Cobit Directrices de Auditoria Condenzado

OBJETIVOS DE CONTROL PARA LA INFORMACIN
Y TECNOLOGAS AFINES
DIRECTRICES DE AUDITORA
AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL
33
COBIT
34
Y TECNOLOGAS AFINES
PLANEACIN & ORGANIZACIN
35
COBIT
OBJETIVOS DE CONTROL DE ALTO NIVEL
PLANEACION Y ORGANIZACION PO1
efe cti v efi idad co cie nfi nc de ia nc int ialid eg ad dis rid po ad n cu ibili m da p d co limie nfi nt ab o ilid ad
Planeacin & Organizacin
Adquisicin & Implementacin
Control sobre el proceso de TI de: Definicin de un plan Estratgico de Tecnologa de Informacin que satisface los requerimientos de negocio de: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientos de TI de negocio, as como para asegurar sus logros futuros. se hace posible a travs de: un proceso de planeacin estratgica emprendido en intervalos regulares dando lugar a planes a largo plazo. Los planes a largo plazo debern ser traducidos peridicamente en planes operacionales estableciendo metas claras y concretas a corto plazo: y toma en consideracin:

Entrega & Soporte
Monitoreo
definicin de objetivos de negocio y necesidades de TI inventario de soluciones tecnolgicas e infraestructura actual servicios de vigilancia tecnolgica21 cambios organizacionales estudios de factibilidad oportunos evaluacin de sistemas existentes

g ap ente lic ac tec ione s n ins olog tal a ac ion da es tos
21
Vigilancia tecnolgica (technology watch)
36
Y TECNOLOGAS AFINES
PO 1
DEFINIR UN PLAN ESTRATGICO DE TECNOLOGA DE INFORMACIN
OBJETIVOS DE CONTROL 1 2 3 4 5 6 Tecnologa de Informacin como parte del Plan a largo y corto plazo Plan a largo plazo de Tecnologa de Informacin Plan a largo plazo de Tecnologa de Informacin - Enfoque y Estructura Cambios al Plan a largo plazo de Tecnologa de Informacin Planeacin a corto plazo para la Funcin de Servicios de Informacin Evaluacin de los sistemas existentes
TANTO LOS OBJETIVOS DE CONTROL DETALLADOS COMO LOS DE ALTO NIVEL SON AUDITADOS MEDIANTE: La obtencin de un entendimiento a travs de:
Entrevistas:
Director General Director de Operaciones Director de Finanzas Director de TI Miembros del comit planeador de la funcin de servicios de informacin. Presidencia y personal de recursos humanos de la funcin de servicios de informacin
Obteniendo:
Polticas y procedimientos inherentes al proceso de planeacin. Tareas y responsabilidades de planeacin de la Presidencia. Objetivos y planes a corto y largo plazo organizacionales. Objetivos y planes a corto y largo plazo de tecnologa de informacin. Reportes de estatus y minutas de las reuniones del comit planeador. Evaluar los controles::
Considerando s:
Las polticas y procedimientos de negocios de la funcin de servicios de informacin siguen un enfoque de planeacin estructurado. Se ha establecido una metodologa para formular y modificar los planes y que cubran, como mnimo: misin y las metas de la organizacin iniciativas de tecnologa de informacin para soportar la misin y las metas de la organizacin oportunidades para las iniciativas de tecnologa de informacin estudios de factibilidad de las iniciativas de tecnologa de informacin evaluacin de los riesgos de las iniciativas de tecnologa de informacin inversin ptima de las inversiones en tecnologa de informacin actuales y futuras reingeniera de las iniciativas de tecnologa de informacin para reflejar los cambios en la misin y las metas de la organizacin. evaluacin de las estrategias alternativas para las aplicaciones de datos, tecnologa y organizacin
AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL 37
COBIT
Los cambios organizacionales, la evolucin tecnolgica, los requerimientos regulatorios, la reingeniera de los procesos de negocios, las fuentes externas e internas, etc. estn siendo consideradas y dirigidas adecuadamente en el proceso de planeacin. Existen planes de tecnologa de informacin a corto y largo plazo, si stos son actuales, estn dirigidos adecuadamente a la empresa en general, si su misin y proyectos de tecnologa de informacin para las funciones clave de negocios estn soportados por la documentacin apropiada segn lo definido en la metodologa de planeacin de tecnologa de informacin. Existen puntos de revisin para asegurar que los objetivos de tecnologa de informacin y los planes a corto y largo plazo continan satisfaciendo los objetivos y los planes a corto y largo plazo organizacionales. Los propietarios de procesos y la Presidencia de los planes de tecnologa de informacin llevan a cabo revisiones y aprobaciones formales. El plan de la tecnologa de informacin evala los sistemas de informacin existentes en trminos del grado de automatizacin, funcionalidad, estabilidad, complejidad, costos, fortalezas y debilidades del negocio.
Evaluar la suficiencia:
8 Probando que: Las minutas de las reuniones del comit planeador de la funcin de servicios de informacin reflejan el proceso de planeacin. Los elementos entregables y liberables de la metodologa de planeacin existen segn lo indicado. Se incluyen iniciativas de tecnologa de informacin en los planes a corto y largo plazos de la funcin de servicios de informacin (por ejemplo, cambios de hardware, planeacin de capacidad, arquitectura de informacin, desarrollo u obtencin de nuevos sistemas, planeacin de recuperacin en caso de desastre, instalacin de plataformas para nuevos procesamientos, etc.). Las iniciativas de tecnologa de informacin soportan la investigacin, el entrenamiento, la asignacin de personal, las instalaciones, el hardware y el software. Se hayan identificado las implicaciones para las iniciativas de tecnologa de informacin Se haya tomado en consideracin la optimizacin de inversiones de tecnologa de informacin actuales y futuras Los planes a corto y largo plazo de tecnologa de informacin son consistentes con los planes a corto y largo plazo de la organizacin, as como con los requerimientos de sta. Se han modificado los planes para reflejar condiciones cambiantes. Los planes a largo plazo de tecnologa de informacin son traducidos peridicamente en planes a corto plazo. Existen tareas para implementar los planes.
38

Evaluar el riesgo de los objetivos de control no cumplidos: 8
Y TECNOLOGAS AFINES
Llevando a cabo: Mediciones ("Benchmarking") de planes estratgicos de tecnologa de informacin contra organizaciones similares o buenas prcticas industriales reconocidas/estndares internacionales apropiados. Una revisin detallada de los planes de TI para asegurar que las iniciativas de tecnologa de informacin reflejen la misin y las metas de la organizacin. Una revisin detallada de los planes de TI para determinar si, como parte de las soluciones de tecnologa de informacin contenidas en los planes, se han identificado reas de debilidad dentro de la organizacin que requieren ser mejoradas. Identificando: Fallas en la tecnologa de informacin para satisfacer la misin y las metas de la organizacin. Fallas en la tecnologa de informacin para concordar los planes a corto y largo plazo. Fallas en la tecnologa de informacin para satisfacer planes a corto plazo. Fallas en la tecnologa de informacin para satisfacer lineamientos de costos y tiempos. Oportunidades de negocios no aprovechadas. Oportunidades de tecnologa de informacin no aprovechadas.
39
COBIT
efe cti v efi idad c co ie nfi nc de ia nc int ialid eg ad dis rid po ad n cu ibili m da p d co limie nfi nt ab o ilid ad
Control sobre el proceso de TI de: Definicin de la Arquitectura de Informacin que satisface los requerimientos de negocio de: organizar de la mejor manera los sistemas de informacin se hace posible a travs de: la creacin y mantenimiento de un modelo de informacin de negocios y asegurando que se definan sistemas apropiados para optimizar la utilizacin de esta informacin y toma en consideracin:

Entrega & Soporte
Monitoreo
documentacin diccionario de datos reglas de sintaxis de datos propiedad de la informacin y clasificacin de severidad22

22
Severidad (criticality)
40
Y TECNOLOGAS AFINES
PO 2
DEFINICIN DE LA ARQUITECTURA DE INFORMACIN
OBJETIVOS DE CONTROL 1 2 3 4 Modelo de la Arquitectura de Informacin Diccionario de Datos y Reglas de Sintaxis de Datos de la Corporacin Esquema de Clasificacin de Datos Niveles de Seguridad
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL:
La obtencin de un entendimiento a travs de:
Entrevistas:
Director de TI Miembros del comit planeador de la funcin de servicios de informacin. Presidencia de la funcin de servicios de informacin. Funcionario de Seguridad
Obteniendo:
Polticas y procedimientos sobre la arquitectura de informacin. Modelo de la arquitectura de informacin. Documentos que soporten el modelo de la arquitectura de informacin, incluyendo el modelo de datos corporativo. Diccionario de datos corporativo Poltica de propiedad de datos Funciones y responsabilidades de planeacin de la Presidencia.Objetivos y planes a corto y largo plazo de tecnologa de informacin Reporte de estatus y minutas de las reuniones del comit planeador Evaluar los controles::
Considerando s:
Las polticas y procedimientos de la funcin de los servicios de informacin dirigen el desarrollo y mantenimiento del diccionario de datos. El proceso utilizado para actualizar el modelo de la arquitectura de informacin toma como base los planes a corto y largo plazo, considera los costos y riesgos asociados y asegura que las aprobaciones formales de la Presidencia sean obtenidas antes de hacer modificaciones al modelo. Se utiliza algn proceso para mantener actualizados el diccionario de datos y las reglas de sintaxis de datos. Se utiliza algn medio para distribuir el diccionario de datos para asegurar que ste sea accesible para las reas de desarrollo y que los cambios sean reflejados inmediatamente.
41
COBIT
Las polticas y procedimientos de la funcin de servicios de informacin dirigen la clasificacin de los datos, incluyendo categoras de seguridad y propiedad de datos, y si las reglas de acceso para las clases de datos estn claras y apropiadamente definidas. Los estndares definen la clasificacin "default" para los activos de datos que no contienen un identificador de clasificacin. Las polticas y procedimientos de la funcin de servicios de informacin dirigen lo siguiente: la existencia de un proceso de autorizacin que requiera que el propietario de los datos (tal como lo define la poltica de propiedad de datos) autorice todos los accesos a stos datos, as como los atributos de seguridad de los mismos. los niveles de seguridad estn definidos para cada clasificacin de datos. los niveles de acceso estn definidos y sean apropiados para la clasificacin de datos. el acceso a datos delicados requiera de niveles de acceso explcitos y que los datos sean nicamente proporcionados si existe una verdadera necesidad de acceder a ellos. Evaluar la suficiencia: 8 Probando que: Estn identificados los cambios realizados al modelo de arquitectura de informacin para confirmar que dichos cambios reflejan la informacin de los planes a largo y corto plazo, as como los costos y los riesgos. La evaluacin del impacto de cualquier modificacin realizada al diccionario de datos y cualquier cambio realizado al diccionario de datos para asegurar que stos han sido comunicados efectivamente. Varios sistemas de aplicacin operacional y proyectos de desarrollo para confirmar que el diccionario de datos es utilizado para la definicin de datos. La adecuacin de la documentacin del diccionario de datos para confirmar que ste define los atributos de datos y los niveles de seguridad para cada elemento de datos. La propiedad de la clasificacin de datos, de los niveles de seguridad, de los niveles de acceso y "defaults". Cada clasificacin de datos defina claramente: quin puede tener acceso quin es responsable de determinar el nivel de acceso apropiado la aprobacin especfica requerida para el acceso los requerimientos especiales para el acceso (por ejemplo, acuerdo de confidencialidad) Evaluar el riesgo de los objetivos de control no cumplidos: 8 Llevando a cabo: Mediciones ("Benchmarking") del modelo de arquitectura de informacin contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas. Una revisin detallada del diccionario de datos para asegurar que es completo en lo referente a elementos clave. Una revisin detallada de los niveles de seguridad definidos para datos delicados, con el fin de verificar que se haya obtenido la autorizacin apropiada para el acceso y que el acceso sea consistente con los niveles de seguridad definidos en las polticas y procedimientos de la funcin de servicios de informacin.
42
Y TECNOLOGAS AFINES
8 Identificando: Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el diccionario de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto plazo de tecnologa de informacin. Elementos obsoletos en el diccionario de datos corporativo y reglas de sintaxis de datos en las que se haya perdido tiempo debido a cambios realizados inadecuadamente al diccionario de datos. Elementos de datos en los que la propiedad no haya sido claramente y/o apropiadamente determinada Clases de datos que hayan sido definidos de manera no apropiada. Niveles de seguridad de datos inconsistentes con la regla de "necesidad de acceso" ("need to know").
43
COBIT
PLANEACION Y ORGANIZACION
PO3

Entrega & Soporte
Control sobre el proceso de TI de: determinacin de la direccin tecnolgica que satisface los requerimientos de negocio de: aprovechar la tecnologa disponible o tecnologa emergente se hace posible a travs de: la creacin y mantenimiento de un plan de infraestructura tecnolgica y toma en consideracin:
capacidad de adecuacin y evolucin de la inMonitoreo
fraestructura actual
monitoreo de desarrollos tecnolgicos contingencias planes de adquisicin

44 DIRECTRICES DE AUDITORA
Y TECNOLOGAS AFINES
PO 3
DETERMINACIN DE LA DIRECCIN TECNOLGICA
OBJETIVOS DE CONTROL
1 2 3 4 5 Planeacin de la Infraestructura Tecnolgica Monitoreo de Tendencias y Regulaciones Futuras Contingencias en la Infraestructura Tecnolgica Planes de Adquisicin de Hardware y Software Estndares de Tecnologa
La obtencin de un entendimiento a travs de: 8 Entrevistas: Director General Director de Operaciones Director de Finanzas Director de TI Miembros del comit planeador de la funcin de servicios de informacin Presidencia de la funcin de servicios de informacin Obteniendo: Polticas y procedimientos relacionados con la planeacin y el monitoreo de la infraestructura tecnolgica. Tareas y responsabilidades de planeacin de la Presidencia. Objetivos y planes a largo y corto plazo de la organizacin. Objetivos y planes a largo y corto plazo de tecnologa de informacin. Plan de adquisicin de hardware y software de tecnologa de informacin. Plan de infraestructura tecnolgica. Estndares de tecnologa. Reportes de estatus y minutas de las reuniones del comit planeador.
Evaluar los controles:: 8 Considerando s: Existe un proceso para la creacin y la actualizacin regular del plan de infraestructura tecnolgica para confirmar que los cambios propuestos estn siendo examinados primero para evaluar los costos y riesgos inherentes, y que la aprobacin de la Presidencia sea obtenida antes de realizar cualquier cambio al plan. El plan de infraestructura tecnolgica est siendo comparado contra los planes a largo y corto plazo de tecnologa de informacin. Existe un proceso para la evaluacin de la situacin tecnolgica actual de la organizacin para asegurar que abarca aspectos tales como arquitectura de sistemas, direccin tecnolgica y estrategias de migracin.
45
COBIT
La poltica y procedimientos de la funcin de los servicios de informacin aseguran la consideracin de la necesidad de evaluar y monitorear las tendencias y condiciones regulatorias tecnolgicas presentes y futuras, y si stas son tomadas en consideracin durante el desarrollo y mantenimiento del plan de infraestructura tecnolgica. Se planean el impacto logstico y ambiental de las adquisiciones tecnolgicas. Las polticas y procedimientos de la funcin de servicios de informacin aseguran que se considere la necesidad de evaluar sistemticamente el plan tecnolgico para aspectos de contingencia (por ejemplo, redundancia, resistencia, adecuacin y capacidad evolutiva de la infraestructura). La administracin de la funcin de los servicios de informacin evala tecnologas de vanguardia, e incorpora tecnologas apropiadas a la infraestructura de servicios de informacin actual. Los planes de adquisicin de hardware y software suelen satisfacer las necesidades identificadas en el plan de infraestructura tecnolgica y si stos son aprobados apropiadamente. Se encuentran establecidos los estndares de tecnologa para los componentes tecnolgicos descritos en el plan de infraestructura tecnolgica. Evaluar la suficiencia: 8 Probando que: La administracin de la funcin de servicios de informacin comprende y utiliza el plan de infraestructura tecnolgica. Se hayan realizado cambios al plan de infraestructura tecnolgica para identificar los costos y riesgos inherentes, y que dichos cambios reflejen las modificaciones a los planes a largo y corto plazo de tecnologa de informacin. La administracin de la funcin de servicios de informacin comprende el proceso de monitoreo y evaluacin de nuevas tecnologas, y que incorpora tecnologas apropiadas a la infraestructura de servicios de informacin actual. La administracin de la funcin de servicios de informacin comprende el proceso de evaluar sistemticamente el plan de tecnologa en cuanto a aspectos de contingencia (por ejemplo, redundancia, resistencia, adecuacin y capacidad evolutiva de la infraestructura). La existencia de un ambiente fsico de la funcin de servicios de informacin adecuado para alojar el hardware/ software actualmente instalado, as como nuevo hardware/software a ser aadido segn el plan de adquisiciones actual aprobado. El plan de adquisicin de hardware y software cumple con los planes a largo y corto plazo de tecnologa de informacin, reflejando las necesidades identificadas en el plan de infraestructura tecnolgica. El plan de infraestructura tecnolgica dirige la utilizacin de tecnologa actual y futura. Se cumpla con los estndares de tecnologa y que stos sean agregados e incorporados como parte del proceso de desarrollo. El acceso permitido sea consistente con los niveles de seguridad definidos en las polticas y procedimientos de la funcin de servicios de informacin, y que se haya obtenido la autorizacin apropiada para el acceso.
46
Y TECNOLOGAS AFINES
Evaluar el riesgo de los objetivos de control no cumplidos:
8 Llevando a cabo: Mediciones ("Benchmarking") de la planeacin de infraestructura tecnolgica contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas. Una revisin detallada del diccionario de datos para verificar que es completo en lo referente a elementos clave. Una revisin detallada de los niveles de seguridad definidos para datos delicados. 8 Identificando: Inconsistencias en el modelo de arquitectura de informacin y en el modelo de datos corporativo, en el diccionario de datos corporativo, en los sistemas de informacin asociados y en los planes a largo y corto plazo de tecnologa de informacin. Elementos de diccionario de datos y reglas de sintaxis de datos obsoletos. Aspectos de contingencia no considerados en el plan de infraestructura tecnolgica. Planes de adquisicin de hardware y software de tecnologa de informacin que no reflejen las necesidades de plan de infraestructura tecnolgica. Estndares de tecnologa que no sean consistentes con el plan de infraestructura tecnolgica o con los planes de adquisicin de hardware y software de tecnologa de informacin. Un plan de infraestructura tecnolgica o planes de adquisicin de hardware y software de tecnologa de informacin que no sean consistentes con los estndares de tecnologa. Elementos clave omitidos en el diccionario de datos.
47
COBIT

