTROL Se deben implementar procedimientos para garantizar que los documentos fuente originales sean conservados o reproducibles por la organización durante un período adecuado para facilitar la recuperación o reconstrucción de los datos así como también para satisfacer los requisitos legales.
11.6
Procedimientos de autorización de entrada de datos OBJETIVO DE CONTROL La organización debe establecer los procedimientos apropiados para garantizar que la entrada de datos sea realizada sólo por personal autorizado.
11.7
Controles de exactitud, totalidad y autorización OBJETIVO DE CONTROL Los datos de transacciones ingresados para el procesamiento (generado por personas, generado por el sistema, o entradas interconectadas) deben estar sujetos a una variedad de controles para verificar la exactitud, totalidad y validez. Además, se deben establecer procedimientos para garantizar que los datos de entrada sean validados y editados lo más cerca posible del punto de origen.
11.8
Manejo de errores de entrada de datos OBJETIVO DE CONTROL La organización debe establecer procedimientos para la corrección y nueva presentación de datos que se ingresaron en forma equivocada.
11.9
Integridad del procesamiento de datos OBJETIVO DE CONTROL La organización debe establecer procedimientos para el procesamiento de datos que garantice que la separación de las tareas se mantenga y que el trabajo
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
121
COBIT realizado se verifique en forma rutinaria. Estos procedimientos deben garantizar que se implementen controles de actualización adecuados como los totales de control ejecución a ejecución y los controles de actualización del archivo maestro. 11.10 Validación y edición del procesamiento de datos OBJETIVO DE CONTROL La organización debe establecer procedimientos para garantizar que la validación, autenticación y edición del procesamiento de datos se lleven a cabo lo más cerca posible del punto de origen. Cuando se utilicen sistemas de Inteligencia Artificial, estos sistemas se deben implementar en un marco de control interactivo con operadores humanos para garantizar que se aprueben las decisiones vitales. 11.11 Manejo de errores del procesamiento de datos OBJETIVO DE CONTROL La organización debe establecer procedimientos de manejo de errores en el procesamiento de datos que permitan que se identifiquen las transacciones erróneas sin ser procesadas y sin interrupciones indebidas del procesamiento de otras transacciones válidas. 11.12 Manejo y conservación de salidas OBJETIVO DE CONTROL La organización debe establecer procedimientos para el manejo y la retención de información de salida de sus programas de aplicación de tecnología de información. En caso de que los instrumentos negociables (por ejemplo tarjetas de valor) sean los receptores de la información de salida, se deben tomar recaudos especiales para evitar el uso indebido. 122
11.13 Distribución de salidas OBJETIVO DE CONTROL La organización debe establecer y comunicar los procedimientos por escrito para la distribución de las salidas de tecnología de información. 11.14 Balance y conciliación de salidas OBJETIVO DE CONTROL La organización debe establecer procedimientos para garantizar que las salidas de datos se balanceen permanentemente con los totales de control pertinentes. Se deben proporcionar pistas de auditoría para facilitar el rastreo del procesamiento de transacciones y la conciliación de los datos interrumpidos. 11.15 Revisión de salidas y manejo de errores OBJETIVO DE CONTROL La gerencia de la organización debe establecer procedimientos para garantizar que la exactitud de los informes de salida sea revisada por el proveedor y los usuarios pertinentes. Los procedimientos también deben implementarse para controlar errores contendidos en la salida de datos. 11.16 Seguridad de los informes de salida OBJETIVO DE CONTROL La organización debe establecer procedimientos para garantizar que se mantenga la seguridad de los informes de salida para aquellos que esperan su distribución, así como también aquellos que ya fueron distribuidos a los usuarios. 11.17 Protección de información crítica durante la transmisión y el transporte OBJETIVO DE CONTROL La gerencia debe garantizar que se brinde
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE a protección adecuada de la información crítica durante la transmisión y el transporte contra el acceso no autorizado, las modificaciones y errores de dirección. 11.18 Protección de información crítica eliminada OBJETIVO DE CONTROL La gerencia debe definir e implementar los procedimientos para garantizar la no divulgación de la información crítica eliminada de la organización. Dichos procedimientos deben garantizar que los datos marcados como borrados o a ser eliminados no puedan ser recuperados por ninguna persona de la organización ni por terceros. 11.19 Administración del almacenamiento OBJETIVO DE CONTROL Se deben desarrollar los procedimientos para el almacenamiento de datos que consideren los requerimientos de recuperación, y efectividad de costos y política de seguridad. 11.20 Períodos de conservación y plazos de almacenamiento OBJETIVO DE CONTROL Los períodos de conservación y plazos almacenamiento se deben definir para los documentos, datos, programas e informes y mensajes (de entrada y de salida) así como también los datos (claves, certificados) utilizados para su encriptación y autenticación. 11.21 Sistema de administración de la biblioteca de medios OBJETIVO DE CONTROL La función servicios de información debe establecer los procedimientos para
garantizar que los contenidos de su biblioteca de medios que contiene datos estén clasificados en un inventario de manera sistemática, que toda discrepancia divulgada por un inventario físico se subsane en forma oportuna y que se tomen medidas para mantener la integridad de los medios magnéticos almacenados en la biblioteca. 11.22 Responsabilidades de administración de la biblioteca de medios OBJETIVO DE CONTROL Los procedimientos de mantenimiento diseñados para proteger los contenidos de la biblioteca de medios deben ser establecidos por la gerencia de la función servicios de información. Se deben definir los estándares para la identificación externa de los medios magnéticos y el control de su movimiento y almacenamiento físico para respaldar la responsabilidad. Las responsabilidades para la administración de la biblioteca de medios (cinta magnética, cartucho, discos y diskettes) deben ser asignadas a miembros específicos de la función servicios de información. 11.23 Procedimiento de resguardo y restauración OBJETIVO DE CONTROL La gerencia debe implementar una estrategia adecuada de resguardo y restauración para garantizar que se incluya una revisión de los requerimientos de negocio, así como también el desarrollo, implementación, prueba y documentación del plan de recuperación. Se deben establecer procedimientos para garantizar que los resguardos cumplan con los requisitos
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
123
COBIT antes mencionados. 11.24 Tareas de resguardo OBJETIVO DE CONTROL Se deben implementar procedimientos para garantizar que los resguardos se hagan de acuerdo a la estrategia de resguardo definida y que se verifique en forma regular la utilidad de los mismos. 11.25 Almacenamiento de resguardos OBJETIVO DE CONTROL Los procedimientos de resguardo para los medios relacionados con la tecnología de información deben incluir el adecuado almacenamiento de los archivos de datos, el software y la documentación relacionada, tanto en el sitio como fuera del sitio. Los resguardos se deben almacenar en forma segura y los sitios de almacenamiento se deben revisar periódicamente en cuanto a la seguridad del acceso físico y la seguridad de archivos de datos y otros elementos.
11.26 Archivo OBJETIVO DE CONTROL La gerencia debe implementar una política y procedimientos para garantizar que los archivos cumplan con los requisitos legales y de negocio, y que se protejan y mantengan de manera adecuada. 11.27 Protección de mensajes críticos OBJETIVO DE CONTROL En cuanto a la transmisión de datos por Internet o cualquier otra red pública, la gerencia debe definir e implementar procedimientos y protocolos a utilizar que garanticen la integridad, confidencialidad y el no rechazo de los mensajes críticos.
124
11.28 Autenticación e integridad OBJETIVO DE CONTROL La autenticación e integridad de la información originada fuera de la organización, ya sea recibida por teléfono, correo de voz, documento en papel, fax o e-mail, debe ser verificada en forma adecuada antes de que se lleve a cabo una acción potencialmente crítica. 11.29 Integridad de la transacciones electrónicas OBJETIVO DE CONTROL Considerando que los límites temporales y geográficos tradicionales son menos seguros, la gerencia debe definir e implementar los procedimientos y prácticas apropiados para las transacciones electrónicas críticas, garantizando la integridad y autenticidad de: • atomicidad (unidad de trabajo indivisible, todas sus acciones tienen éxito, o todas fracasan); • consistencia (si la transacción no puede lograr un estado final estable, debe devolver el sistema a su estado inicial); • aislamiento (el comportamiento de una transacción no es afectado por otras transacciones que se estén ejecutando en ese mismo momento); • durabilidad (los efectos de la transacción son permanentes una vez comprometida, sus cambios deben subsistir a las fallas del sistema). 11.30 Integridad permanente de datos almacenados OBJETIVO DE CONTROL La gerencia debe garantizar que la integridad y exactitud de los datos almacenados en archivos y otros medios OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) (por ejemplo, tarjetas electrónicas) se verifiquen periódicamente. Se debe prestar especial atención a los elementos que representan valores, los archivos de referencia y los archivos que contienen información confidencial.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
125
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 12
El control sobre el proceso de TI de
administración de instalaciones que satisface el requerimiento de negocio
de suministrar un ambiente físico adecuado que brinde protección a las personas y los equipos de TI contra los peligros generados por la naturaleza y el hombre puede realizarse por medio de
la instalación de controles ambientales y físicos adecuados cuya revisión se efectúa periódicamente a fin de determinar su correcto funcionamiento y tiene en cuenta
• • • • •
126
el acceso a las instalaciones la identificación del sitio la seguridad física la seguridad y salud del personal la protección contra amenazas ambientales
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 12.
ADMINISTRACIÓN DE INSTALACIONES
12.1
Seguridad física OBJETIVO DE CONTROL Se deben establecer medidas de control de acceso y seguridad física adecuadas en las instalaciones de tecnología de información, incluyendo el uso fuera del sitio de los dispositivos de información de conformidad con la política de seguridad general. El acceso debe estar restringido a los individuos que hayan sido autorizados para obtener dicho acceso.
12.2
Discreción del sitio de tecnología de información OBJETIVO DE CONTROL La gerencia de la función de servicios de información debe garantizar que se mantenga una cierta discreción y que se limite la identificación física del sitio de sus operaciones de tecnología de información.
12.3
Acompañantes de visitas OBJETIVO DE CONTROL Se deben implementar los procedimientos apropiados para garantizar que los individuos que no sean miembros del grupo de operaciones de la función servicios de información estén acompañados por un miembro de ese grupo cuando deban ingresar a las salas de computación. Se debe mantener un registro de visitantes y se lo debe revisar periódicamente.
12.4
Seguridad y sanidad del personal OBJETIVO DE CONTROL Se deben implementar y mantener prácticas de seguridad y sanidad de conformidad con las leyes y reglamentaciones internacionales, nacionales, regionales, estatales y locales aplicables.
12.5
Protección contra factores ambientales OBJETIVO DE CONTROL La gerencia de la función servicios de información debe garantizar que se implementen y mantengan suficientes medidas para la protección contra factores ambientales (por ejemplo, fuego, polvo, electricidad, calor y humedad excesivos). Se deben instalar equipos y dispositivos adecuados para monitorear y controlar el medio ambiente.