Entrega & Soporte
Control sobre el proceso de TI de: definicin de la organizacin y de las relaciones de TI que satisface los requerimientos de negocio de: prestacin de servicios de TI se hace posible a travs de: una organizacin conveniente en nmero y habilidades, con tareas y responsabilidades definidas y comunicadas y toma en consideracin:
comit de direccin responsabilidades a nivel de alta gerencia o del Monitoreo
consejo propiedad, custodia supervisin segregacin de funciones roles y responsabilidades descripcin de puestos niveles de asignacin de personal personal clave

Y TECNOLOGAS AFINES
PO 4
DEFINICIN DE LA ORGANIZACIN Y DE LAS DEFINICIONES DE TI
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Comit de planeacin o direccin de la funcin de servicios de informacin Ubicacin de los servicios de informacin en la organizacin Revisin de Logros Organizacionales Funciones y Responsabilidades Responsabilidad del aseguramiento de calidad Responsabilidad de la Seguridad Lgica y Fsica Propiedad y Custodia Propiedad de Datos y Sistemas Supervisin Segregacin de Funciones Asignacin de Personal para Tecnologa de Informacin Descripcin de Puestos para el Personal de la Funcin de Servicios de Informacin Personal Clave de Tecnologa de Informacin Procedimientos para personal por contrato Relaciones
La obtencin de un entendimiento a travs de: 8 Entrevistas: Director General Director de Operaciones Director de Finanzas Director de TI Oficial de Aseguramiento de Calidad Oficial de Seguridad de Informacin Miembros del comit planeador de la funcin de servicios de informacin, recursos humanos y Presidencia. Obteniendo: Funciones y responsabilidades de planeacin de la Presidencia. Objetivos y planes a largo y corto plazo organizacionales. Objetivos y planes a largo y corto plazo de tecnologa de informacin. Organigrama organizacional que muestre la relacin entre la funcin de servicios de informacin y otras funciones. Polticas y procedimientos relacionadas con la organizacin y las relaciones de tecnologa de informacin. Polticas y procedimientos relacionados con el aseguramiento de la calidad. Polticas y procedimientos utilizados para determinar los requerimientos de asignacin de personal de la funcin de servicios de informacin.Organigrama organizacional de la funcin de servicios de informacin.
49
COBIT
Funciones y responsabilidades de la funcin de servicios de informacin. Descripcin de los puestos clave de la funcin de servicios de informacin. Reportes de estatus y minutas de las reuniones del comit de planeacin. Evaluar los controles:: 8 Considerando s: Las polticas y los comunicados de la Presidencia aseguran la independencia y la autoridad de la funcin de los servicios de informacin. Se han definido e identificado la calidad de miembro, las funciones y las responsabilidades del comit de planeacin de la funcin de servicios de informacin. Los estatutos del comit de planeacin de la funcin de servicios de informacin alinean las metas del comit con los objetivos y los planes a largo y corto plazo de la organizacin y con los objetivos y planes a largo y corto plazo de tecnologa de informacin. Se han establecido procesos para incrementar el conocimiento la conciencia, la comprensin y la habilidad para identificar y resolver problemas de administracin de la informacin. Las polticas consideran la necesidad de evaluar y modificar la estructura organizacional para satisfacer objetivos y circunstancias cambiantes. Existen procesos e indicadores de desempeo para determinar la efectividad y aceptacin de la funcin de servicios de informacin. La Presidencia se asegura que las funciones y responsabilidades estn siendo llevadas a cabo. Existen polticas que determinen las funciones y responsabilidades para todo el personal dentro de la organizacin con respecto a sistemas de informacin, control y seguridad internos. Existen campaas regulares para incrementar la conciencia y disciplina en cuanto al control y la seguridad interna. Existen polticas y funciones de aseguramiento de la calidad. La funcin de aseguramiento de la calidad cuenta con la independencia suficiente con respecto al personal de desarrollo de sistemas y con una asignacin de personal y experiencia adecuados para llevar a cabo sus responsabilidades. Existen procedimientos establecidos dentro del aseguramiento de la calidad para calendarizar recursos y asegurar el cumplimiento de las pruebas y aprobacin del aseguramiento de la calidad antes de que se implementen nuevos sistemas o cambios a los sistemas. La Gerencia ha asignado formalmente la responsabilidad a lo largo de toda la organizacin para la formalicen de polticas y procedimientos de control y seguridad internos (tanto lgicos como fsicos) a algn funcionario de seguridad de la informacin. El funcionario de seguridad de la informacin comprende adecuadamente las funciones y responsabilidades y si stas han mostrado consistencia con respecto a la poltica de seguridad de la informacin de la organizacin. La poltica de seguridad de la organizacin define claramente las responsabilidades sobre la seguridad de la informacin que cada propietario de activos (por ejemplo, usuarios, administracin y administradores de seguridad) debe llevar a cabo. Existen polticas y procedimientos que cubran datos y propiedad de sistemas para todas las fuentes de datos y sistemas ms importantes. Existen procedimientos para revisar y mantener cambios en la propiedad de los datos y los sistemas regularmente. Existen polticas y procedimientos que describan las prcticas de supervisin para asegurar que las funciones y responsabilidades sean ejercidas apropiadamente y que todo el personal cuente con suficiente autoridad y recursos para llevar a cabo sus funciones y responsabilidades.
50
Y TECNOLOGAS AFINES
Existe una segregacin de funciones entre los siguientes pares de unidades: desarrollo y mantenimiento de sistemas desarrollo y operaciones de sistemas desarrollo/mantenimiento de sistemas y seguridad de la informacin. operaciones y control de datos operaciones y usuarios operaciones y seguridad de la informacin La asignacin de personal y la competencia de la funcin de servicios de informacin es mantenida para asegurar su habilidad para proporcionar soluciones tecnolgicas efectivas. Existen polticas y procedimientos para la evaluacin y revalidacin de las descripciones de puestos de la funcin de servicios de informacin. Existen funciones y responsabilidades para procesos clave, incluyendo actividades del ciclo de vida de desarrollo de sistemas (requerimientos, diseo, desarrollo, pruebas), seguridad de la informacin, adquisicin y planeacin de capacidad. Se utilizan indicadores clave de desempeo y/o factores crticos de xito al medir los resultados de la funcin de servicios de informacin en el logro de objetivos organizacionales. Existen polticas y procedimientos en la funcin de servicios de informacin para controlar las actividades de consultores y dems personal por contrato, asegurando as la proteccin de los activos de la organizacin. Existen procedimientos aplicables a tecnologa de informacin por contrato que sean adecuados y consistentes con las polticas de adquisicin organizacionales. Existen procesos para coordinar, comunicar y documentar los intereses dentro y fuera del directorio de la funcin de servicios de informacin. Evaluar la suficiencia: 8 Probando que: El comit planeador de la funcin de servicios de informacin vigila a la funcin de servicios de informacin y sus actividades. La propiedad de la jerarqua de reporte para la funcin de servicios de informacin. La efectividad de la localizacin de la funcin de servicios de informacin dentro de la organizacin en cuanto a facilitar una relacin de sociedad con la alta Gerencia. La Presidencia de la funcin de servicios de informacin comprenda cules son los procesos utilizados para monitorear, medir y reportar el desempeo de la funcin de servicios de informacin. La utilizacin de indicadores clave para evaluar el desempeo. Los procesos para analizar los resultados reales contra los niveles meta, con el fin de determinar las acciones correctivas realizadas cuando los resultados reales no alcanzan los niveles meta. Las acciones realizadas por la administracin en cuanto a cualquier variacin significativa con respecto a los niveles esperados de desempeo. La administracin de usuarios/propietarios evala la capacidad de respuesta y la habilidad de la funcin de servicios de informacin para proporcionar soluciones de tecnologa de informacin que satisfagan las necesidades de usuarios/propietarios. La Gerencia de la funcin de servicios de informacin conoce sus funciones y responsabilidades.
51
COBIT
Aseguramiento de la calidad se involucre en la prueba y aprobacin de los planes de proyectos de la funcin de servicios de informacin. El personal de seguridad de la informacin revisa los sistemas operativos y los sistemas de aplicacin esenciales. La adecuacin de los reportes o documentacin de la funcin de seguridad de la informacin al evaluar la seguridad de la informacin (tanto lgica como fsica) ya existente o en desarrollo. Existe suficiente conocimiento, conciencia y una aplicacin consistente de las polticas y procedimientos de seguridad de la informacin. El personal asiste a los entrenamientos de seguridad y control interno. La propiedad de los datos y sistemas se encuentra definida para todos los activos de informacin. Los propietarios de datos y sistemas hayan aprobado los cambios realizados a dichos datos y sistemas. Todos los datos y sistemas cuentan con un propietario o custodio que sea responsable del nivel de control sobre los datos y sistemas. El acceso a todos los activos de datos y sistemas es aprobado por el/los propietario(s) de los activos. La lnea directa de autoridad y supervisin asociada con el puesto est en conformidad con las responsabilidades del beneficiado. Las descripciones de puestos delinean claramente tanto la autoridad como la responsabilidad. Las descripciones de puestos describen claramente las aptitudes de negocios, relaciones y tcnicas requeridas. Las descripciones de puestos hayan sido comunicadas con precisin y hayan sido comprendidas por el personal. Las descripciones de puestos para la funcin de servicios de informacin contienen indicadores clave de desempeo que han sido comunicados al personal. Las funciones y responsabilidades del personal de la funcin de servicios de informacin corresponden tanto a las descripciones de puestos publicadas como al organigrama. Existan descripciones de puestos para las posiciones clave y que stas incluyan los mandatos de la organizacin relativos a sistemas de informacin, control y seguridad internos. La precisin de las descripciones de puestos comparadas contra las responsabilidades actuales de los encargados de dichas posiciones. La naturaleza y el alcance de la suficiencia de la segregacin de funciones deseada y de las limitaciones de funciones dentro de la funcin de servicios de informacin. El mantenimiento de la competencia del personal de tecnologa de informacin. La propiedad de las descripciones de puestos como base para la adecuacin y la claridad de las responsabilidades, autoridad y criterios de desempeo. Las responsabilidades de administracin por contrato hayan sido asignadas al personal apropiado. Los trminos de los contratos sean consistentes con los estndares normales para contratos de la organizacin y que los trminos y condiciones contractuales estndar hayan sido revisados y evaluados por un consultor legal, cuyo acuerdo haya sido obtenido. Los contratos contienen clusulas apropiadas con respecto al cumplimiento de: polticas de seguridad corporativa y control interno y estndares de tecnologa de informacin. Existen procesos y/o estructuras que garantizan una coordinacin efectiva y eficiente para lograr relaciones exitosas.
52
Y TECNOLOGAS AFINES
Evaluar el riesgo de los objetivos de control no cumplidos: 8 Llevando a cabo: Mediciones ("Benchmarking") de la organizacin y de las relaciones contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas por la industria apropiadas. Una revisin detallada para determinar el impacto sobre la organizacin causada por un comit de planeacin de la funcin de servicios de informacin no efectivo. Una revisin detallada para medir el progreso de la funcin de servicios de informacin al tratar con problemas de sistemas de informacin e implementar soluciones tecnolgicas. Una revisin detallada para evaluar la estructura organizacional, las aptitudes del personal, las funciones y responsabilidades asignadas, la propiedad de datos y sistemas, supervisin, segregacin de funciones, etc. Una revisin detallada de la funcin de aseguramiento de la calidad para determinar su efectividad en la satisfaccin de los requerimientos de la organizacin. Una revisin detallada de la funcin de seguridad de la informacin para determinar su efectividad para proporcionar seguridad general en la organizacin (tanto lgica como fsica) y entrenamiento de conocimiento y conciencia de seguridad. Una revisin detallada de una muestra de contratos para confirmar que stos hayan sido ejecutados apropiadamente por ambas partes y que cumplan con los trminos contractuales estndar de la organizacin. 8 Identificando: Debilidades en la funcin de servicios de informacin y sus actividades ocasionadas por una vigilancia no efectiva por parte del comit de planeacin de dicha funcin. Lagunas, traslapes, etc. en la estructura organizacional que traen como resultado ineficacia e ineficiencia en la funcin de servicios de informacin. Estructuras organizacionales inapropiadas, funciones faltantes, personal insuficiente, deficiencias en competencia, funciones y responsabilidades no apropiadas, confusin en la propiedad de datos y sistemas, problemas de supervisin, falta de segregacin de funciones, etc. Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de aseguramiento de la calidad. Sistemas en proceso de desarrollo, modificados o implementados que cumplen con los requerimientos de seguridad (lgica, fsica, o ambos). Contratos que no cumplen con los requerimientos contractuales de la organizacin. Coordinacin y comunicacin no efectivas entre la funcin de servicios de informacin y otros intereses dentro y fuera de esta funcin.
53
COBIT

Entrega & Soporte
Control sobre el proceso de TI de: Manejo de la inversin que satisface los requerimientos de negocio de: asegurar el financiamiento y el control de desembolsos de recursos financieros se hace posible a travs de: presupuestos peridicos sobre inversiones y operacin establecidos y aprobados por el negocio y toma en consideracin:
Monitoreo
alternativas de financiamiento control del gasto real justificacin de costos justificacin del beneficio