12.6
Fuente de alimentación de energía ininterrumpible OBJETIVO DE CONTROL La gerencia debe evaluar en forma periódica la necesidad de contar con baterías y generadores como fuentes de suministro de energía ininterrumpible para aplicaciones de tecnología de información crítica como protección contra las fallas y fluctuaciones del suministro de energía. Cuando se justifique, se debe instalar el equipo más apropiado.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
127
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL ENTREGA Y SOPORTE
ES 13
El control sobre el proceso de TI de
administración de operaciones que satisface el requerimiento de negocio
de garantizar que las funciones importantes de soporte de TI se desempeñan en forma regular y ordenada puede realizarse por medio de
un cronograma de actividades de soporte que se registra y aprueba para el logro de todas las actividades y tiene en cuenta
• • • • • •
128
el manual de procedimientos de operaciones la documentación de proceso de arranque la administración de servicios de red el cronograma del personal y de carga de trabajo el proceso de cambio de turnos el registro de eventos del sistema
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 13.
ADMINISTRACIÓN DE OPERACIONES
13.1
Manual de instrucciones y procedimientos de las operaciones de procesamiento OBJETIVO DE CONTROL La función servicios de información debe establecer y documentar los procedimientos estándar para las operaciones de tecnología de información (incluidas las operaciones de red). Todas las soluciones y plataformas de la tecnología de información implementadas deben llevarse a cabo utilizando estos procedimientos, que deben ser revisados en forma periódica para garantizar la efectividad y cumplimiento.
13.4
Desviaciones de los cronogramas estándar de trabajo OBJETIVO DE CONTROL Los procedimientos deben implementarse para identificar, investigar y aprobar las desviaciones de los programas de trabajo estándar.
13.5
Continuidad del procesamiento OBJETIVO DE CONTROL Los procedimientos deben requerir una continuidad de procesamiento durante los cambios de turno de operador mediante la estipulación del traspaso formal de actividad, la actualización de estado y los informes sobre las responsabilidades actuales.
13.2
Documentación del proceso de puesta en marcha y otras operaciones OBJETIVO DE CONTROL La gerencia de la función servicios de información debe garantizar que el personal de operaciones esté adecuadamente familiarizado y confíe en el proceso de puesta en marcha y otras tareas de operación, habiéndolas documentado, probado y ajustado en forma periódica cuando sea requerido.
13.6
Registros de operaciones OBJETIVO DE CONTROL Los controles de gestión deben garantizar que la información cronológica adecuada se esté almacenando en registros de operaciones para permitir la reconstrucción, la revisión oportuna y la inspección de las secuencias de tiempo del procesamiento y otras actividades que le dan soporte o están relacionadas con el mismo.
13.3
Programa de trabajo OBJETIVO DE CONTROL La gerencia de la función servicios de información debe garantizar que la programación continua de los trabajos, procesos y tareas organizados en la secuencia más eficiente, maximizando el desempeño y la utilización, cumpla con los objetivos establecidos en los acuerdos de nivel de servicio. Los programas iniciales así como también los cambios a dichos programas deben estar adecuadamente autorizados.
13.7
Operaciones remotas OBJETIVO DE CONTROL Para las operaciones remotas, los procedimientos específicos deben garantizar que se definan e implementen la conexión y desconexión de los vínculos al/los sitio/s remotos.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
129
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL MONITOREO
M1
El control sobre el proceso de TI de
monitoreo de los procesos que satisface el requerimiento de negocio
de garantizar el logro de los objetivos de desempeño establecidos para los procesos de TI puede realizarse por medio de
la definición por parte de la gerencia de un sistema de informes e indicadores del desempeño relevantes, la implementación de sistemas de soporte y la aprobación de los informes en forma periódica y tiene en cuenta
• • • •
130
los indicadores clave del desempeño los factores críticos del éxito la evaluación de satisfacción del cliente los informes de la gerencia
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 1.
MONITOREO DE LOS PROCESOS
1.1
Recopilación de datos de monitoreo OBJETIVO DE CONTROL Para los procesos de control interno y de tecnología de información, la gerencia debe garantizar que se definan los indicadores de desempeño pertinentes (por ejemplo los “benchmarks”) tanto de fuentes internas como externas y que se recopilen datos para la creación de reportes con información de gestión e informes de excepción con respecto a estos indicadores.
1.2
Evaluación del desempeño OBJETIVO DE CONTROL Los servicios a ser prestados por la función de servicios de información deben ser medidos (indicadores clave del desempeño y/o factores críticos de éxito) por la gerencia y compararse con los niveles establecidos. La evaluación de la función servicios de información se debe llevar a cabo en forma continua.
1.3
Evaluación de la satisfacción del cliente OBJETIVO DE CONTROL La gerencia, a intervalos regulares, debe medir la satisfacción del cliente sobre los servicios prestados por la función servicios de información para identificar el déficit en los niveles de servicio y establecer objetivos de mejoras.
1.4
Informes de gestión OBJETIVO DE CONTROL Los informes de gestión deben ser presentados a la gerencia senior para que se revise el progreso de la organización hacia las metas identificadas. Luego de la revisión, se deben iniciar y controlar las medidas de gestión apropiadas.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
131
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL MONITOREO
M2
El control sobre el proceso de TI de
evaluación de la idoneidad del control interno que satisface el requerimiento de negocio
de garantizar el logro de los objetivos de control interno establecidos para los procesos de TI puede realizarse por medio de
el compromiso de la gerencia de monitorear los controles internos, evaluar su efectividad e informar sobre los mismos en forma periódica y tiene en cuenta
• • • • •
132
el monitoreo de control interno en curso los “benchmarks” los informes de errores y excepciones las autoevaluaciones los informes de la gerencia
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 2.
EVALUACIÓN DE LA IDONEIDAD DEL CONTROL INTERNO
2.1
Monitoreo del control interno OBJETIVO DE CONTROL La gerencia debe monitorear la efectividad de los controles internos en el curso normal de operaciones a través de las actividades de administración y de supervisión, las comparaciones, conciliaciones y otras acciones de rutina. Las desviaciones deben conducir al análisis y a la toma de medidas correctivas.
2.2
Operación oportuna de los controles internos OBJETIVO DE CONTROL La confianza en los controles internos requiere que los controles funcionen rápidamente para subrayar errores e incongruencias, y que los mismos sean corregidos antes de que influyan en la producción y entrega. La información concerniente a los errores, incongruencias y excepciones debe mantenerse e informarse sistemáticamente a la gerencia.
2.3
Informes del nivel de control interno OBJETIVO DE CONTROL La gerencia debe reportar la información que obtenga sobre los niveles de controles internos y excepciones a las partes afectadas para garantizar la efectividad continua de su sistema de control interno. Se deben tomar medidas para identificar qué información se necesita a un nivel particular de toma de decisiones.
2.4
Garantía de la seguridad operativa y del control interno OBJETIVO DE CONTROL La garantía de los controles internos y la seguridad de las operaciones deben ser
establecidos con autoevaluaciones o auditorías independientes para examinar si la seguridad y los controles internos están funcionando de acuerdo con los requisitos de seguridad y control interno establecidos o implícitos. Las actividades de monitoreo en curso por parte de la gerencia deben buscar las vulnerabilidades y los problemas de seguridad.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
133
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL MONITOREO
M3
El control sobre el proceso de TI de
obtención de garantía independiente que satisface el requerimiento de negocio
de aumentar los niveles de confianza entre las organizaciones, clientes y proveedores puede realizarse por medio de
revisiones de garantía independientes llevadas a cabo en forma periódica y tiene en cuenta
• • • • • • •
134
las certificaciones/acreditaciones independientes las evaluaciones de efectividad independientes las garantías independientes de cumplimiento de las leyes y los requerimientos regulatorios las garantías independientes de cumplimiento con los compromisos contractuales las revisiones del proveedor del servicio el desempeño de las revisiones de garantía por parte de personal calificado participación proactiva en la auditoría
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 3.
OBTENCIÓN DE GARANTÍA INDEPENDIENTE
3.1
Certificación/acreditación independientes de la seguridad y el control interno de los servicios de tecnología de información OBJETIVO DE CONTROL La gerencia debe obtener una certificación/acreditación independiente de seguridad y controles internos antes de la implementación de nuevos servicios de tecnología de información críticos y recertificaciones/reacreditaciones de estos servicios en forma rutinaria luego de la implementación.
3.2
3.3
3.4
Certificación/acreditación independientes de la seguridad y el control interno de los proveedores de servicios OBJETIVO DE CONTROL La gerencia debe obtener certificaciones/acreditaciones independientes de seguridad y controles internos antes de contratar proveedores de servicios de tecnología de información y recertificación/reacreditación en forma rutinaria. Evaluación independiente de la efectividad de los servicios de tecnología de información OBJETIVO DE CONTROL La gerencia debe obtener una evaluación independiente de la efectividad de los servicios de tecnología de información en forma rutinaria. Evaluación independiente de la efectividad de los terceros a cargo de la provisión de servicios OBJETIVO DE CONTROL La gerencia debe obtener una evaluación independiente de la efectividad de los proveedores de servicio de tecnología de información en forma rutinaria.
3.5
Garantía independiente del cumplimiento de los requerimientos legales y regulatorios y los compromisos contractuales OBJETIVO DE CONTROL La gerencia debe obtener la garantía independiente del cumplimiento, por parte de la función servicios de información, de los requerimientos legales, reglamentarios y compromisos contractuales en forma rutinaria.
3.6
Garantía independiente del cumplimiento de los requerimientos legales y regulatorios y los compromisos contractuales de terceros a cargo de la provisión de servicios OBJETIVO DE CONTROL La gerencia debe obtener la garantía independiente del cumplimiento, por parte de los terceros proveedores de servicio, de los requerimientos legales, reglamentarios y compromisos contractuales en forma rutinaria.
3.7
Competencia de la función de garantía independiente OBJETIVO DE CONTROL La gerencia debe garantizar que la función de garantía independiente posea la competencia técnica, y las capacidades y conocimientos necesarios para llevar a cabo dichas revisiones de un modo efectivo, eficiente y económico.
3.8
Participación proactiva de la auditoría OBJETIVO DE CONTROL La gerencia de Tecnología de Información debe buscar la participación de la auditoría de un modo proactivo antes de aprobar definitivamente las soluciones del servicio de tecnología de información.
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
135
COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL MONITOREO
M4
El control sobre el proceso de TI de
provisión de auditoría independiente que satisface el requerimiento de negocio
de aumentar los niveles de confianza y las ventajas derivadas de las mejores prácticas recomendadas puede realizarse por medio de
auditorías independientes llevadas a cabo en forma periódica y tiene en cuenta
• • • • •
136
la independencia de la auditoría la participación proactiva de la auditoría la ejecución de las auditorías por personal calificado la aprobación de los resultados y las recomendaciones las actividades de seguimiento
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) 4.