Y TECNOLOGAS AFINES
PO 5
MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
1 2 3 Presupuesto Operativo Anual para la Funcin de Servicios de Informacin Monitoreo de Costos Justificacin de Costos
La obtencin de un entendimiento a travs de: 8 Entrevistas: Director de Finanzas Director de TI Miembros del comit de planeacin de la funcin de servicios de informacin Presidencia de la funcin de servicios de informacin 8 Obteniendo: Polticas, mtodos y procedimientos organizacionales relacionados con la elaboracin del presupuesto y las actividades de costeo. Polticas y procedimientos de la funcin de servicios de informacin relacionadas con la elaboracin del presupuesto y las actividades de costeo. Presupuesto operativo actual y del ao inmediato anterior para la funcin de servicios de informacin. Objetivos y planes organizacionales a corto y largo plazo. Objetivos y planes a corto y largo plazo de tecnologa de informacin. Funciones y responsabilidades de planeacin de la Presidencia. Reportes de variaciones y otros comunicados relacionados con el control y monitoreo de variaciones. Reportes de estatus y minutas de las reuniones del comit de planeacin. Evaluar los controles:: 8 Considerando s: El proceso de elaboracin del presupuesto de la funcin de servicios de informacin es consistente con el proceso de la organizacin. Existen polticas y procedimientos para asegurar la preparacin y la aprobacin adecuada de un presupuesto operativo anual para la funcin de servicios de informacin, que sea consistente con el presupuesto y los planes a corto y largo plazo de la organizacin y los planes a corto y largo plazo de tecnologa de informacin. El proceso de elaboracin del presupuesto est vinculado con la administracin de las unidades ms importantes de la funcin de servicios de informacin que contribuyen a su preparacin. Existen polticas y procedimientos para monitorear regularmente los costos reales y compararlos con los costos proyectados y si los costos reales tienen como base el sistema de contabilidad de costos de la organizacin. Existen polticas y procedimientos para garantizar que la entrega y liberacin de servicios por parte de la funcin de servicios de informacin se justifican en cuanto a costos y estn en lnea con los costos de la industria.
COBIT
Evaluar la suficiencia: 8 Probando que: El soporte en el presupuesto de la funcin de servicios de informacin es el adecuado para justificar el plan operativo anual de dicha funcin. Las categoras de gastos de la funcin de servicios de informacin son suficientes, apropiadas y han sido clasificadas adecuadamente. El sistema para registrar, procesar y reportar los costos asociados con las actividades de la funcin de servicios de informacin en forma rutinaria es adecuado. El proceso de monitoreo de costos compara adecuadamente los costos reales contra los presupuestados. Los anlisis costo/beneficio llevados a cabo por la administracin de los grupos de usuarios afectados, la funcin de servicios de informacin y la Presidencia de la organizacin son revisados adecuadamente. Las herramientas utilizadas para monitorear los costos son usadas efectiva y apropiadamente. Evaluar el riesgo de los objetivos de control no cumplidos: 8 Llevando a cabo: Mediciones ("Benchmarking") de presupuestos y costos contra organizaciones y buenas prcticas reconocidas en la industria/estndares internacionales apropiados. Una revisin detallada del presupuesto actual y del ao inmediato anterior contra los resultados reales, variaciones y acciones correctivas aplicadas. Identificando: Presupuestos de la funcin de sistemas de informacin que no estn en lnea con el presupuesto y los planes a corto y largo plazo de la organizacin y con los planes a corto y largo plazo de tecnologa de informacin. Los costos reales de la funcin de servicios de informacin que no hayan sido capturados
56
Y TECNOLOGAS AFINES
57
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: comunicacin de la direccin y aspiraciones de la gerencia que satisface los requerimientos de negocio de: asegurar el conocimiento y comprensin del usuario sobre dichas aspiraciones se hace posible a travs de: polticas establecidas y transmitidas a la comunidad de usuarios; adems, se necesita estndares para traducir las opciones estratgicas en reglas de usuario prcticas y utilizables y toma en consideracin:
Monitoreo
cdigo de tica / conducta directrices tecnolgicas cumplimiento compromiso con la calidad polticas de seguridad polticas de control interno

Y TECNOLOGAS AFINES
PO 6
MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN
OBJETIVOS DE CONTROL 1 2 3 4 5 6 7 8 9 10 11 Ambiente Positivo de Control de la Informacin Responsabilidad de la Gerencia en cuanto a Polticas Comunicacin de las Polticas de la Organizacin Recursos para la Implementacin de Polticas Mantenimiento de Polticas Cumplimiento de Polticas, Procedimientos y Estndares Compromiso con la Calidad Poltica sobre el Marco Referencial para la Seguridad y el Control Interno Derechos de la Propiedad Intelectual Polticas para Situaciones Especficas Comunicacin de la Sensibilizacin de Seguridad de la TI
La obtencin de un entendimiento a travs de: 8 Entrevistas: Director General Director de Operaciones Director de Finanzas Director de TI Funcionario de Seguridad Miembros del comit de planeacin de la funcin de servicios de informacin Presidencia de la funcin de servicios de informacin 8 Obteniendo: Polticas y procedimientos relacionados con el marco referencial de control positivo y el programa de conocimiento y conciencia de la administracin, con el marco referencial de seguridad y control interno y con el programa de calidad de la funcin de servicios de informacin. Las funciones y responsabilidades de planeacin de la Presidencia. Objetivos y planes a corto y largo plazo organizacionales.. Objetivos y planes a corto y largo plazo de tecnologa de informacin. Reportes de estatus y minutas de las reuniones del comit de planeacin. Un programa de comunicacin.
59
COBIT
Las polticas y procedimientos de la organizacin crean un marco referencial y un programa de conocimiento y conciencia, prestando atencin especfica a la tecnologa de informacin, propiciando un ambiente de control positivo y considerando aspectos como: Integridad valores ticos cdigo de conducta seguridad y control interno competencia del personal filosofa y estilo operativo de la administracin responsabilidad, atencin y direccin proporcionadas por el consejo directivo o su equivalente La alta gerencia promueve un ambiente de control positivo a travs del ejemplo. La administracin ha aceptado la responsabilidad total sobre la formulacin, el desarrollo, la documentacin, la promulgacin, el control y la revisin regular de las polticas que rigen las metas y directivas generales. Existe un programa de conocimiento y conciencia formal para proporcionar comunicacin y entrenamiento relacionados con el ambiente positivo de control de la administracin. Existen polticas y procedimientos organizacionales para asegurar que los recursos adecuados y apropiados son asignados para implementar las polticas de la organizacin de manera oportuna. Existen procedimientos apropiados para asegurar que el personal comprende las polticas y procedimientos implementados, y que se cumple con dichas polticas y procedimientos. Las polticas y procedimientos de la funcin de servicios de informacin definen, documentan y mantienen una filosofa, polticas y objetivos formales que rigen la calidad de los sistemas y servicios producidos, y que stos son consistentes con la filosofa, polticas y objetivos de la organizacin. La administracin de la funcin de servicios de informacin asegura que la calidad de la filosofa, las polticas y objetivos sea comprendida, implementada y mantenida a todos los niveles de la funcin de servicios de informacin. Existen procedimientos que consideren la necesidad de revisar y aprobar peridicamente estndares, directivas, polticas y procedimientos clave relacionados con tecnologa de informacin. La Presidencia ha aceptado la responsabilidad total sobre el desarrollo de un marco referencial para el enfoque general de seguridad y control interno. El documento del marco referencial de seguridad y control interno especifica la poltica, propsito, objetivos, estructura administrativa, alcance dentro de la organizacin, asignacin de responsabilidades y definicin de sanciones y acciones disciplinarias de seguridad y control interno asociados con la falta de cumplimiento de las polticas de seguridad y control interno. Las polticas de seguridad y control interno identifican el proceso de control interno de la organizacin e incluye componentes de control tales como: ambiente de control reevaluacin de riesgos actividades de control informacin y comunicacin monitoreo Existen polticas para asuntos especiales para documentar las decisiones administrativas sobre actividades, aplicaciones, sistemas y tecnologas particulares. Evaluar los controles: 8 Probando que: Los esfuerzos de la administracin para fomentar un control positivo cubren los aspectos clave tales como: integridad, valores ticos, cdigo de conducta, seguridad y control interno, competencia del personal, filosofa y estilo operativo de la administracin, y responsabilidad, atencin y direccin proporcionados. Los empleados han recibido el cdigo de conducta y que lo comprenden. Se da el proceso de comunicacin de las polticas de la administracin relacionadas con el ambiente de control interno de la organizacin.
60
Y TECNOLOGAS AFINES
Existe el compromiso de la administracin en cuanto a los recursos para formular, desarrollar, documentar, promulgar y controlar polticas que cubren el ambiente de control interno. La propiedad y habilidad para adaptarse a condiciones cambiantes de las revisiones regulares de estndares, directivas, polticas y procedimientos por parte de la administracin. Los esfuerzos de monitoreo de la administracin aseguran la asignacin adecuada y apropiada de recursos para implementar las polticas de la organizacin de manera oportuna. Los esfuerzos de reforzamiento por parte de la administracin con respecto a los estndares, directivas, polticas y procedimientos relacionados con su ambiente de control interno estn asegurando su cumplimiento a travs de toda la organizacin. La filosofa, polticas y objetivos de calidad determinan el cumplimiento y la consistencia con la filosofa, polticas y procedimientos corporativos y de la funcin de servicios de informacin. La administracin de la funcin de servicios de informacin y el personal de desarrollo y operaciones determinan la filosofa de calidad y su poltica relacionada, y que los procedimientos y objetivos son comprendidos y cumplidos por todos los niveles dentro de la funcin de servicios de informacin. Los procesos de medicin aseguran que los objetivos de la organizacin sean alcanzados. Miembros seleccionados de la administracin estn involucrados y comprenden el contenido de las actividades de seguridad y control interno (por ejemplo, reportes de excepcin, conciliaciones, comparaciones, etc.) bajo su responsabilidad. Las funciones individuales, las responsabilidades y lneas de autoridad se comunican claramente y se comprenden en todos los niveles de la organizacin. Los departamentos seleccionados evalan procedimientos para monitorear en forma rutinaria actividades de seguridad y control interno (por ejemplo, reportes de excepcin, conciliaciones, comparaciones, etc.) y que se da en proceso para proporcionar retroalimentacin a la administracin. La documentacin del sistema seleccionado confirma que las decisiones administrativas del sistema especfico han sido documentadas y aprobadas de acuerdo con las polticas y procedimientos organizacionales. La documentacin del sistema seleccionado confirma que las decisiones administrativas con respecto a actividades, sistemas de aplicacin o tecnologas particulares han sido aprobadas por la Presidencia. Evaluar el riesgo de los objetivos de control no cumplidos: 8 Llevando a cabo: Mediciones ("Benchmarking") del marco referencial de control de la informacin y del programa de conocimiento y conciencia de la administracin contra organizaciones similares o estndares internacionales/buenas prcticas de la industria reconocidas adecuadas. Una revisin detallada de una muestra de proyectos aprobados de seguridad y control interno para determinar que los proyectos fueron aprobados y tomaron como base un anlisis de riesgos y costo/beneficio. 8 Identificando: Un marco referencial de control dbil que ponga en duda el compromiso de la administracin en cuanto al fomento de un ambiente de control interno positivo a travs de la organizacin. Fallas en la administracin para comunicar efectivamente sus polticas relacionadas con el ambiente de control interno de la organizacin. Falta de recursos asignados para formular, desarrollar, documentar, promulgar y controlar polticas que cubran el ambiente de control interno. Estndares, directivas, polticas y procedimientos no actuales. Incumplimiento por parte de la administracin para asegurar el respeto a los estndares, directivas, polticas y procedimientos a travs de la organizacin. Deficiencias en la funcin de servicios de informacin en su compromiso con la calidad o en su habilidad para definir, documentar, mantener y comunicar efectivamente una filosofa, polticas y objetivos de calidad. Debilidades en el marco referencial de seguridad y control interno de la organizacin y/o en la funcin de servicios de informacin. Ausencia de polticas para asuntos especficos requeridas para dirigir actividades, aplicaciones y tecnologas particulares.
COBIT

Entrega & Soporte
Control sobre el proceso de TI de: administracin de recursos humanos que satisface los requerimientos de negocio de: maximizar las contribuciones del personal a los procesos de TI se hace posible a travs de: tcnicas slidas para administracin de personal y toma en consideracin:
Monitoreo
reclutamiento y promocin requerimientos de calificaciones capacitacin desarrollo de conciencia entrenamiento cruzado procedimientos de acreditacin evaluacin objetiva y medible del desempeo

Y TECNOLOGAS AFINES
PO 7
ADMINISTRACIN DE RECURSOS HUMANOS
1 2 3 4 5 6 7 Reclutamiento y Promocin de Personal Personal Calificado Entrenamiento de Personal Entrenamiento Cruzado o Personal de Respaldo Procedimientos de Acreditacin de Personal Evaluacin de Desempeo de los Empleados Cambio de Puesto y Despido
La obtencin de un entendimiento a travs de: 8 Entrevistas: Funcionario de Recursos Humanos de la Organizacin y personal seleccionado Funcionario de Seguridad Personal seleccionado de seguridad Administrador de la funcin de servicios de informacin Funcionario de Recursos Humanos de la funcin de servicios de informacin Administradores seleccionados de la funcin de servicios de informacin Personal seleccionado de la funcin de servicios de informacin Personal seleccionado asociado con posiciones sensibles en la funcin de servicios de informacin 8 Obteniendo: Polticas y procedimientos relacionadas con la administracin de recursos humanos Descripciones de puestos, formas de evaluacin del desempeo y formas de desarrollo y entrenamiento Expedientes de personal de posiciones y personal seleccionado Evaluar los controles: 8
Considerando s: Se utilizan criterios para reclutar y seleccionar personal para cubrir posiciones vacantes. Las especificaciones de las habilidades y conocimientos requeridos para las posiciones staff toman en consideracin requerimientos relevantes de profesionales cuando sea apropiado. La administracin y los empleados aceptan el proceso de competencia del puesto. Los programas de entrenamiento son consistentes con los requerimientos mnimos documentados de la organizacin relacionados con la educacin, el conocimiento y la conciencia generales que cubren los asuntos de seguridad de la informacin. La administracin est comprometida con el entrenamiento y el desarrollo profesional de sus empleados.
63
COBIT
Las brechas tcnicas y administrativas estn identificadas y si se estn llevando a cabo las acciones apropiadas para manejar estas brechas. Se dan los procesos de entrenamiento cruzado y respaldo de personal regularmente para las funciones de posiciones crticas. Considerando si, contina Se da reforzamiento la poltica de vacaciones ininterrumpidas. Si el proceso de liquidacin de seguridad de la organizacin es adecuado. Los empleados son evaluados tomando como base un conjunto estndar de perfiles de competencia para la posicin y si se llevan a cabo evaluaciones en forma peridica. Los procesos de despido y cambio de puesto aseguran la proteccin de los recursos de la organizacin. Las polticas y procedimientos de recursos humanos concuerdan con leyes y regulaciones aplicables. Evaluar la suficiencia: 8 Probando que: Las acciones de reclutamiento y/o seleccin, as como los criterios de seleccin reflejan objetividad y relevancia con respecto a los requerimientos de la posicin. El personal cuenta con los conocimientos adecuados de las operaciones para la funcin de su posicin o reas de responsabilidad. Existen descripciones de puestos, y que stas sean revisadas y se mantienen actualizadas. Los expedientes del personal contienen un reconocimiento del personal en cuanto a la comprensin del programa general de educacin, conciencia y conocimiento de la organizacin. Se de el proceso de entrenamiento y educacin continua para el personal apropiado asignado a funciones crticas. El personal de seguridad de la informacin ha recibido el entrenamiento apropiado en procedimientos y tcnicas de seguridad. La administracin y el personal de la funcin de servicios de informacin tienen conocimiento, conciencia y comprenden las polticas y procedimientos organizacionales. Los procedimientos de investigacin de despidos de seguridad son consistentes con leyes aplicables que rigen la confidencialidad. El conocimiento de los objetivos del negocio por parte del personal asignado a las funciones crticas de servicios de informacin incluye la filosofa de los controles internos y los conceptos de control y seguridad de sistemas de informacin.
Evaluar el riesgo de los objetivos de control no alcanzados:

8 Llevando a cabo: Mediciones ("Benchmarking") de las actividades de recursos humanos contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria adecuados. Una revisin detallada de las actividades de la administracin de recursos humanos de la funcin de servicios de informacin. 8 Identificando: Causas y objeciones/quejas por parte de candidatos al puesto potenciales/reales. Discrepancias en las actividades de reclutamiento, transferencia, promocin y despido relacionadas con:
64
Y TECNOLOGAS AFINES
polticas y procedimientos no seguidos acciones no aprobadas por parte de la administracin apropiada. acciones no basadas en especificaciones de puestos y calificacin del personal.
Personal: calificado no apropiadamente cuyas oportunidades de entrenamiento y desarrollo no estn ligadas a las brechas de competencia. cuyas evaluaciones de desempeo no existen o no dan soporte a la posicin ocupada y/o funciones llevadas a cabo. cuya investigacin de seguridad asociada con la contratacin no fue llevada a cabo. cuyas investigaciones peridicas de seguridad no han sido llevadas a cabo. Insuficiencias en los programas de entrenamiento y en las actividades de desarrollo personal. Insuficiencias en el entrenamiento cruzado y respaldo de personal clave. Reconocimientos de polticas de seguridad que no hayan sido firmados. Presupuestos y tiempos inadecuados asignados al entrenamiento y desarrollo del personal. Reportes de asistencia del personal que lleva a cabo funciones crticas que no indiquen que se han tomado das de asueto y vacaciones.
65
COBIT
Entrega & Soporte
Control sobre el proceso de TI de:

Monitoreo
aseguramiento del cumplimiento de requerimientos externos que satisface los requerimientos de negocio de: cumplir con obligaciones legales, regulatorias y contractuales se hace posible a travs de: la identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI, y llevando a cabo las medidas apropiadas para cumplir con ellos y toma en consideracin:

66

leyes, regulaciones, contratos monitoreo de evoluciones legales y regulatorios revisiones regulares en cuanto a cambios bsqueda de asistencia legal y modificaciones seguridad y ergonoma privacidad propiedad intelectual flujo de datos

Y TECNOLOGAS AFINES
PO 8
ASEGURAMIENTO DEL CUMPLIMIENTO DE REQUERIMIENTOS EXTERNOS
1 2 3 4 5 6 Revisin de Requerimientos Externos Prcticas y Procedimientos para el Cumplimiento de Requerimientos Externos Cumplimiento de los Estndares de Seguridad y Ergonoma Confidencialidad y Flujo de Datos Comercio Electrnico Cumplimiento con los Contratos de Seguros
Comprender a travs de:

8 Entrevistas: Consejo legal de la organizacin Funcionario de Recursos Humanos de la Organizacin Presidencia de la funcin de servicios de informacin 8 Obteniendo: Requerimientos relevantes gubernamentales o externos (por ejemplo, leyes, legislaciones, guas, regulaciones y estndares) con respecto a relaciones y revisiones de requerimientos externos, aspectos de seguridad y salud (incluyendo ergonoma), aspectos de confidencialidad, requerimientos de seguridad de sistemas de informacin y transmisin de datos criptogrficos - tanto nacional como internacional. 'Estndares/declaraciones contables nacionales o internacionales relacionadas con el uso de comercio electrnico Reglamentos sobre impuestos relacionados con el uso de comercio electrnico Estndares, polticas y procedimientos sobre: revisiones de requerimientos externos seguridad y salud (incluyendo ergonoma) confidencialidad seguridad clasificacin de sensibilidad de datos ingresados, procesados, almacenados, extrados y transmitidos comercio electrnico seguros Copias de todos los contratos con socios de intercambio electrnico y con el proveedor de intercambio electrnico de datos (EDI), si aplica Copias de todos los contratos de seguros relacionados con la funcin de servicios de informacin Orientacin del consejo legal sobre los requerimientos "uberrimae fidei" (de buena fe) para los contratos de seguros (Uberrimae fidei requiere que ambas partes divulguen completamente a la otra todo lo relacionado con el riesgo. En caso de no mostrarse buena fe en este sentido, el contrato ser anulable por la parte agraviada y no podr se puesto en vigor nuevamente por la parte culpable). Reportes de auditora de auditores externos, proveedores de servicios como terceras partes y dependencias gubernamentales.
COBIT
Evaluar los controles:
8 Considerando s:
Existen polticas y procedimientos para: asegurar las acciones correctivas apropiadas relacionadas con la revisin oportuna de los requerimientos externos y si existen procedimientos para asegurar un cumplimiento continuo. coordinar la revisin de los requerimientos externos, con el fin de asegurar que se aplican oportunamente las acciones correctivas que garantizan el cumplimiento de los requerimientos externos. dirigir proteccin apropiada, as como objetivos de seguridad y salud. asegurar que se proporcionan entrenamiento y educacin en seguridad y salud apropiadamente a todos los empleados. monitorear el cumplimiento de las leyes y regulaciones aplicables de seguridad y salud. proporcionar la direccin/enfoque adecuados sobre confidencialidad de tal manera que todos los requerimientos legales caigan dentro de este alcance. informar a los aseguradores acerca de todos los cambios materiales realizados al ambiente de la funcin de servicios de informacin. asegurar el cumplimiento con los requerimientos de los contratos de seguros asegurar que se lleven a cabo las actualizaciones necesarias cuando de inicia un contrato de seguros nuevo/ modificado. Los procedimientos de seguridad van de acuerdo con todos los requerimientos legales y si stos estn siendo tomados en cuenta adecuadamente, incluyendo: proteccin con "passwords" o contraseas y software para limitar el acceso procedimientos de autorizacin medidas de seguridad de terminales medidas de encriptamiento de datos controles contra incendios proteccin contra virus seguimiento oportuno de reportes de violaciones Evaluar la suficiencia: 8 Probando que: Las revisiones de los requerimientos externos: son actuales, completos y suficientes en cuanto a aspectos legales, gubernamentales y regulatorios traen como resultado una pronta accin correctiva Las revisiones de seguridad y salud son llevadas a cabo dentro de la funcin de servicios de informacin para asegurar el cumplimiento de los requerimientos externos Las reas problemticas que no cumplan con los estndares de seguridad y salud sean rectificadas El cumplimiento de la funcin de servicios de informacin en cuanto las polticas y procedimientos de confidencialidad y seguridad. Los datos transmitidos a travs de las fronteras internacionales no violan las leyes de exportacin Los contratos existentes con los proveedores de comercio electrnico consideren adecuadamente los requerimientos
68
Y TECNOLOGAS AFINES
especificados en las polticas y procedimientos organizacionales Los contratos de seguros existentes consideren adecuadamente los requerimientos especificados en las polticas y procedimientos organizacionales En donde se hayan impuesto lmites regulatorios a los tipos de encriptamiento que pueden ser utilizados (por ejemplo, la longitud de la llave), la encriptamiento aplicada cumpla con las regulaciones En donde las regulaciones o procedimientos internos requieran la proteccin y/o encriptamiento especial de ciertos elementos de datos (por ejemplo, nmeros PIN bancarios, Nmeros de expedientes de Impuestos, de Inteligencia Militar), dicha proteccin/encriptamiento sea proporcionada a estos datos. Los procesos EDI reales desplegados por la organizacin aseguran el cumplimiento con las polticas y procedimientos organizacionales y con los contratos individuales del socio de comercio electrnico (y del proveedor EDI, en caso de aplicar)

8 Llevando a cabo: Mediciones ("Benchmarking") del cumplimiento de los requerimientos externos, actividades EDI y requerimientos de contratos de seguros contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiados Una revisin detallada de los archivos de requerimientos externos para asegurar que se han llevado a cabo acciones correctivas, o bien, que estn siendo implementadas Una revisin detallada de los reportes de seguridad para evaluar si la informacin sensible/confidencial (definida como tal por procedimientos internos o por regulaciones externas) est siendo protegida apropiadamente en cuanto a seguridad y confidencialidad Identificando: Requerimientos externos que no hayan sido cumplidos por la organizacin Acciones significativas no resueltas/no corregidas en respuesta a las revisiones de requerimientos externos Riesgos de seguridad y salud (incluyendo ergonoma) en el ambiente de trabajo que no hayan sido considerados Debilidades en la confidencialidad y la seguridad relacionadas con flujos de datos y/o flujo de datos internacional Interrupciones en el comercio electrnico Debilidades en los contratos con socios comerciales relacionadas con procesos de comunicacin, mensajes de transaccin, seguridad y/o almacenamiento de datos Debilidades en las relaciones de confianza con socios comerciales Debilidades/equivocaciones en la cobertura del seguro Incumplimientos de los trminos del contrato
69
COBIT

Entrega & Soporte
Control sobre el proceso de TI de: evaluacin de riesgos que satisface los requerimientos de negocio de: asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de servicios de TI se hace posible a travs de: la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisis de impacto, tomando medidas econmicas para mitigar los riesgos y toma en consideracin:
diferentes tipos de riesgos de TI (por ejemplo: Monitoreo
tecnolgicos, de seguridad, de continuidad, regulatorios, etc.) alcance: global o de sistemas especficos actualizacin de evaluacin de riegos metodologa de evaluacin de riesgos medicin de riesgos cualitativos y/o cuantitativos plan de accin de riesgos

70
Y TECNOLOGAS AFINES
PO 9
EVALUACIN DE RIESGOS
1 2 3 4 5 6 Evaluacin del Riesgo del Negocio Enfoque de Evaluacin de Riesgos Identificacin de Riesgos Medicin de Riesgos Plan de Accin contra Riesgos Aceptacin de Riesgos
LOS OBJETIVOS DE CONTROL TANTO DETALLADOS COMO DE ALTO NIVEL SON AUDITADOS AL: Comprender a travs de:
8 Entrevistas: Presidencia de la funcin de servicios de informacin Personal seleccionado de la funcin de servicios de informacin Personal seleccionado de manejo de riesgos 8 Obteniendo: Polticas y procedimientos relacionados con la evaluacin de riesgos Documentos de evaluacin de riesgos del negocio Documentos de evaluacin de riesgos operativos Documentos de evaluacin de riesgos de la funcin de servicios de informacin Detalles de la base sobre la cual se miden los riesgos y la exposicin a los riesgos Expedientes de personal para personal seleccionado de evaluacin de riesgos Polticas de seguros que cubren el riesgo residual Evaluar los controles: 8
Considerando s: Existe un marco referencial para la evaluacin sistemtica de riesgos, incorporando los riesgos de informacin relevantes para el logro de los objetivos de la organizacin y formando una base para determinar la forma en la que los riesgos deben ser manejados a un nivel aceptable. El enfoque de evaluacin de riesgos asegura la evaluacin actualizada regular de riesgos tanto a nivel global como a nivel especfico de sistemas. Existen procedimientos de evaluacin de riesgos para determinar que los riesgos identificados incluyen factores tanto externos como internos y toman en consideracin los resultados de las auditoras, inspecciones, e incidentes identificados. Los objetivos de toda la organizacin estn incluidos en el proceso de identificacin de riesgos.
71
COBIT
Los procedimientos para el monitoreo de cambios en la actividad de procesamiento de sistemas determinan que los riesgos y exposicin de los sistemas son ajustados oportunamente. Existen procedimientos para el monitoreo y el mejoramiento continuos de la evaluacin de riesgos y controles de mitigacin. La documentacin de evaluacin de riesgos incluye: una descripcin de la metodologa de evaluacin de riesgos la identificacin de exposiciones significativas y los riesgos correspondientes los riesgos y exposiciones correspondientes considerados Se incluyen tcnicas de probabilidad, frecuencia y anlisis de amenazas en la identificacin de riesgos. El personal asignado a evaluacin de riesgos est adecuadamente calificado Existe un enfoque cuantitativo y/o cualitativo (o combinado) formal para la identificacin y medicin de riesgos, amenazas y exposiciones. Se utilizan clculos y otros mtodos en la medicin de riesgos, amenazas y exposiciones El plan de accin contra riesgos es utilizado en la implementacin de medidas apropiadas para mitigar los riesgos, amenazas y exposiciones. La aceptacin del riesgo residual toma en cuenta: la poltica organizacional la identificacin y medicin de riesgos la incertidumbre inherente al enfoque de evaluacin de riesgos mismo el costo y la efectividad de implementar salvaguardas y controles La cobertura de los seguros compensan el riesgo residual Evaluar la suficiencia: 8 Probando que: Se cumple con el marco referencial de evaluacin de riesgos en cuanto a que las evaluaciones de riesgos con actualizadas regularmente para reducir el riesgo a un nivel aceptable. La documentacin de evaluacin de riesgos cumple con el marco referencial de evaluacin de riesgos y es mantenido y preparado apropiadamente. La administracin y el personal de la funcin de servicios de informacin tienen conocimiento y conciencia y estn involucrados en el proceso de evaluacin de riesgos La administracin comprende los factores relacionados con los riesgos y la probabilidad de amenazas El personal relevante comprende y acepta formalmente el riesgo residual Los reportes emitidos a la Presidencia para su revisin y acuerdo con los riesgos identificados y utilizacin en el monitoreo de actividades de reduccin de riesgos sean oportunos El enfoque utilizado para analizar los riesgos traiga como resultado una medicin cuantitativa o cualitativa (o combinada) de la exposicin al riesgo Los riesgos, amenazas y exposiciones identificados por la administracin y atributos relacionados con los riesgos sean utilizados para detectar cada ocurrencia de una amenaza especfica. El plan de accin contra riesgos es actual e incluye controles econmicos y medidas de seguridad para mitigar la exposicin al riesgo
72
Y TECNOLOGAS AFINES
Existen prioridades desde la ms alta hasta la ms baja, y que existe una respuesta apropiada para cada riesgo: control planeado preventivo de mitigacin. control secundario detectivo control terciario correctivo Los escenarios de riesgo versus control estn documentados, son actuales y son comunicados al personal apropiado Existe suficiente cobertura de seguros con respecto al riesgo residual aceptado y que ste es considerado contra varios escenarios de amenaza, incluyendo: incendio, inundaciones, terremotos, tornados, terrorismo y otros desastres naturales no predecibles violaciones a las responsabilidades fiduciarias del empleado interrupcin del negocio, ganancias perdidas, clientes perdidos, etc. otros riesgos no cubiertos generalmente por la tecnologa de informacin y planes de riesgo/continuidad del negocio

8 Llevando a cabo: Mediciones ("Benchmarking") del marco referencial de evaluacin de riesgos contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiados Una revisin detallada del enfoque de evaluacin de riesgos utilizado para identificar, medir y mitigar los riesgos a un nivel aceptable de riesgo residual 8 Identificando: Riesgos no identificados Riesgos que no hayan sido medidos Riesgos no considerados/manejados a un nivel aceptable Evaluaciones de riesgos obsoletos y/o evaluaciones de informacin en riesgo obsoleta Medidas incorrectas cuantitativas y/o cualitativas de riesgos, amenazas y exposiciones Planes de accin contra riesgos que no aseguren controles econmicos y medidas de seguridad Falta de aceptacin formal del riesgo residual Cobertura de seguros inadecuada
73
COBIT

Entrega & Soporte
Control sobre el proceso de TI de: administracin de proyectos que satisface los requerimientos de negocio de: establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversin se hace posible a travs de: identificacin y priorizacin de los proyectos en lnea con el plan operacional por parte de la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas de administracin de proyectos para cada proyecto emprendido y toma en consideracin:
la propiedad de los proyectos el involucramiento de los usuarios la estructuracin jerrquica de tareas y los pun Monitoreo
tos de revisin asignacin de responsabilidades aprobacin de fases y proyecto presupuestos de costos y horas hombre planes y metodologa de aseguramiento de calidad

74
Y TECNOLOGAS AFINES
PO 10
ADMINISTRACIN DE PROYECTOS
1 2 3 4 5 6 7 8 9 10 11 12 13 Marco Referencial para la Administracin de Proyectos Participacin del Departamento Usuario en la Iniciacin de Proyectos Miembros y Responsabilidades del Equipo del Proyecto Definicin del Proyecto Aprobacin del Proyecto Aprobacin de las Fases del Proyecto Plan Maestro del Proyecto Plan de Aseguramiento de la Calidad de Sistemas Planeacin de Mtodos de Aseguramiento Manejo Formal de Riesgos de Proyectos Plan de Prueba Plan de Entrenamiento Plan de Revisin Post-Implementacin
8 Entrevistas: Administrados de Calidad de la Organizacin Administrador/Coordinador de Calidad de Proyectos Propietarios/patrocinadores del Proyecto Lder del equipo del Proyecto Coordinador de Aseguramiento de Calidad Funcionario de Seguridad Miembros del comit de planeacin de la funcin de servicios de informacin Administracin de la funcin de servicios de informacin 8 Obteniendo: Polticas y procedimientos relacionados con el marco referencial de administracin de proyectos Polticas y procedimientos relacionados con la metodologa de administracin de proyectos Polticas y procedimientos relacionados con los planes de aseguramiento de la calidad Polticas y procedimientos relacionados con los mtodos de aseguramiento de la calidad Plan Maestro del Proyecto de Software (Software Project Master Plan (SPMP)) Plan de Aseguramiento de la Calidad del Software (Software Quality Assurance Plan (SQAP)) Reportes de estatus del proyecto Reportes de estatus y minutas de las reuniones del comit de planeacin Reportes de Calidad del Proyecto
75
COBIT
Evaluar los controles: 8 Considerando s: El marco referencial de administracin de proyectos: define el alcance y los lmites para la administracin de proyectos asegura que las demandas del proyecto sean revisadas en cuanto a su consistencia con el plan operativo aprobado y si los proyectos son priorizados de acuerdo con este plan define la metodologa de administracin de proyectos a ser adoptada y aplicada en cada proyecto emprendido, incluyendo: planeacin del proyecto asignacin de personal asignacin de responsabilidades y autoridad distribucin de tareas presupuestos de tiempo y recursos puntos de revisin puntos de verificacin aprobaciones suficiencia y actualizacin asegura la participacin de la administracin del departamento usuario afectado (propietario/patrocinador) en la definicin y autorizacin de un proyecto de desarrollo, implementacin o modificacin especifica la base sobre la cual los miembros del personal son asignados a los proyectos define las responsabilidades y la autoridad de los miembros del equipo del proyecto asegura la creacin de estatutos claros por escrito que definan la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre el mismo proporciona un documento inicial de definicin del proyecto que incluya estatutos claros sobre la naturaleza y alcance del proyecto incluye las siguientes razones para llevar a cabo el proyecto, entre ellas: una definicin del problema a ser resuelto o del proceso a ser mejorado una definicin de la necesidad del proyecto expresada en trminos de incrementar la habilidad de la organizacin para alcanzar metas un anlisis de las deficiencias en sistemas relevantes existentes las oportunidades que se abriran al incrementar la eficiencia y hacer ms econmica la operacin el control interno y la necesidad de seguridad que seria satisfecha por los proyectos considera la manera en la que los estudios de factibilidad de los proyectos propuestos deben ser preparados y aprobados por la Presidencia, incluyendo: el ambiente del proyecto - hardware, software, telecomunicaciones el alcance del proyecto - lo que este incluir y excluir en la primera implementacin y en las subsecuentes las limitaciones del proyecto - lo que debe retenerse durante este proyecto, an cuando las oportunidades de mejora a corto plazo parezcan obvias los beneficios y costos a ser realizados por el patrocinador o propietario/patrocinador del proyecto delinea la manera en la que cada fase del proceso de desarrollo (por ejemplo, preparacin de estudios de factibilidad, definicin de requerimientos, diseo del sistema, etc.) debe ser aprobada antes de proceder a la si-
76
Y TECNOLOGAS AFINES
guiente fase del proyecto (por ejemplo, programacin, pruebas del sistema, pruebas de transacciones, pruebas en paralelo, etc.) requiere el desarrollo de un SPMP para cada proyecto y especifica la manera en la que el control deber ser mantenido a travs de la vida del proyecto, as como perodos (puntos de revisin) y presupuestos del mismo cumple con el estndar organizacional para SPMPs o, en caso de no existir ste, con algn otro estndar apropiado requiere el desarrollo de un SQAP para cada proyecto, asegura que ste se encuentre integrado con el SPMP y que sea revisado y acordado formalmente por todas las partes involucradas delinea la manera en la que el programa de manejo formal de riesgos del proyecto elimina o minimiza los riesgos relacionados con el mismo asegura el desarrollo de un plan de pruebas para cada proyecto de desarrollo, implementacin y modificacin asegura el desarrollo de un plan adecuado para el entrenamiento de personal propietario/patrocinador y de las funciones de servicios de informacin para cada proyecto de desarrollo, implementacin y modificacin Se monitores y reportan a la Presidencia los puntos de revisin y compra de software, compra de hardware, programacin por contrato, actualizaciones de redes, etc.) Los puntos de revisin y costos que excedan los montos y tiempos presupuestados requieren la aprobacin de la administracin apropiada de la organizacin SQAP cumple con el estndar organizacional para SQAPs, o en caso de no existir ste, con los criterios seleccionados anteriormente Las tareas de aseguramiento SQAP soportan la acreditacin de sistemas nuevos o modificados y aseguran que los estatutos de control interno y seguridad cumplen con los requerimientos Todos los propietarios/patrocinadores del proyecto han comentado sobre el SPMP y el SQAP y estn de acuerdo sobre los elementos entregables y liberables finales. El proceso de post-implementacin es una parte integral del marco referencial de la administracin del proyecto para asegurar que los sistemas de informacin nuevos o modificados han aportado los beneficios planeados Evaluar la suficiencia: 8 Probando que: La metodologa de administracin de proyectos y todos los requerimientos fueron seguidos con consistencia La metodologa de administracin de proyectos fue comunicada a todo el personal apropiado involucrado en el proyecto La definicin escrita de la naturaleza y alcance del proyecto concuerda con un patrn estndar La naturaleza y alcance del involucramiento del propietario/patrocinador en la definicin y autorizacin del proyecto, as como la conformidad con el involucramiento esperado del propietario/patrocinador segn lo estipulado por el marco referencial de administracin de proyectos La asignacin de los miembros del personal al proyecto y la definicin de responsabilidades y autoridad de los miembros del equipo del proyecto sean respetadas Existe evidencia de una definicin por escrito clara de la naturaleza y alcance del proyecto antes de comenzar a trabajar sobre el mismo Se ha aprobado y preparado un estudio de factibilidad Se obtienen las aprobaciones por parte de la administracin de la funcin de sistemas de informacin y de los propietarios / patrocinadores para cada fase del proyecto de desarrollo Cada fase del proyecto es completada y que se obtienen las aprobaciones apropiadas segn los requerimientos del SPMP Se han desarrollado y aprobado el SPMP y el SQAP de acuerdo con el marco referencial de la administracin de proyectos
COBIT
El SPMP y el SQAP son suficientemente especficos y detallados Las actividades/reportes obligatorios identificados han sido realmente ejecutados/producidos (por ejemplo, que se han llevado a cabo reuniones del Comit Ejecutivo de Planeacin, reuniones para el proyecto o similares, que se han registrado minutas de las reuniones y que stas han sido distribuidas a las partes relevantes, que se preparan y distribuyen reportes a las partes relevantes) Se ha desarrollado y aprobado un plan de pruebas de acuerdo con el marco referencial de administracin de proyectos y que ste es suficientemente especfico y detallado Las actividades/reportes obligatorios identificados en le plan de pruebas han sido realmente ejecutados/producidos Existen criterios de acreditacin utilizados para el proyecto y que stos: se derivan de metas e indicadores de desempeo se derivan de requerimientos cuantitativos acordados aseguran que los requerimientos de control interno y seguridad son satisfechos estn relacionados con el "Qu" esencial versus el "cmo" arbitrario definen un proceso formal de aprobacin/no aprobacin son capaces de una demostracin objetiva dentro de un perodo de tiempo limitado no redefinen simplemente los requerimientos de los documentos de diseo Le programa de manejo de riesgos ha sido utilizado para identificar y eliminar o por lo menos minimizar los riesgos relacionados con el proyecto Se ha cumplido con el plan de pruebas, que los propietarios/patrocinadores, as como las funciones de programacin y aseguramiento de la calidad, han creado revisiones de las pruebas, y que se ha cumplido con un proceso de aprobacin segn lo esperado Se ha preparado un plan para el entrenamiento del personal de las funciones de servicios de informacin y para los propietarios/patrocinadores, que ste ha dado el tiempo suficiente para completar las actividades de entrenamiento requeridas, y que ha sido utilizado para el proyecto Se ha cumplido y seguido un plan de revisin post-implementacin para el proyecto

8 Llevando a cabo: Mediciones ("Benchmarking ") del marco referencial de administracin de proyectos contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Una revisin detallada de: el plan maestro del proyecto para determinar el alcance de la participacin del propietario/patrocinador y la adecuacin del proceso general para definir, autorizar y ejecutar el proyecto, incluyendo: definicin de las funciones del sistema factibilidad, dadas la limitaciones del proyecto determinacin de los costos y beneficios del sistema propiedad de los controles del sistema impacto e integracin en otros sistemas propietarios/patrocinadores compromiso de recursos (de personal y econmicos) por parte del propietario/patrocinador definicin de responsabilidades y autoridad de los participantes en el proyecto criterios de aceptacin deseables y alcanzables puntos de revisin y verificacin en la autorizacin de las diferentes fases del proyecto
78
Y TECNOLOGAS AFINES
elaboracin de grficas de Gantt, bitcoras de problemas, resmenes de reuniones, etc. en la administracin del proyecto reportes de calidad para determinar si existen problemas sistemticos en el proceso de planeacin de aseguramiento de la calidad de sistemas en la organizacin el programa de manejo formal de riesgos del proyecto para determinar si se han identificado y eliminado, o por lo menos minimizado los riesgos. la ejecucin del plan de pruebas para determinar que ste prob completamente todo el proyecto de desarrollo, implementacin o modificacin del sistema la ejecucin del plan de entrenamiento para determinar que ste ha preparado adecuadamente a propietarios/ patrocinadores y al personal de la funcin de servicios de informacin en el uso del sistema la revisin post-implementacin para determinar si los beneficios otorgados corresponden a los planeados
Identificando: Proyectos que: sean administrados inadecuadamente hayan excedido fechas claves hayan excedido costos sean obsoletos no hayan sido autorizados no sean tcnicamente factibles no sean econmicos no otorguen los beneficios planeados no contengan puntos de verificacin no sean aprobados en puntos de verificacin claves no hayan sido acreditados para implementacin no satisfagan los requerimientos de control interno y seguridad no eliminen o mitiguen los riesgos no hayan sido probados completamente necesitaran un entrenamiento no llevado a cabo o inadecuado para el sistema en proceso de implementacin no hayan contado con una revisin post-implementacin
79
COBIT

Entrega & Soporte
Control sobre el proceso de TI de: Administracin de calidad que satisface los requerimientos de negocio de: satisfacer los requerimientos del cliente se hace posible a travs de: la planeacin, implementacin y mantenimiento de estndares y sistemas de administracin de calidad por parte de la organizacin y toma en consideracin:
estructura del plan de calidad responsabilidades de aseguramiento de la caliMonitoreo
dad
metodologa del ciclo de vida de desarrollo de
sistemas
pruebas y documentacin de sistemas y progra-
mas
revisiones y reporte de aseguramiento de cali-
dad

Y TECNOLOGAS AFINES
PO 11
ADMINISTRACIN DE CALIDAD
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Plan General de Calidad Enfoque de Aseguramiento de Calidad Planeacin del Aseguramiento de Calidad Revisin del Aseguramiento de Calidad sobre el Cumplimiento de Estndares y Procedimientos de la Funcin de Servicios de Informacin Metodologa del Ciclo de Vida de Desarrollo de Sistemas Metodologa del Ciclo de Vida de Desarrollo de Sistemas par Cambios Mayores a la Tecnologa Actual Actualizacin de la Metodologa del Ciclo de Vida de Desarrollo de Sistemas Coordinacin y Comunicacin Marco Referencial de Adquisicin y Mantenimiento para la Infraestructura de Tecnologa Relaciones con Terceras Partes como Implementadores Estndares para la Documentacin de Programas Estndares para Pruebas de Programas Estndares para Pruebas de Sistemas Pruebas Piloto/En Paralelo Documentacin de las Pruebas del Sistema Evaluacin del Aseguramiento de la Calidad sobre el Cumplimiento de Estndares de Desarrollo Revisin del Aseguramiento de Calidad sobre el Logro de los Objetivos de la Funcin de Servicios de Informacin Reportes de Revisiones de Aseguramiento de la Calidad Reportes de Revisin de Aseguramiento de Calidad
8 Entrevistas: Director General Miembros del comit de planeacin de la funcin de servicios de informacin Director de TI Funcionario de Seguridad Administrador de la Calidad de la Organizacin Administrador de la Calidad de la Funcin de Servicios de Informacin Administracin de la funcin de servicios de informacin Propietarios/patrocinadores del sistema Obteniendo: Polticas y procedimientos relacionados con el aseguramiento de la calidad, el ciclo de vida del desarrollo de sistemas y la documentacin de sistemas Funciones y responsabilidades de planeacin de la Presidencia
81
COBIT
Plan estratgico, poltica de calidad, manual de calidad y plan de calidad de la organizacin del Plan estratgico, poltica de calidad, manual de calidad, plan de calidad y plan de administracin de la configuracin de la funcin de servicios de informacin Grficas de todas las funciones de aseguramiento de la calidad Minutas de las reuniones individuales de planeacin de la calidad Minutas de las reuniones convocadas para la revisin de la metodologa del ciclo de vida del desarrollo de sistemas Copias de las revisiones a la metodologa del ciclo de vida del desarrollo de sistemas Reportes de estatus y minutas de las reuniones del comit de planeacin Evaluar los controles: 8 Considerando s: El plan de calidad: toma como base los planes a corto y largo plazo de la organizacin fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo es completo y actual El plan de calidad de la funcin de servicios de informacin: toma como base el plan general de calidad de la organizacin y los planes a corto y largo plazo de tecnologa de informacin fomenta la filosofa de mejora continua y responde a las preguntas bsicas qu, quin y cmo es completo y actual Si el enfoque estndar de calidad existe, y si ste: es aplicable tanto a las actividades generales como a las especficas del proyecto es escalable y, de esta manera, aplicable a todos los proyectos es comprendido por todo el personal involucrado en un proyecto y en actividades de aseguramiento de la calidad fue aplicable a travs de todas las fases de un proyecto El enfoque estndar de aseguramiento de la calidad prescribe los tipos de actividades de aseguramiento de la calidad (y especifica revisiones, auditoras, inspecciones, etc.) a ser llevados a cabo para alcanzar los objetivos del plan general de calidad La planeacin de aseguramiento de la calidad prescribe el alcance y calendarizacin de las actividades de aseguramiento de la calidad Las revisiones de aseguramiento de la calidad evalan el cumplimiento general de los estndares, polticas y procedimientos de la funcin de servicios de informacin La Presidencia ha definido e implementado estndares, polticas y procedimientos de servicios de informacin, incluyendo una metodologa formal de ciclo de vida del desarrollo de sistemas adquirida, desarrollada internamente o una combinacin de ambas La metodologa del ciclo de vida del desarrollo de sistemas: rige el proceso de desarrollar, adquirir, implementar y mantener sistemas de informacin computarizados y tecnologa afn soporta y fomenta los esfuerzos de desarrollo/modificacin que cumplen con los planes a corto y largo plazos de la funcin de servicios de informacin y de la organizacin requiere un proceso de desarrollo y modificacin estructurado que contenga puntos de revisin en momentos clave de decisin, as como la autorizacin para proceder con el proyecto en cada punto de revisin es completa y actual
82
Y TECNOLOGAS AFINES
es capaz de ser adaptada/escalada para acoplarse a todos los tipos de desarrollo que ocurren dentro de la organizacin es aplicable a la creacin y mantenimiento tanto de software adquirido como desarrollado internamente cuenta con provisiones documentadas para cambios tecnolgicos ha construido un marco referencial general en cuanto a la adquisicin y mantenimiento de la infraestructura tecnolgica cuenta con pasos a seguir (tales como adquisicin, programacin, documentacin y pruebas, establecimiento de parmetros, y "applying fixes") que deben ser regidos por, y estar en lnea con el marco referencial de adquisicin y mantenimiento de la infraestructura tecnolgica fomenta la provisin de criterios para la aceptacin de terceras partes como implementadores, manejo de cambios, manejo de problemas, funciones participantes, instalaciones, herramientas y estndares y procedimientos de software requiere el mantenimiento de documentacin detallada de programacin y de sistemas (por ejemplo, diagramas de flujo, diagramas de flujo de datos, narrativas escritas de programacin, etc.), y que dichos requerimientos hayan sido comunicados a todo el personal involucrado requiere que la documentacin se mantenga actualizada al ocurrir cambios requiere la aplicacin de pruebas rigurosas y slidas de programas/sistemas define las circunstancias bajo las cuales deben conducirse pruebas piloto o en paralelo de sistemas nuevos o modificados requiere, como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas, que las pruebas sean verificadas, documentadas y retenidas en forma independiente El enfoque de aseguramiento de la calidad de la organizacin: requiere que se lleve a cabo una revisin post-implementacin para asegurar que todos los sistemas nuevos o modificados sean desarrollados y puestos en produccin de acuerdo con la metodologa del ciclo de vida del desarrollo de sistemas, mismo que debe ser respetado por el equipo del proyecto requiere una revisin de la medida en la que los sistemas nuevos o modificados han alcanzado los objetivos establecidos para ellos por la administracin trae como resultado reportes, los cuales propician el llevar a cabo el desarrollo de sistemas y las recomendaciones de efectividad para la administracin (tanto para los usuarios como para la funcin de servicios de informacin) como corresponda cuenta con recomendaciones a las que se les da seguimiento peridicamente y que son reportadas a los funcionarios de la Presidencia apropiados La administracin de la funcin de servicios de informacin de la Presidencia revisa y actualiza apropiadamente la metodologa del ciclo de vida del desarrollo de sistemas con regularidad para asegurar su suficiencia para tecnologa nueva y de desarrollo/modificacin Existe una variacin de niveles de control para los distintos tipos de proyectos de desarrollo y mantenimiento (por ejemplo, si los proyectos grandes reciben mayor control que los pequeos) El logro de una coordinacin y comunicacin estrecha a travs del ciclo de vida de desarrollo de sistemas entero se da entre los clientes de la funcin de servicios de informacin y los implementadores del sistema Existe un compromiso apropiado por parte de las diferentes funciones/personas dentro de la organizacin (por ejemplo, administracin de la funcin de servicios de informacin, funcionario de seguridad, personal legal, personal de aseguramiento de la calidad, personal de auditora, usuarios, etc.) Existen medidas para medir los resultados de las actividades, permitiendo una evaluacin sobre si se han logrado las metas de calidad
COBIT
Evaluar la suficiencia: 8 Probando que: Los procedimientos para el desarrollo del Plan de Calidad de la funcin de servicios de informacin incluyen las siguientes entradas: Planes a corto y largo plazo de la organizacin Planes a corto y largo plazo de la funcin de servicios de informacin Poltica de Calidad de la organizacin Poltica de Calidad de la funcin de servicios de informacin Plan de Calidad de la organizacin Plan de administracin de la configuracin de la funcin de servicios de informacin El Plan de Calidad de la funcin de servicios de informacin toma como base los planes a corto y largo plazo de la funcin de servicios de informacin, los cuales definen: los esfuerzos y/o adquisiciones de desarrollo de sistemas de aplicacin interfases con otros sistemas (internos y externos) la plataforma/infraestructura de la funcin de servicios de informacin requerida para soportar los sistemas e interfases los recursos (tanto financieros como humanos) para desarrollar/soportar el ambiente de la funcin de servicios de informacin planeado el entrenamiento requerido para desarrollar y soportar ambiente de la funcin de servicios de informacin planeado El Plan de Calidad de la funcin de servicios de informacin considera lo siguiente: en trminos medibles no ambiguos, el nivel planeado del servicio a ser otorgado a los clientes (internos o externos) en trminos medibles no ambiguos, los "outages" planeados mximos para cada sistema y plataforma las estadsticas de desempeo requeridas para monitorear los objetivos planeados de desempeo/"outage", incluyendo la manera en la que deben ser reportados y a quin deben ser distribuidos los procesos de monitoreo/revisin necesarios para asegurar el desarrollo/modificacin/transicin en el ambiente/ infraestructura de la funcin de servicios de informacin identificados en la funcin de servicios de informacin los planes a corto y largo plazo: estn correctamente planeados, monitoreados, probados, documentados, implementados y cuentan con el entrenamiento y los recursos necesarios los intervalos en los que el Plan de Calidad debe ser actualizado El personal de aseguramiento de la Calidad cumple consistentemente con el enfoque y el plan de aseguramiento de la calidad y otros procedimientos operativos establecidos La metodologa del ciclo de vida de desarrollo de sistemas asegura apropiadamente: controles suficientes durante el proceso de desarrollo para sistemas y tecnologas nuevas comunicacin con todos los empleados apropiados involucrados en el desarrollo y mantenimiento de sistemas se utilizan procedimientos para los cambios tecnolgicos se utilizan procedimientos para asegurar la aceptacin y aprobacin de los usuarios la adecuacin de los acuerdos de terceras partes como implementadores Los usuarios comprenden los controles y requerimientos de la metodologa del ciclo de vida del desarrollo de sistemas Los mecanismos de control de cambios dentro de la metodologa del ciclo de vida del desarrollo de sistemas permiten el llevar a cabo cambios a la metodologa y que sta es un documento "vivo"
84
Y TECNOLOGAS AFINES
El registro de las revisiones y modificaciones a la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin refleja los nuevos sistemas y tecnologas considerados actualmente y esperados en el futuro Los resultados completos de las pruebas de programas y sistemas (incluyendo resultados de pruebas en paralelo/piloto) son revisados y retenidos para pruebas futuras Existe un proceso para resolver problemas encontrados durante la pruebas Se ha llevado a cabo una revisin post-implementacin por parte del personal de aseguramiento de la calidad Los representantes del departamento usuario involucrados en los proyectos de desarrollo de sistemas estn satisfechos con el uso actual de la metodologa El personal de aseguramiento de la calidad comprende claramente su funcin dentro de la organizacin Se requiere el llevar a cabo una revisin de aseguramiento de la calidad subsecuente al trmino de todas las pruebas del sistema y de la revisin y aprobacin de los resultados de las pruebas por parte del personal de la administracin de la funcin de servicios de informacin apropiada, de aseguramiento de la calidad y de los usuarios La revisin de aseguramiento de la calidad trae como resultado acciones correctivas por parte de la administracin Se llevan a cabo revisiones post-implementacin, que los resultados son comunicados a la Presidencia y que se requieren planes de accin para las reas de implementacin con necesidad de mejoras. Los resultados de las mediciones de las metas de calidad, existen y se trabaja con ellos Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones ("Benchmarking") de la metodologa del ciclo de vida del desarrollo de sistemas contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Una revisin detallada de las medidas de desempeo incluidas en el Plan de Calidad y asegurar s stas: son alcanzables satisfacen los requerimientos/expectativas de la corporacin satisfacen los requerimientos/expectativas de los usuarios son medibles Una revisin detallada de una muestra de proyectos para asegurar que: se ha cumplido con la metodologa del ciclo de vida del desarrollo de sistemas toda adaptacin/escalamiento de la metodologa del ciclo de vida del desarrollo de sistemas es apropiada y ha sido aprobada se han obtenido aprobaciones en todos los puntos de revisin y por parte de todo el personal clave de control (por ejemplo, funcionario de seguridad de la funcin de servicios de informacin, personal de aseguramiento de la calidad, representantes de los usuarios, etc.) se han dado una coordinacin y comunicacin estrechas entre los usuarios de la funcin de servicios de informacin y los implementadores de sistemas (internos o terceras partes) se ha seguido el marco referencial para la adquisicin y el mantenimiento para la infraestructura tcnica, junto con cualquier paso relevante involucrado el desarrollo/las modificaciones fueron terminados satisfactoria y oportunamente se terminaron los reportes apropiados de aseguramiento de la calidad y se llevaron a cabo las acciones correctivas necesarias de manera oportuna Una revisin detallada de la manera en la que la documentacin de la programacin y los sistemas es preparada, revisada, aprobada y mantenida
85
COBIT
Una revisin detallada de la manera en la que las pruebas de programas y sistemas (incluyendo pruebas piloto/en paralelo) y la documentacin son preparadas, aprobadas y mantenidas Una revisin detallada del proceso de verificacin de post-implementacin de aseguramiento de la calidad para asegurar que los reportes consideran el cumplimiento de las provisiones del proceso del ciclo de vida del desarrollo de sistemas, as como los aspectos de efectividad y calidad de los sistemas nuevos/modificados 8 Identificando: Planes de calidad que no se relacionen con los planes a corto y largo plazo Instancias en la que no se utilice la metodologa del ciclo de vida del desarrollo de sistemas y aquellas situaciones de sobreutilizacin de la metodologa (por ejemplo demasiada estructura en proyectos pequeos, y no suficiente en proyectos mayores) Las instancias en las que la metodologa del ciclo de vida del desarrollo de sistemas haya sido utilizada inapropiadamente (por ejemplo, aplicar la metodologa del ciclo de vida del desarrollo de sistemas para desarrollos internos en la implementacin de un paquete de software "off-the-shelf", sin modificarla de manera correspondiente) Instancias en las que la coordinacin y la comunicacin entre el personal involucrado en el proceso del ciclo de vida del desarrollo de sistemas (incluyendo terceras partes como implementadores) sean pobres o inexistentes Instancias en las que los distintos pasos a seguir en la adquisicin y mantenimiento de la infraestructura de tecnologa (por ejemplo, adquisicin, programacin, documentacin y pruebas; establecimiento de parmetros; mantenimiento y "applying fixes") no hayan sido seguidas adecuadamente Situaciones en las que no exista documentacin de los programas y/o sistemas, en donde sta sea inadecuada o no est actualizada Instancias en las que las pruebas de programas y/o sistemas (incluyendo pruebas piloto/en paralelo) no hayan sido llevadas a cabo, hayan sido realizadas inadecuadamente y/o no hayan sido documentadas o hayan sido documentadas inadecuadamente Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad no hayan sido llevadas a cabo o hayan sido realizadas inadecuadamente Situaciones en las que las verificaciones de revisiones/post implementacin de aseguramiento de la calidad hayan sido ignoradas por la administracin y en las que se hayan implementado sistemas que no deberan haber sido implementados
86
Y TECNOLOGAS AFINES
ADQUISICIN & IMPLEMENTACIN
87
COBIT
ADQUISICION E IMPLEMENTACION AI1
Entrega & Soporte
Control sobre el proceso de TI de: Identificacin de soluciones que satisface los requerimientos de negocio de: asegurar el mejor enfoque para cumplir con los requerimientos del usuario se hace posible a travs de: un anlisis claro de las oportunidades alternativas comparadas contra los requerimientos de los usuarios y toma en consideracin:
definicin de requerimientos de informacin estudios de factibilidad ( de costo-beneficio, Monitoreo
alternativas, etc)
arquitectura de informacin seguridad con relacin de costo-beneficio
favorable
pistas de auditora contratacin de terceros aceptacin de instalaciones y tecnologa