PROVISIÓN DE AUDITORÍA INDEPENDIENTE
4.1
Estatuto de auditoría OBJETIVO DE CONTROL La gerencia senior debe establecer un estatuto para la función de auditoría. Este documento debe resumir la responsabilidad y facultad de la función de auditoría. El estatuto debe ser revisado en forma periódica para garantizar que se mantenga la independencia, facultad y responsabilidad de la función de auditoría.
4.2
Independencia OBJETIVO DE CONTROL El auditor debe ser independiente del auditado en actitud y apariencia (real y percibida). Los auditores no deben estar afiliados con la sección o departamento que está siendo auditado, y, hasta donde sea posible, también deben ser independientes de la organización que es objeto de la auditoría. Así, la función de auditoría debe ser suficientemente independiente del área que está siendo auditada para permitir el cumplimiento objetivo de la auditoría.
4.3
Ética y normas profesionales OBJETIVO DE CONTROL La función de auditoría debe garantizar la adhesión a los códigos aplicables de ética profesional (por ejemplo, el Código de Ética Profesional de la Asociación de Auditoría y Control de Sistemas de Información) y a las normas de auditoría (por ejemplo, las Normas de Auditoría de Sistemas de Información emitidas por la Asociación de Auditoría y Control de Sistemas de Información) en todo lo que realicen. Se debe proceder con el debido cuidado profesional en todos los aspectos del trabajo de auditoría, incluida la observancia de las normas de tecnología de la información y auditoría aplicables.
4.4
Competencia OBJETIVO DE CONTROL La gerencia debe garantizar que los auditores responsables de la revisión de las actividades de la función de servicios de información de la organización sean técnicamente competentes y que colectivamente posean la capacidad y el conocimiento (es decir, los dominios CISA) necesarios para llevar a cabo dichas revisiones de un modo efectivo, eficiente y económico. La gerencia debe garantizar que el personal de auditoría asignado a las tareas de auditoría de los sistemas de información mantengan su competencia técnica a través de la educación profesional continua adecuada.
4.5
Planificación OBJETIVO DE CONTROL La gerencia senior debe establecer un plan para garantizar que se obtengan las auditorías regulares e independientes con respecto a la efectividad, eficiencia, y economía de los procedimientos de seguridad y de controles internos, y la capacidad de la gerencia para controlar las actividades de la función servicios de información. La gerencia senior debe determinar las prioridades con respecto a la obtención de auditorías independientes dentro de este plan. Los auditores deben planificar el trabajo de auditoría de los sistemas de información para abordar los objetivos de la auditoría y para cumplir con las normas profesionales de auditoría aplicables.
4.6
Ejecución del trabajo de auditoría OBJETIVO DE CONTROL Las auditorías deben estar supervisadas adecuadamente para garantizar que se logren los objetivos de la auditoría y que se cumplan las normas de auditoría profesional aplicables. Los auditores deben garantizar que se obtenga evidencia
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
137
COBIT suficiente, confiable, importante y útil para lograr los objetivos de la auditoría en forma eficiente. Los hallazgos y conclusiones de la auditoría deben ser respaldados por un análisis e interpretación apropiados de esta evidencia. 4.7
Informes OBJETIVO DE CONTROL La función de auditoría de la organización debe proporcionar un informe, en la forma apropiada, para los receptores propuestos luego de la terminación del trabajo de auditoría. Los informes de auditoría deben establecer el alcance y los objetivos de la auditoría, el período de cobertura, y la naturaleza y alcance del trabajo de auditoría realizado. El informe debe identificar a la organización, a los destinatarios propuestos y toda restricción sobre su circulación. El informe de auditoría debe además establecer los hallazgos, conclusiones y recomendaciones con respecto al trabajo de auditoría realizado, y toda reserva que el auditor tenga con respecto a la auditoría.
4.8
Actividades de seguimiento OBJETIVO DE CONTROL La resolución de los comentarios de la auditoría permanece en la gerencia. Los auditores deben pedir y evaluar la información apropiada sobre los hallazgos, conclusiones y recomendaciones previos para determinar si se han implementado las acciones adecuadas de manera oportuna.
138
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
APÉNDICE I – DESCRIPCIÓN DEL PROYECTO COBIT ORGANIZACION Y RESPONSABILIDADES
El proyecto es supervisado por un Comité de Dirección del Proyecto formado por representantes internacionales de la industria, del ámbito universitario, del gobierno y profesionales en el campo de la auditoría. El Consejo Ejecutivo de ISACF brinda asesoramiento general sobre el proyecto. El Comité de Dirección del
proyecto ha sido de utilidad para el desarrollo del Marco COBIT y para la aplicación de los resultados de la investigación. Los grupos de trabajo internacionales fueron estableci-dos con el fin de garantizar la calidad y efectuar la revisión especializada de la investigación preliminar y los resultados del desarrollo.
Director de Proyecto Erik Guldentops*
Director de Proyecto Eddy Schuermans*
COMITE DE DIRECCION John Beveridge Bart De Shutter Gary Hardy John Lainhart Thomas Lamm Akira Matuso Paul Williams
* = Equipo de proyecto
Europa
USA Investigación Académica
Investigación Académica Garantía de Calidad del Capítulo Local Grupo de Expertos Regionales
Australia Investigación de Benchmarks
Garantía de Calidad del Capítulo Local
Garantía de Calidad del Capítulo Local
Grupo de Expertos Regionales
Equipo de Expertos Internacionales
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
139
COBIT INVESTIGACION
La investigación incluyó una recolección y análisis de las fuentes identificadas y fue realizada por un equipo de investigación en Europa (Free University of Amsterdam), los Estados Unidos (California Polytechnic University) y Australia (University of New South Wales). Los equipos de investigación estaban integrados por representantes académicos y profesionales. Luego de la recolección y el análisis, los investigadores se enfrentaron al desafío de examinar cada dominio y proceso con detenimiento y sugerir nuevos objetivos de control aplicables a ese proceso de tecnología
140
de información particular. Se les encargó a los investigadores la compilación, revisión, evaluación e incorporación apropiada de las normas técnicas internacionales, los códigos de conducta, las normas de calidad, las normas profesionales con relación a la auditoría, las prácticas y requerimientos industriales y los requerimientos específicos de la industria, en lo que se relaciona con el marco y con los objetivos de control individuales. Sus esfuerzos han producido más de 300 objetivos de control nuevos y actualizados para su consideración por parte de los grupos de expertos y revisores de calidad.
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
APÉNDICE I – DESCRIPCIÓN DEL PROYECTO COBIT, cont. Corriente Básica de Investigación en Europa
QA
Corriente Básica de Investigación en Estados Unidos
QA
Corriente de Investigación de Benchmarks en Australia
QA
Revisión especializada en Europa Consolidación de los descubrimientos de los Expertos
Consolidación de pautas de investigación Revisión especializada en Estados Unidos
CobiT BD
La consolidación de los resultados fue llevada a cabo en un principio por el Equipo del Proyecto, compuesto por el Director del Proyecto, el Administrador del Proyecto y el Director de Investigaciones de ISACF. Enfoque y Material Fuente
Después del desarrollo del marco por parte del Comité de Dirección, puesto a prueba y actualizado por los Grupos de Expertos, los grupos de investigación llevaron a cabo la comparación individual de los Objetivos de Control con cada uno de los documentos y normas identificadas.
Objetivos de Control Mejorados
Disponibilidad Actual
CobiT BD
La intención no fue efectuar un análisis global de todo el material ni un nuevo desarrollo de los Objetivos de Control, sino más bien un proceso de comparación y actualización. El resultado básico de esta actividad de investigación fue una lista de correspondencias primarias (en los Objetivos de Control pero no en el material de comparación), y correspondencias secundarias (en el material de comparación pero no en los Objetivos de Control)
ISO
ITIL
DTI
CobiT ISACF
Informe concordante . No correspondencia primaria . No correspondencia secundaria Enmiendas propuestas
OECD ITSEC
FUNDACIÓN DE AUDITORÍA Y CONTROL DE SISTEMAS DE INFORMACIÓN
141
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT)
APÉNDICE II –BIBLIOGRAFÍA PRINCIPAL Internal Control – Integrated Framework (Marco de control interno integrado). Comité de Organizaciones Patrocinantes de la Comisión Treadway (COSO), 2 vols. Nueva Jersey: Instituto Estadounidense de Contadores Públicos, 1994. Guidelines for the Security of Information (Pautas para la seguridad de la información). Organización de Cooperación y Desarrollo Económico (OECE). París, 1992. A Code of Practice for Information Security Management (Código de práctica para la administración de la seguridad de la información). Secretaría de Industria y Comercio (DTI) y el Instituto de Normas Británicas, Londres, 1993, 1995. ISO 9000-3 Quality Management and Quality Assurance Standards – Part 3: Guidelines for the Application of ISO 9001 to the Development, Supply and Maintenance of Software (ISO 9000-3 normas de gestión y garantía de calidad– Parte 3: Pautas para la aplicación de la norma ISO 9001 al desarrollo, suministro y mantenimiento de software). Organización Internacional de Estandarización (ISO). Suiza, 1991. An Introduction to Computer Security: the NIST Handbook (Una Introducción a la Seguridad Informática: Manual de seguridad del Instituto Nacional de Normas y Tecnología (NIST). Washington D.C., 1995. IT Infrastructure Library. (Biblioteca de infraestructura de TI.). Prácticas y guías desarrolladas por el ente central de computación y telecomunicaciones (CCTA). Londres, 1989. IBAG Framework (Marco de IBAG). Proyecto presentado por el Grupo asesor de empresas de Infosec al SOGIS (Grupo de funcionarios principales en Seguridad de la información, que asesora a la Comisión Europea), Bruselas, Bélgica, 1994. Statements of Best Practice #1 through #6 (Declaraciones de mejores prácticas Nro. 1 a Nro. 6). Departamento del Primer Ministro de Nueva Gales del Sur. Gobierno de Nueva Gales del Sur, Australia, 1990 a 1994. Memorandum on the Reliability and Continuity of Electronic Data Processing in Banking (Memorando sobre la confiabilidad y continuidad del procesamiento electrónico de datos en bancos). De Nederlandsche Bank. Reimpresión del Boletín Trimestral Nro 3, Países Bajos, 1988. An Audit Approach (Un enfoque de auditoría). Serie de monografía #7. Information Systems Audit and Control Foundation, Inc. (Fundación para la Auditoría y Control de los Sistemas de Información), Rolling Meadows, IL, Abril 1994. A Model Framework for Management Over Automated Information Systems (Marco modelo para la administración de sistemas de información automatizados). Preparado en colaboración por el Consejo del Presidente para Mejoras de Administración y el Consejo del Presidente para la Integridad y la Eficiencia (PCIE), Washington D.C., 1987. Information System Auditing Standard of Japan (Norma de auditoría de sistemas de información de Japón). Provista por Chuo Audit Corporation, Tokyo, agosto de 1994. 143