88
Y TECNOLOGAS AFINES
AI 1
ADMINIIDENTIFICACIN DE SOLUCIONES
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Definicin de Requerimientos de Informacin Formulacin de Acciones Alternativas Formulacin de la Estrategia de Adquisicin Paquetes de Software de Aplicacin Estudio de Factibilidad Tecnolgica Estudio de Factibilidad Econmica Arquitectura de Informacin Reporte de Anlisis de Riesgos Controles Econmicos de Seguridad Diseo de Pistas de Auditora Ergonoma Seleccin del Software del Sistema Control de Abastecimiento Adquisicin de Productos de Software Mantenimiento de Software de Terceras Partes Contratos de Programacin de Aplicaciones Aceptacin de Instalaciones Aceptacin de Tecnologa
8 Entrevistas: Director de TI Funcionario de Seguridad Presidencia de la funcin de servicios de informacin Propietarios/patrocinadores del proyecto Administracin de contratos Obteniendo: Polticas y procedimientos relacionados con el ciclo de vida de desarrollo de sistemas y con la adquisicin de software Objetivos y planes a corto y largo plazo de tecnologa de informacin Documentacin seleccionada del proyecto, incluyendo definicin de requerimientos, anlisis de alternativas, estudios de factibilidad tecnolgica, estudios de factibilidad econmica, anlisis de modelos de datos de la empresa / arquitectura de informacin, anlisis de riesgos, estudios de economa sobre control/seguridad interna, anlisis de pistas de auditora, estudios ergonmicos, y planes de aceptacin y resultados de pruebas de instalaciones y tecnologa especfica Contratos seleccionados relacionados con la compra, desarrollo o mantenimiento de software
89
COBIT
Evaluar los controles: 8 Considerando s: Existen polticas y procedimientos que requieren que: los requerimientos de usuarios satisfechos por el sistema existente o a ser satisfechos por el nuevo sistema propuesto o modificado sean claramente definidos antes de la aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin los requerimientos de los usuarios sean revisados y aprobados por escrito por el propietario/patrocinador enterado antes de la aprobacin de cualquier proyecto de desarrollo, implementacin o modificacin los requerimientos operativos y funcionales de la solucin sean satisfechos incluyendo desempeo, seguridad, confiabilidad, compatibilidad y legislacin las soluciones alternativas a los requerimientos de los usuarios sean estudiadas y analizadas antes de seleccionar una u otra solucin de software se lleve a cabo la identificacin de paquetes de software comercial que satisfagan los requerimientos del usuario para un proyecto especfico de desarrollo o modificacin antes de tomar la decisin final las alternativas para la adquisicin de los productos de software estn claramente definidos en trminos de practicidad, internamente desarrollados, a travs del contacto o mejorar el software existente o una combinacin de todos los anteriores el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad tcnica para cada alternativa con el fin de satisfacer los requerimientos del usuario establecidos para el desarrollo de un proyecto de sistemas nuevo o modificado en cada proyecto de desarrollo, modificacin o implementacin de sistemas, se lleve a cabo un anlisis de los costos y los beneficios asociados con cada alternativa considerada para satisfacer los requerimientos del usuario el propietario/patrocinador enterado prepare, analice y apruebe un estudio de factibilidad econmica antes de tomar la decisin respecto a desarrollar o modificar un proyecto de sistemas nuevo o modificado propuesto se preste atencin al modelo de datos de la empresa mientras de identifica y analiza la factibilidad de las soluciones en cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto, se prepare y documente un anlisis de las amenazas a la seguridad, de las debilidades y los impactos potenciales y las salvaguardas factibles de seguridad y control interno para reducir o eliminar el riesgo identificado los costos y los beneficios de seguridad sean examinados cuidadosamente para garantizar que los costos de los controles no exceden los beneficios se obtenga una aprobacin formal del estudio costo/beneficio por parte de la administracin se requieran controles y pistas de auditora apropiados para ser aplicados en todos los sistemas modificados o nuevos propuestos durante la fase de diseo del proyecto las pistas de auditoria y los controles dan la posibilidad de proteger a los usuarios contra la identificacin o mal uso de su identidad por parte de otros usuarios (ej., ofreciendo anonimato, psedonimos, ausencia de vnculos y confidencialidad) cada proyecto de desarrollo, implementacin o modificacin de sistemas propuesto preste atencin a los problemas ergonmicos asociados con la introduccin de sistemas automatizados la administracin de la funcin de servicios de informacin identifique todos los programas de software de sistemas potenciales que satisfarn sus requerimientos operativos los productos sean revisados y probados antes de ser adquiridos y utilizados la compra de productos de software siga las polticas de adquisicin de la organizacin definiendo el marco referencial para la creacin de la solicitud de propuesta, la seleccin del proveedor de software y la negociacin del contrato. para el software con licencia adquirido de terceras partes, los proveedores cuenten con procedimientos apropiados para validar, proteger y mantener los derechos de integridad de los productos de software la adquisicin de servicios de programacin por contrato se justifique a travs de una requisicin de servicios por
Y TECNOLOGAS AFINES
escrito por parte de un miembro designado de la funcin de servicios de informacin se acuerde en el contrato con el proveedor un plan de aceptacin de las instalaciones y que dicho plan defina los procedimientos y criterios de aceptacin los productos finales de los servicios de programacin por contrato terminados sean revisados y probados de acuerdo con los estndares establecidos por el grupo de aseguramiento de la calidad de la funcin de servicios de informacin y otras partes interesadas antes de pagar por el trabajo realizado y aprobar el producto final se acuerde en el contrato con los proveedores un plan de aceptacin para tecnologa especfica, y que dicho plan defina los procedimientos y criterios de aceptacin la adquisicin de servicios de programacin por contrato sea justificada a travs de una requisicin por escrito de servicios por parte de un miembro designado de la funcin de servicios de informacin Se lleve a cabo un anlisis de riesgos en lnea con el marco referencial general de evaluacin de riesgos Existen los mecanismos para asignar o mantener los atributos de seguridad para la exportacin e importacin de datos, y para interpretarlos correctamente. La administracin haya desarrollado e implementado un enfoque de adquisicin central, que describa un conjunto comn de procedimientos y estndares a ser seguidos en la adquisicin de servicios de hardware, software y servicios de tecnologa de informacin Los contratos estipulen que el software, la documentacin y otros elementos entregables y liberables sean sujetos a pruebas y revisiones antes de ser aceptados Las pruebas incluidas en las especificaciones del contrato consisten en pruebas de sistema, pruebas de integracin, pruebas de hardware y componentes, pruebas de procedimientos, pruebas de carga y estrs, pruebas de afinacin y desempeo, pruebas de regresin, pruebas de aceptacin del usuario, y finalmente, pruebas piloto del sistema total para evitar cualquier falla inesperada del sistema Las pruebas de aceptacin de instalaciones son llevadas a cabo para garantizar que stas y el ambiente, satisfacen los requerimientos especificados en el contrato Las pruebas de aceptacin de tecnologa especfica deberan incluir inspeccin, pruebas de funcionalidad y de carga de trabajo Evaluar la suficiencia: 8 Probando que: Los requerimientos de los usuarios satisfechos por el sistema existente y a ser satisfechos por el sistema nuevo o modificado propuesto hayan sido claramente definidos, revisados y aprobados por escrito por parte del usuario enterado antes del desarrollo, implementacin o modificacin del proyecto Los requerimientos de las soluciones funcionales y operativas sean satisfechos incluyendo desempeo, seguridad, confiabilidad, compatibilidad y legislacin Todas las debilidades y deficiencias de procesamiento en el sistema existente hayan sido identificadas y sean tomadas en cuenta y resueltas completamente por el sistema nuevo o modificado propuesto Los cursos de accin alternativos que satisfarn los requerimientos de los usuarios, establecidos para un sistema nuevo o modificado propuesto, hayan sido analizados apropiadamente Los paquetes de software comercial que satisfagan las necesidades de un proyecto particular de desarrollo o modificacin de sistemas hayan sido identificados y considerados apropiadamente Todos los costos y beneficios identificables asociados con cada alternativa hayan sido soportados apropiadamente e incluidos como parte del estudio de factibilidad econmica requerido Se haya prestado atencin al modelo de datos de arquitectura de informacin/empresa al identificar y analizar su factibilidad El reporte de anlisis de riesgos en cuanto a amenazas a la seguridad, vulnerabilidades e impactos potenciales y las salvaguardas factibles de seguridad y control interno sea preciso, completo y suficiente
COBIT
Los problemas de seguridad y control interno hayan sido tomados en cuenta apropiadamente en la documentacin del diseo del sistema La aprobacin de la administracin en cuanto a que los controles existentes y planeados son suficientes y aportan beneficios apropiados comparados con los costos de compensacin Existen mecanismos disponibles para las pistas de auditora o que stos pueden ser desarrollados para la solucin identificada y seleccionada Se ha tomado en cuenta un diseo amigable al usuario para mejorar las habilidades finales de ste durante el diseo del sistema y el desarrollo de diseo de pantallas, formatos de reporte, instalaciones de ayuda en lnea, etc. Se han considerado aspectos ergonmicos durante el diseo y el desarrollo del sistema Se han incluido aspectos de desempeo de usuarios (por ejemplo, tiempo de respuesta del sistema, capacidades de carga/ descarga, y reportes "ad hoc") en las especificaciones de requerimientos del sistema antes de su diseo y desarrollo La identificacin de todos los programas de software de sistemas potenciales que satisfacen los requerimientos operativos La funcin de servicios de informacin cumpla con un conjunto comn de procedimientos y estndares en la adquisicin de hardware, software y servicios relacionados con tecnologa de informacin Los productos adquiridos sean revisados y probados antes de ser usados y costeados completamente El acuerdo de compra de software permite al usuario tener una copia del cdigo fuente el programa, si aplica Las actualizaciones, renovaciones de tecnologa y "fixes" son especificados en los documentos de adquisicin El mantenimiento de terceras partes incluye los requerimientos de validacin proteccin y mantenimiento de la integridad del producto de software El personal de programacin por contrato trabaja sujetndose al mismo nivel de pruebas, revisin y aprobaciones que se exige a los programadores propios de la organizacin La funcin de aseguramiento de la calidad de la organizacin es responsable de la revisin y aprobacin del trabajo llevado a cabo por los programadores por contrato La propiedad y suficiencia del plan de aceptacin de instalaciones, incluyendo los procedimientos y criterios de aceptacin La propiedad y suficiencia del plan especfico de aceptacin de tecnologa, incluyendo inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones ("Benchmarking:) de la identificacin de los requerimientos de los usuarios para lograr soluciones automatizadas contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Una revisin detallada de: la identificacin de soluciones automatizadas para satisfacer los requerimientos del usuario (incluyendo la definicin de requerimientos del usuario, formulacin de cursos de accin alternativos; identificacin de paquetes de software comercial y elaboracin de estudios de factibilidad de desempeo tecnolgico, de factibilidad econmica, de arquitectura de informacin y de anlisis de riesgos) la seguridad, los controles internos (incluyendo la consideracin de diseos amigables al usuario, ergonoma, etc.) y las pistas de auditora disponibles o "desarrollables" para la solucin identificada y seleccionada la seleccin e implementacin del software del sistema las polticas y procedimientos existentes de adquisicin de software para la adecuacin y el cumplimiento del control interno de la organizacin la manera en la que se administra el mantenimiento de terceras partes
92
Y TECNOLOGAS AFINES
la manera en la que la programacin de aplicacin por contrato ha sido monitoreada y administrada la identificacin de todo lo especificado en el contrato por parte de la administracin de la funcin de servicios de informacin el proceso de aceptacin de tecnologa especfica para asegurar que las inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo satisfacen los requerimientos especificados en el contrato
Identificando: Las deficiencias en la metodologa del ciclo de vida del desarrollo de sistemas de la organizacin Soluciones que no satisfacen los requerimientos del usuario Tentativas de desarrollo de sistemas que: no hayan considerado cursos alternativos de accin, trayendo como resultado una solucin ms costosa no hayan considerado los paquetes de software comercial que podran haber sido implementados en menos tiempo y a un menor costo no hayan considerado la factibilidad tecnolgica de las alternativas o hayan considerado inapropiadamente la factibilidad tecnolgica de la solucin elegida, trayendo como resultado la incapacidad para implementar la solucin como fue diseada originalmente hayan hecho suposiciones equivocadas en el estudio de factibilidad econmica, trayendo como resultado la eleccin del curso de accin incorrecto no hayan considerado el modelo de datos de la arquitectura de informacin/empresa, trayendo como resultado la eleccin del curso de accin incorrecto no hayan conducido anlisis de riesgos slidos, y consecuentemente, no hayan identificado adecuadamente los riesgos (incluyendo amenazas, vulnerabilidades e impactos potenciales) o los controles internos y de seguridad para reducir o eliminar los riesgos identificados Soluciones que: estuvieran ya sea sobre controladas o no controladas suficientemente debido a que la economa de los controles y la seguridad fueron examinados inapropiadamente no hayan contado con pistas de auditora adecuadas no hayan considerado los aspectos ergonmicos y de diseo amigable para el usuario, trayendo como resultado errores en la entrada de datos que podran haber sido evitados no hayan seguido el enfoque de adquisiciones establecido por la organizacin, trayendo como resultado costos adicionales creados por la organizacin La falta de software de sistemas necesario La inefectividad del software de sistemas debido al establecimiento incorrecto de parmetros Mantenimiento de software de terceras partes que no haya satisfecho los trminos del contrato, afectando negativamente a la organizacin en el logro de su misin y/o metas Programas de aplicacin por contrato que no hayan satisfecho los trminos del contrato, trayendo como consecuencia costos adicionales a la organizacin, atraso en la implementacin de los sistemas, etc. Situaciones en las que las instalaciones hayan sido aceptadas sin probar completamente el ambiente, trayendo como consecuencia no satisfacer los requerimientos de los usuarios y/o no cumplir con los trminos del contrato Las instancias en las que se haya aceptado una tecnologa especfica, pero que no se hayan llevado a cabo adecuadamente inspecciones, pruebas de funcionalidad y pruebas de carga de trabajo, trayendo como resultado el que la tecnologa no satisfaga los requerimientos del usuario y/o no cumpla con los trminos del contrato Cualquier falla del sistema
93
COBIT
efe cti v efi idad c co ie nfi nc de ia nc int ialid e a dis grid d po ad n cu ibili m da p d co limie nfi nt ab o ilid ad
Entrega & Soporte
Control sobre el proceso de TI de: adquisicin y mantenimiento de software de aplicacin que satisface los requerimientos de negocio de: proporcionar funciones automatizadas que soporten efectivamente al negocio se hace posible a travs de: la definicin de declaraciones especficas sobre requerimientos funcionales y operacionales y una implementacin estructurada con entregables claros y toma en consideracin:
requerimientos de usuarios requerimientos de archivo, entrada, proceso y Monitoreo
salida interface usuario mquina personalizacin de paquetes pruebas funcionales controles de aplicacin y requerimientos funcionales documentacin

94
Y TECNOLOGAS AFINES
AI 2
ADQUISICIN Y MANTENIMIENTO DE SOFTWARE DE APLICACIN
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 Mtodos de Diseo Cambios Significativos a Sistemas Actuales Aprobacin del Diseo Definicin y Documentacin de Requerimientos de Archivos Especificaciones de Programas Diseo para la Recopilacin de Datos Fuente Definicin y Documentacin de Requerimientos de Entrada de Datos definicin de Interfases Interfase Usuario - Mquina Definicin y Documentacin de Requerimientos de Procesamiento Definicin y Documentacin de Requerimientos de Salida de Datos Controlabilidad Disponibilidad como Factor Clave de Diseo Estipulaciones de Integridad TI para Software de Programas de Aplicacin Pruebas de Software de Aplicacin Materiales de Consulta y Soporte para Usuario Reevaluacin del Diseo del Sistema
8 Entrevistas:
Director de TI Funcionario de Seguridad Presidencia de la funcin de servicios de informacin Propietarios / patrocinadores de proyectos
8 Obteniendo:
Polticas y procedimientos relacionados con la metodologa del ciclo de vida del desarrollo de sistemas Objetivos y planes a corto y largo plazo de tecnologa de informacin Documentacin seleccionada del proyecto, incluyendo aprobaciones de diseos, definicin de requerimientos de archivo, especificaciones de programas, diseo de recopilacin de datos fuente, definicin de requerimientos de entrada, interfase usuario - mquina, definicin de requerimientos de procesamiento, definicin de requerimientos de salida, requerimientos de control interno/seguridad, requerimientos de disponibilidad, provisiones para la integridad de tecnologa de informacin, plan de pruebas y resultados del software de aplicacin, materiales de soporte y referencia para usuarios y reevaluacin del diseo del sistema
95
COBIT
Evaluar los controles: 8 Considerando s: Las polticas y procedimientos aseguran: la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin aplica tanto para el desarrollo de nuevos sistemas como para la modificacin de sistemas existentes y participacin del usuario el vnculo con el usuario al crear las especificaciones de diseo y al verificar stas contra los requerimientos del usuario en el caso de cambios mayores a los sistemas existentes, se observe un proceso de ciclo de vida de desarrollo de sistemas similar al del utilizado en los casos de desarrollo de nuevos sistemas las especificaciones de diseo sean aprobadas por la administracin, los departamentos usuarios afectados y la Presidencia de la organizacin, cuando esto sea apropiado para todos los proyectos nuevos de modificacin y desarrollo de sistemas se aplica un proceso apropiado para definir y documentar el formato de archivos para cada proyecto nuevo de desarrollo o modificacin de sistemas, incluyendo que se requiera el respeto de las reglas de diccionario de datos se preparan especificaciones detalladas de programas para cada proyecto de desarrollo o modificacin de informacin, y que estas especificaciones concuerdan con las especificaciones del diseo del sistema se especifican los mecanismos adecuados para la recoleccin y captura de datos para cada desarrollo nuevo del sistema o proyecto de modificacin se especifican los mecanismos adecuados para la recopilacin y entrada de datos para cada nuevo proyecto de desarrollo o modificacin de sistemas existen mecanismos adecuados para la definicin y documentacin de los requerimientos de entrada para cada proyecto nuevo de desarrollo o modificacin de sistemas existe el desarrollo de una interfase entre el usuario y la mquina fcil de utilizar y autodocumentable (por medio de funciones de ayuda en lnea) existen mecanismos adecuados para la definicin y documentacin de los requerimientos de procesamiento para cada nuevo proyecto de desarrollo o modificacin de sistemas existen mecanismos adecuados para la definicin y documentacin de los requerimientos de salida para cada nuevo proyecto de desarrollo o modificacin de sistemas se especifican mecanismos adecuados para asegurar los requerimientos de seguridad y control internos para cada proyecto nuevo de desarrollo o modificacin de sistemas los requerimientos de seguridad y control interno incluyen controles de aplicacin que garantizan la precisin, suficiencia y autorizacin de entradas y salidas se considera la disponibilidad en el proceso de diseo de sistemas nuevos o modificados en la etapa ms temprana posible, y que esta consideracin debe analizar, en caso necesario, un incremento a travs de mejoras de mantenimiento y confiabilidad los programas de aplicacin contienen provisiones que verifican rutinariamente las tareas llevadas a cabo por el software para ayudar a asegurar la integridad de los datos el software de aplicacin es probado de acuerdo con el plan de pruebas del proyecto y los estndares establecidos antes de ser aprobado por el usuario se preparan manuales adecuados de soporte y referencia para usuarios (preferiblemente en formato electrnico) como parte del proceso de desarrollo o modificacin de cada sistema el diseo del sistema es reevaluado siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas durante el desarrollo o el mantenimiento del sistema
Y TECNOLOGAS AFINES
La metodologa del ciclo de vida de desarrollo de sistemas asegura que los materiales de soporte y referencia para usuarios son actualizados de manera precisa y oportuna La metodologa de ciclo de vida de desarrollo de sistemas requiere el llevar a cabo una evaluacin de sensibilidad durante la iniciacin del desarrollo o modificacin de nuevos sistemas La metodologa de ciclo de vida de desarrollo de sistemas requiere la evaluacin de los aspectos bsicos de seguridad y control interno de un sistema nuevo a ser desarrollado o modificado, junto con el diseo conceptual del sistema, con el fin de integrar los conceptos de seguridad en el diseo lo ms pronto posible La metodologa del ciclo de vida de desarrollo de sistemas requiere que los aspectos de seguridad lgica y de las aplicaciones sean considerados e incluidos en el diseo de nuevos sistemas o modificaciones de sistemas existentes La evaluacin de los aspectos de control internos y de seguridad est basada en un buen marco referencial Los sistemas de Inteligencia Artificial estn funcionando en una interaccin o en el marco referencial con los operadores humanos para asegurar que las decisiones importantes sean aprobadas. La exposicin de la informacin sensible que se utiliza durante las pruebas de la aplicacin se reduce ya sea con limitaciones severas de acceso o la despersonalizacin de los datos histricos. Evaluar la suficiencia: 8 Probando que: La participacin del usuario en el proceso de ciclo de vida de desarrollo de sistemas es significativa La metodologa del ciclo de vida de desarrollo de sistemas asegura que existe un proceso que considera apropiadamente todos los aspectos de diseo de sistemas (por ejemplo, entrada, procesamiento, salida, controles internos, seguridad, recuperacin en caso de desastre, tiempo de respuesta, reportes, control de cambios, etc.) Los usuarios clave de los sistemas estn involucrados en el proceso del diseo del sistema Que la revisin del diseo y el proceso de aprobacin aseguran que todos los problemas han sido resueltos antes de comenzar a trabajar sobre la siguiente fase del proyecto Los cambios mayores a los sistemas existentes aseguran que stos han sido desarrollados utilizando una metodologa de ciclo de vida de desarrollo de sistemas similar a la utilizada para el desarrollo de nuevos sistemas Existen los procedimientos de aprobacin del diseo para asegurar que la programacin del sistema no se inicie hasta que se hayan obtenido las aprobaciones correspondientes Los requerimientos de archivo y la documentacin del sistema, as como el diccionario de datos, son consistentes con los estndares Se aprueban las especificaciones finales de archivos Las especificaciones de programacin concuerdan con las especificaciones del diseo del sistema Las especificaciones del diseo de recoleccin de datos y de entrada de datos concuerdan Existen las especificaciones del diseo de la interfase usuario - mquina Las especificaciones usuario - mquina es fcil de utilizar y que autodocumentacin (utilizando instalaciones de ayuda en lnea) funciona Se documenten las interfaces internas y externas Los requerimientos de procesamiento forman parte de las especificaciones del diseo Los requerimientos de salida forman parte de las especificaciones del diseo Los requerimientos de seguridad y control interno forman parte de las especificaciones del diseo Las especificaciones de diseo de los requerimientos de controles de aplicacin garantizan la precisin, suficiencia, oportunidad y autorizacin de las entradas y las salidas Los requerimientos de seguridad y control interno han sido incluidos en el diseo conceptual del sistema (ya sea nuevo
COBIT
o modificado) lo ms tempranamente posible El funcionario de seguridad est involucrado activamente en el proceso de diseo, desarrollo e implementacin del proyecto del nuevo sistema o de modificacin del sistema El diseo del sistema determina si se han cuantificado las mejoras de disponibilidad/confiabilidad en trminos de tiempo y de procedimientos ms eficientes en comparacin con mtodos anteriores, en caso de aplicar Las provisiones de programas de aplicacin verifican rutinariamente las tareas llevadas a cabo por el software para asegurar la integridad de los datos Existen estndares de pruebas establecidos Existe un plan de pruebas del proyecto y un proceso de aprobacin del usuario Los materiales de soporte y referencia para usuarios, as como las instalaciones de ayuda en lnea estn disponibles La funcin de "help desk" apoya efectivamente a los usuarios para solucionar problemas de procesamiento cada vez ms complejos El proceso para escalar los problemas del help desk incluye el seguimiento, monitoreo y reporte de tales problemas a la administracin de la funcin de servicios de informacin apropiada Se requiere la existencia de mecanismos para actualizar la documentacin de los usuarios Existe la comunicacin sobre los cambios a la documentacin de los usuarios Se da el proceso de reevaluacin siempre que ocurren discrepancias tecnolgicas y/o lgicas significativas Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones ("Benchmarking") de los costos de adquirir y desarrollar software de aplicacin contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Una revisin detallada de: documentacin seleccionada del diseo del sistema para evaluar la adecuacin de las especificaciones del diseo y el cumplimiento del diseo en cuanto a dichas especificaciones proyectos seleccionados de desarrollo o modificacin de nuevos sistemas, determinando si los documentos de especificacin del diseo han sido revisados y aprobados por la administracin de la funcin de servicios de informacin y las funciones de los usuarios afectados, as como por la Presidencia de la organizacin cuando esto sea apropiado documentacin seleccionada del software para asegurar que los requerimientos de archivo (por lo menos para los archivos mencionados a continuacin) son comprendidos claramente por el equipo de implementacin del proyecto y estn siendo estructurados por sistema y requerimientos del usuario, as como por las reglas de diccionario de datos de la organizacin: Maestro Transacciones Comando Programa Control Tablas Reportes Impresin Bitcora Transmisin proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los archivos, programas, instrumentos de recopilacin de datos fuente, entradas, interfaces usuario - mquina, pasos de procesamiento y salidas identificados en diagramas de flujo/diagramas de flujo de datos, corresponden a las especificaciones varias del diseo del sistema proyectos de desarrollo o modificacin de nuevos sistemas para determinar que siempre que se identifiquen discrepancias tcnicas y/o lgicas, ocurra un proceso efectivo de reevaluacin del diseo del sistema
Y TECNOLOGAS AFINES
proyectos de desarrollo o modificacin de nuevos sistemas para determinar la existencia de cualquier discrepancia de diseo tcnico o cualquier cambio funcional necesario proyectos de desarrollo o modificacin de nuevos sistemas y diseos conceptuales de sistemas para evaluar la adecuacin de las provisiones de seguridad y control interno que aseguren la precisin, la suficiencia, la oportunidad y la autorizacin de las entradas y salidas, as como la integracin de los conceptos de seguridad en el diseo lo ms tempranamente posible proyectos de desarrollo o modificacin de nuevos sistemas para evaluar el diseo a la luz de una mayor confiabilidad y disponibilidad para el usuario final, as como de "mantenibilidad" para el personal de mantenimiento de la funcin de servicios de informacin proyectos para evaluar la adecuacin de la verificacin de integridad de los datos de los programas de aplicacin proyectos de desarrollo o modificacin de nuevos sistemas para asegurar que los materiales de referencia para los usuarios son actuales y consistentes con la documentacin del sistema y que stos satisfacen completamente las necesidades del usuario Una revisin detallada de la efectividad de: el proceso de especificacin de programas para asegurar que stos estn escritos de acuerdo a las especificaciones del diseo del usuario el proceso de especificacin de entradas para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario el proceso de especificacin de interfase usuario - mquina para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario el proceso de especificacin de procesamiento para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario el proceso de especificacin de salidas para asegurar que los programas estn escritos de acuerdo a las especificaciones del diseo del usuario Una revisin detallada de los estndares de prueba de la organizacin y la implementacin de los planes de pruebas relacionados para proyectos seleccionados de desarrollo y modificacin de nuevos sistemas Una revisin detallada de la satisfaccin del usuario con el sistema, sus reportes, la documentacin y material de referencia para el usuario, las instalaciones de ayuda, etc. 8 Identificando: Deficiencias en la metodologa de ciclo de vida de desarrollo de sistemas utilizada para los proyectos de desarrollo o modificacin de nuevos sistemas Especificaciones de diseo que no reflejen los requerimientos del usuario Requerimientos de archivo que no sean consistentes con las reglas de diccionario de datos de la organizacin Proyectos de desarrollo o modificacin de nuevos sistemas que contengan archivos, programas, seleccin de datos fuente, entradas, interfaces usuario - mquina, procesamiento, requerimientos de salida y/o Controlabilidad inadecuadamente definidos Proyectos de desarrollo o modificacin de nuevos sistemas en los que la disponibilidad no haya sido considerada en el proceso de diseo Deficiencias en la integridad de los datos en software de programas de aplicacin en proyectos de desarrollo o modificacin de nuevos sistemas Deficiencias en los estndares de pruebas de la organizacin, trayendo como consecuencia la implementacin de sistemas que procesan incorrectamente los datos, y emiten incorrectamente reportes Deficiencias en los planes de prueba en proyectos nuevos de desarrollo o modificacin de sistemas Deficiencias en los materiales de soporte y referencia para usuarios en proyectos nuevos de desarrollo o modificacin de sistemas Discrepancias tcnicas y/o lgicas significativas que hayan ocurrido durante el desarrollo o mantenimiento del sistema que no hayan trado como consecuencia la reevaluacin del diseo del sistema, y por lo mismo, no hayan sido corregidos o hayan trado como resultado correcciones provisionales no econmicas en el sistema
99
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: adquisicin y mantenimiento de arquitectura de software que satisface los requerimientos de negocio de: proporcionar las plataformas apropiadas para soportar aplicaciones de negocios se hace posible a travs de: la evaluacin del desempeo de hardware y software, la provisin de mantenimiento preventivo de hardware y la instalacin, seguridad y control del software del sistema y toma en consideracin:
evaluacin de tecnologa mantenimiento preventivo de hardware seguridad del software de sistema, instalacin, Monitoreo
mantenimiento y control sobre cambios