COBIT Control Objectives. Controls in an Information Systems Environment: Controls Guidelines and Audit Procedures (Objetivos de control. Controles en el ambiente de sistemas de información. Pautas de controles y procedimientos de auditoría). Fundación de auditores de EDP (actualmente la Fundación para la Auditoría y Control de Sistemas de Información). Cuarta edición, Rolling Meadows, IL, 1992. Certified Information Systems Auditor Job Analysis: (Análisis del Trabajo del Auditor de Sistemas de Información Certificado). Consejo de Certificación de la Asociación de Auditoría y Control de Sistemas de Información, Rolling Meadows, IL, 1994. Computer Control Guidelines (Pautas para el Control Informático). Instituto Canadiense de Contadores Matriculados (CICA), Toronto, 1986. International Guidelines for Managing Security of Information and Communications (Pautas Internacionales para la Administración de la Seguridad de Información y Comunicaciones). Federación Internacional de Contadores, Nueva York, NY, 1997. International Guidelines on Information Technology Management –Managing Information Technology Planning for Business Impact (Draft) (Pautas Internacionales sobre Administración de Tecnología de Información – Administración de Planificación de la Tecnología de Información para el Impacto en el Negocio (Borrador)). Federación Internacional de Contadores, Nueva York, NY, 1998. Standards for Internal Control in the U.S. Federal Government (Normas para el Control Interno en el Gobierno Federal de los Estados Unidos) Departamento Federal de Contabilidad General, Washington D.C., 1983. Guide to Auditing for Controls and Security: A System Development Life Cycle Approach (Guía de auditoría de controles y seguridad: Enfoque del ciclo de vida de desarrollo de sistemas). Publicación especial de la NBS 500-153. Secretaría de Comercio de los EE.UU., Instituto Nacional de Normas y Tecnología, Washington, D.C., 1988. Government Auditing Standards (Normas de Auditoría del Gobierno). Departamento Federal de Contabilidad General, Washington D.C., 1994. Denmark Generally Accepted IT Management Practices (Prácticas Danesas Generalmente Aceptadas de Administración de TI) Instituto de Contadores Autorizados por el Estado, Dinamarca, 1994. Software Process Improvement and Capability Determination (Determinación de la Capacidad y las Mejoras del Proceso de Software). Norma sobre mejoras en el proceso. Institución de Normas Británicas, Londres, 1995. Guidelines for Business Continuity Planners (Pautas para los planificadores de continuidad de negocio). Instituto Internacional de Recuperación ante Desastres (DRII), St. Louis, MO, 1997. Systems Auditability and Control Report (Informe sobre auditabilidad y control de sistemas). Fundación de Investigación del Instituto de Auditores Internos. Alamonte Springs, Florida, 1991, 1994.
144
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) Professional Practices Pamphlet 97-1, Electronic Commerce (Panfleto de práctica profesional, Comercio Electrónico). Fundación de Investigación del Instituto de Auditores Internos. Alamonte Springs, Florida, 1997. SAP R/3 Audit Guide (Guía de auditoría SAP R/3). Ernst & Young, Cleveland, OH, 1996. SAP R/3: Its Use, Control and Audit (SAP R/3: Su uso, control y auditoría), Coopers & Lybrand, Nueva York, NY, 1997. ISO IEC JTC1/SC27 Information Technology – Security (ISO IEC JTC1/SC27 Tecnología de Información – Seguridad). Comisión Técnica sobre Seguridad de la Tecnología de Información de la Organización Internacional para la Normalización (ISO), Suiza, 1998. An Assessment Model and Guidance Indicator (Un Modelo de Evaluación e Indicadores de Pautas) Comisión Técnica sobre Evaluación del Software de Proceso de la Organización Internacional para la Normalización (ISO), Suiza, 1992 ISO TC68/SC2/WG4 Information Security Guidelines for Banking and Related Financial Services (ISO TC68/SC2/WG4 Pautas de Seguridad de Información para Bancos y Servicios Financieros Relacionados). Comisión Técnica sobre Bancos y Servicios Financieros de la Organización Internacional para la Normalización (ISO), Borrador, Suiza, 1997. Alignment and comparison of existing European, US and Canadian IT Security Criteria, Draft (Alineación y comparación del criterio existente en cuanto a seguridad de TI de Europa, Estados Unidos y Canadá). Consejo de Implementación de un Criterio Común, Borrador, Washington D.C., 1997. Recommended Practice for EDI (Práctica recomendada para EDI). EDIFACT (EDI para Administración, Comercio y Negocios), París, 1987. TickIT – “Guide to Software Quality Management System Construction and Certification” (Guía para la construcción y certificación de sistemas de administración de calidad del software). Secretaría Británica de Comercio e Industria (DTI), Londres, 1994. Communications Network Security (Seguridad de Red de Comunicaciones), Septiembre, 1991. Baseline Controls for Local Area Networks (Controles básicos para las redes de área local), Foro para la Seguridad Europea, Londres, Septiembre de 1994. Microcomputers Attached to Network (Microcomputadoras adjuntadas a las redes) Foro para la Seguridad Europea, Londres, Junio 1990. Computerized Information Systems (CIS) Audit Manual (Manual de Auditoría de los Sistemas de Información Computarizados (CIS)). Fundación de Auditores de EDP (actualmente Fundación para el Control y Auditoría de los Sistemas de Información), Rolling Meadows, IL, 1992.
145
COBIT APÉNDICE III – GLOSARIO DE TÉRMINOS AICPA CICA CISA CCEB Control
COSO DRI DTI EDIFACT EDPAF ESF
GAO I4
IBAG
IFAC IIA INFOSEC ISACA ISACF ISO ISO9000
Instituto Estadounidense de Contadores Públicos Instituto Canadiense de Contadores Públicos Auditor Acreditado de Sistemas de Información Criterio Común para la Seguridad de Tecnología de Información Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para brindar una garantía razonable o suficiente de que se lograrán los objetivos de negocio y de que los eventos no deseados se evitarán, detendrán o corregirán. Comité de Organizaciones Patrocinantes de la Comisión Treadway Instituto Internacional de Recuperación de Desastres Secretaría de Industria y Comercio del Reino Unido Intercambio electrónico de datos para la administración y el comercio Fundación de Auditores del Procesamiento Electrónico de Datos (actualmente ISACF) Foro europeo de seguridad, en el que cooperan más de 70 multinacionales fundamentalmente europeas con el objeto de llevar a cabo investigaciones relativas a los problemas comunes de seguridad y control en TI. Departamento Federal de Contabilidad General Instituto Internacional para la Integridad de la Información, asociación similar a la ESF, con metas análogas y con sede principal en los EE.UU. Es manejado por el Instituto de Investigación de Standford. Grupo asesor de empresas de Infosec, representantes de la industria que asesoran al Comité de Infosec. Este comité está integrado por funcionarios de los gobiernos de la Comunidad Europea y brinda su asesoramiento a la Comisión Europea en asuntos relativos a la seguridad de TI. Federación Internacional de Contadores Instituto de Auditores Internos Comité asesor en asuntos relativos a la seguridad de TI de la Comisión Europea Asociación de Auditoría y Control de Sistemas de Información Fundación de Auditoría y Control de Sistemas de Información Organización Internacional de Normalización (con sede en Ginebra, Suiza) Normas de administración y garantía de calidad definidas por la ISO
Objetivo de Control de TI ITIL
146
Declaración del resultado o fin que se desea lograr mediante la implementación de procedimientos de control en una actividad de TI determinada. Biblioteca de la infraestructura de tecnología de información
OBJETIVOS DE CONTROL
OBJETIVOS DE CONTROL DE INFORMACIÓN y TECNOLOGÍAS RELACIONADAS (COBIT) ITSEC
NBS NIST (ex NBS) NSW OCDE OSF PCIE SPICE TCSEC
TickIT
Criterios de evaluación de la seguridad de la tecnología de información. Se trata de criterios unificados adoptados por Francia, Alemania, Holanda y el Reino Unido. También cuentan con el respaldo de la Comisión Europea (véase también TCSEC, el equivalente de los EE.UU.). Oficina Nacional de Normas de los EE.UU. Instituto Nacional de Normas y Tecnología, con sede en Washington, D.C. Nueva Gales del Sur, Australia Organización de Cooperación y Desarrollo Económico Fundación abierta del software Consejo del Presidente sobre Integridad y Eficiencia Determinación de Capacidad y Mejoras del Proceso de Software – una norma sobre la mejora del proceso de software Criterios de evaluación de la seguridad de los sistemas de computación, conocidos también con el nombre de “Orange Book” (Libro naranja). Criterios de evaluación que fueran definidos originalmente por el Ministerio de Defensa de los EE.UU. Véase también ITSEC, el equivalente europeo. Guía para la Construcción y Certificación del Sistema de Administración de Calidad del
Software
147
COBIT
148
OBJETIVOS DE CONTROL
Information Systems Audit and Control Association 3701 ALGONQUIN ROAD, SUITE 1010 ROLLING MEADOWS, ILLINOIS 60008, EE.UU. TELÉFONO: +1.847.253.1545 E-MAIL:
[email protected] FAX: +1.847.253.1443WEB SITE: http://www.isaca.org
DÍGANOS LO QUE PIENSA DE COBIT Nos interesa conocer su opinión acerca de COBIT: Objetivos de Control de Información y Tecnologías Relacionadas. Sírvase escribir sus comentarios a continuación. Las respuestas se compilarán y
publicarán en el IS Audit and Control Journal. _____________________________________________________________________________________________ _____________________________________________________________________________________________ _____________________________________________________________________________________________ Nombre ______________________________________________________________________________________ Organización __________________________________________________________________________________ Dirección _____________________________________________________________________________________ Ciudad ______________________________________________ Estado/Provincia __________________________ País _________________________________________________ Código Postal ____________________________ Número de fax _________________________________________________________________________________ Dirección de e-mail _____________________________________________________________________________ ¨ ¨
Deseo obtener mayor información sobre cómo puede utilizarse COBIT en mi organización. Espero que un representante de la Asociación se comunique conmigo. Ruego que me envíen mayor información sobre: ¨ Cómo comprar otros productos COBIT ¨ Los cursos de capacitación COBIT (internos o sesiones generales) ¨ Certificación del Auditor de Sistemas de Información Certificado (CISA) ¨ Conferencias de ISACA ¨ Cómo hacerse socio de la institución ¨ El IS Audit & Control Journal
¨ Otras publicaciones de ISACA Gracias. Agradecemos a todos aquellos que completen y envíen este formulario.