Y TECNOLOGAS AFINES
AI 3
ADQUISICIN Y MANTENIMIENTO DE ARQUITECTURA DE TECNOLOGA
1 2 3 4 5 6 Evaluacin de Nuevo Hardware y Software Mantenimiento Preventivo para Hardware Seguridad del Software del Sistema Instalacin del Software del Sistema Mantenimiento del Software del Sistema Controles para Cambios del Software del Sistema
Comprender a travs de: 8 Entrevistas: Director de TI Funcionario de Seguridad Presidencia de la funcin de servicios de informacin Propietarios / patrocinadores de proyectos Obteniendo: Polticas y procedimientos relacionados con la metodologa del ciclo de vida del desarrollo de sistemas Objetivos y planes a corto y largo plazo de tecnologa de informacin Documentacin seleccionada del proyecto, incluyendo aprobaciones de diseos, definicin de requerimientos de archivo, especificaciones de programas, diseo de recopilacin de datos fuente, definicin de requerimientos de entrada, interfase usuario - mquina, definicin de requerimientos de procesamiento, definicin de requerimientos de salida, requerimientos de control interno/seguridad, requerimientos de disponibilidad, provisiones para la integridad de tecnologa de informacin, plan de pruebas y resultados del software de aplicacin, materiales de soporte y referencia para usuarios y reevaluacin del diseo del sistema
Evaluar los controles: 8 Considerando s: Existen polticas y procedimientos que aseguran que: se prepara un plan de evaluacin formal para evaluar el nuevo hardware y software en cuanto a cualquier impacto sobre el desempeo global del sistema la posibilidad de acceso al software del sistema y con ella, la posibilidad de interrumpir los sistemas de informacin operativa es limitada la preparacin, instalacin y mantenimiento del software del sistema no amenaza la seguridad de los datos y programas almacenados en el sistema se seleccionan parmetros del software del sistema para asegurar la integridad de los datos y programas almacenados en el sistema
101
COBIT
el software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y mantenimiento de la infraestructura de tecnologa los proveedores de software del sistema proporcionan estatutos de aseguramiento de la integridad como parte de su software y todas las modificaciones al mismo la prueba global (por ejemplo, utilizando una metodologa de ciclo de vida de desarrollo de sistemas) de software del sistema ocurre antes de que ste sea introducido al ambiente de produccin los passwords o contraseas de instalacin proporcionados por el proveedor de software son modificados al momento de la instalacin y que los cambios al software del sistema son controlados en lnea con los procedimientos de administracin de cambios de la organizacin Existen polticas y procedimientos para el mantenimiento preventivo de hardware (tanto el operado por la funcin de servicios de informacin como por las funciones de los usuarios afectados) para reducir la frecuencia y el impacto de las fallas de desempeo Se cumple con los pasos y la frecuencia de mantenimiento preventivo prescritos por el proveedor para cada dispositivo de hardware operado por la funcin de servicios de informacin y las funciones de los usuarios afectados Evaluar la suficiencia: 8 Probando que: Existen los estatutos de aseguramiento de la integridad del software entregados por el proveedor de software del sistema para todo el software del sistema (incluyendo todas las modificaciones) y considera las exposiciones resultantes en el software del sistema La evaluacin del desempeo trae como resultado la comparacin con los requerimientos del sistema Existe un proceso formal de evaluacin del desempeo El calendario de mantenimiento preventivo asegura que el mantenimiento de hardware programado no tendr ningn impacto negativo sobre aplicaciones crticas o sensibles El mantenimiento programado asegura que no ha sido planeado para perodos pico de carga de trabajo y que la funcin de servicios de informacin y las operaciones de los grupos de usuarios afectados son suficientemente flexibles para adaptar el mantenimiento preventivo rutinario planeado Los programas operativos de servicios de informacin aseguran que existen las preparaciones adecuadas para manejar anticipadamente los tiempos muertos de hardware ocasionados por mantenimiento no programado Los parmetros del software del sistema aseguran que fueron elegidos los correctos por parte del personal apropiado de la funcin de sistemas de informacin con el fin de asegurar la integridad de los datos y los programas almacenados en el sistema El acceso se restringe nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informacin El software del sistema es instalado y mantenido de acuerdo con el marco referencial de adquisicin y mantenimiento para la infraestructura de tecnologa Se llevan a cabo pruebas completas (utilizando una metodologa de ciclo de vida de desarrollo de sistemas) para todo el software del sistema antes de autorizar su introduccin al ambiente de produccin Todos los passwords o contraseas de instalacin del software del sistema proporcionados por los proveedores fueron cambiados al momento de la instalacin Todos los cambios al software del sistema fueron controlados de acuerdo con los procedimientos de administracin de cambios de la organizacin
102
Y TECNOLOGAS AFINES
La administracin del sistema (por ejemplo, adicin de nuevos usuarios al sistema y a las redes; creacin y respaldo de bases de datos, asignacin de espacio para almacenamiento de datos, prioridades del sistema, etc.) se restringen nicamente a un nmero limitado de operadores dentro de la funcin de servicios de informacin Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones ("Benchmarking") de la adquisicin, implementacin y mantenimiento de hardware y software contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Una revisin de tallada de: la documentacin seleccionada de sistemas operacionales o proyectos de desarrollo o modificacin de sistemas para determinar si los requerimientos formales de desempeo de hardware y software (incluyendo referencias para volumen de transaccin, tiempos de procesamiento y respuesta, tamaos de archivos y bases de datos, volmenes de redes y compatibilidad de protocolos de comunicaciones) existen para todos los sistemas prcticas de mantenimiento de hardware para determinar si el mantenimiento est siendo llevado a cabo de acuerdo con los lineamientos del proveedor y calendarizado de tal manera que no afecte el desempeo global del sistema documentacin seleccionada de sistemas operacionales y sistemas en desarrollo o modificacin para evaluar las habilidades potenciales para burlar las restricciones de seguridad de acceso lgicas existentes proporcionadas por el software del sistema instalacin, mantenimiento del sistema y controles de cambio para asegurar el cumplimiento con el marco referencial de adquisicin y mantenimiento para la infraestructura de tecnologa y la integridad del sistema 8 Identificando: Evaluaciones de desempeo que hayan afectado el desempeo global del sistema Problemas de mantenimiento preventivo que hayan afectado el desempeo global del sistema Debilidades en la preparacin, instalacin y mantenimiento de software del sistema (incluyendo la seleccin de parmetros inapropiados de software del sistema) que hayan amenazado la seguridad de los datos y los programas almacenados en el sistema Debilidades en las pruebas de software del sistema que pudieran amenazar la seguridad de los datos y los programas almacenados en el sistema Debilidades en el proceso de control de cambios del software del sistema que pudieran amenazar la seguridad de los datos y los programas almacenados en el sistema
103
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: desarrollo y mantenimiento de procedimientos relacionados con tecnologa de informacin que satisface los requerimientos de negocio de: asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas se hace posible a travs de: un enfoque estructurado del desarrollo de manuales de procedimientos de operaciones para usuarios, requerimientos de servicio y material de entrenamiento y toma en consideracin:
procedimientos y controles de usuarios procedimientos y controles operacionales materiales de entrenamiento Monitoreo

Y TECNOLOGAS AFINES
AI 4 DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS DE TECNOLOGA DE NFORMACIN

1 2 3 4 Futuros Requerimientos y Niveles de Servicios Operacionales Manual de Procedimientos para Usuario Manual de Operaciones Material de Entrenamiento
Comprender a travs de: 8 Entrevistas: Desarrollo de aplicaciones de la funcin de servicios de informacin Mantenimiento de la funcin de servicios de informacin Control de cambios de la funcin de servicios de informacin Operaciones de la funcin de servicios de informacin Recursos humanos/entrenamiento de la funcin de servicios de informacin Administracin de aseguramiento de la calidad de la funcin de servicios de informacin Usuarios seleccionados de recursos de sistemas de informacin Obteniendo: Polticas y procedimientos organizacionales relacionados con: Planeacin estratgica y objetivos del negocio, planeacin de sistemas de informacin y desarrollo de aplicaciones Polticas y procedimientos de las funciones de servicios de informacin relacionadas con el desarrollo del sistema, incluyendo: organigrama, metodologa del ciclo de vida de desarrollo de sistemas, planeacin de capacidad, manuales de usuarios y operaciones, materiales de entrenamiento, pruebas y migracin a estatus de produccin y documentos de planeacin de reanudacin/ contingencia
Evaluar los controles: 8 Considerando s: Los requerimientos operativos fueron determinados con estadsticas histricas de desempeo disponibles y entradas del usuario con respecto a incrementos/decrementos esperados El nivel de servicio y las expectativas de desempeo estn o suficientemente detallados para permitir el seguimiento, la emisin de reportes y las oportunidades de mejora Los requerimientos operativos y los niveles de servicio estn determinados utilizando tanto desempeo histrico y ajustes de usuario como mediciones o "benchmarks" de la industria Los niveles de servicio y requerimientos de procesamiento son un paso integral en la planeacin de nuevos sistemas Los manuales de procedimientos de usuarios, el manual de operaciones y los materiales de entrenamiento estn desarrollados como parte de cada proyecto de desarrollo, implementacin o modificacin de sistemas de informacin, y se mantienen actualizados
105
COBIT
Evaluar la suficiencia: 8 Probando que: Existen requerimientos operacionales y que stos reflejan tanto las expectativas de operacin como las de los usuarios El desempeo operacional est siendo medido, comunicado y corregido en donde existen deficiencias El personal de operaciones y los usuarios estn conscientes y tienen conocimiento de los requerimientos de desempeo El personal de operaciones cuenta con manuales de operaciones para todos los sistemas y procesamientos bajo su responsabilidad Todo el movimiento de programas de desarrollo de aplicaciones a produccin requiere la actualizacin o creacin de un manual de operaciones Existen manuales de entrenamiento de usuarios para todas las aplicaciones, y reflejan actualmente la funcionalidad de la aplicacin Existen manuales de entrenamiento para todos los sistemas existentes y nuevos, y que stos apoyan a los usuarios, reflejando el uso del sistema en la prctica diaria Los manuales de usuario incluyen, pero no se limita a: visin global de los sistemas y el ambiente explicacin de todas la entradas, programas, salidas e integracin (con otros sistemas) de los sistemas explicacin de todas las pantallas de entrada y despliegue de datos explicacin de todos los mensaje de error y la respuesta apropiada procedimientos y/o recursos de escalamiento de problemas El manual de operacin incluyen, pero no se limita a: nombre del sistema, nombre de los programas, secuencia de ejecucin definicin de los nombres de todos los archivos de entrada, proceso y de salida y del formato del medio calendarizacin para las corridas diarias, semanales, mensuales, trimestrales, cuatrimestrales, fin de ao, etc. comandos y parmetros de consola que requieran entradas por parte del operador mensajes y respuestas de mensajes de error procedimientos de respaldo, reinicio y recuperacin en varios puntos o al darse una terminacin anormal formatos o procedimientos de salidas especiales; distribucin de reportes/salidas procedimiento de solucin en caso de emergencia, si aplica Se llevan a cabo el entrenamiento y el mantenimiento continuo de la documentacin de aplicacin, manuales de operacin y de usuario Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Para una seleccin de proyectos de desarrollo de sistemas, revisiones y aprobaciones de documentacin en cuanto a: la consideracin de futuros requerimientos y niveles de servicio de usuarios la tarea, entrega y liberacin para la creacin y mantenimiento de manuales de usuario la tarea, entrega y liberacin para la creacin y mantenimiento del manual de operacin la tarea, entrega y liberacin de entrenamiento para el usuario para comprender y utilizar nuevos sistemas o nuevas modificaciones
106
Y TECNOLOGAS AFINES
Entrevistas a los usuarios para confirmar la suficiencia de las tentativas de desarrollo de sistemas, incluyendo los manuales desarrollados y el entrenamiento proporcionado El anlisis tanto de manuales de usuario como de operaciones en cuanto a actualidad y mantenimiento continuo 8 Identificando: deficiencias en los manuales de usuarios, operaciones y entrenamiento la no existencia de acuerdos de niveles servicio entre el proveedor y la funcin de servicios de informacin Vendedor y funcin de servicios de informacin funcin y usuarios de servicios de informacin debilidades organizacionales para desarrollar y correr las aplicaciones requeridas
107
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: instalacin y acreditacin de sistemas que satisface los requerimientos de negocio de: verificar y confirmar que la solucin sea adecuada para el propsito deseado se hace posible a travs de: la realizacin de una migracin de instalacin, conversin y plan de aceptacin adecuadamente formalizados y toma en consideracin:
Monitoreo
capacitacin conversin / carga de datos pruebas especficas acreditacin revisiones post implementacin

Y TECNOLOGAS AFINES
AI 5 INSTALACIN Y ACREDITACIN DE SISTEMAS

1 2 3 4 5 6 7 8 9 10 11 Entrenamiento Adecuacin del Desempeo del Software de Aplicacin Conversin Pruebas de Cambios Criterios y Desempeo de Pruebas en Paralelo/Piloto Prueba de Aceptacin Final Pruebas y Acreditacin de Seguridad Prueba Operacional Promocin a Produccin Evaluacin de la Satisfaccin de los Requerimientos del Usuario Revisin Gerencial Post - Implementacin
Comprender a travs de: 8 Entrevistas: Director de TI Administracin de la funcin de servicios de informacin Entrenamiento, desarrollo de aplicaciones, seguridad, aseguramiento de la calidad y administracin de operaciones de la funcin de servicios de informacin Funcionario de Seguridad Administracin seleccionada de sistemas recientemente desarrollados/en desarrollo Contratos con proveedores para recursos de desarrollo de sistemas Obteniendo: Polticas y procedimientos organizacionales relacionados con la planeacin del ciclo de vida de desarrollo de sistemas Polticas y procedimientos de la funcin de servicios de informacin relacionadas con polticas y comits de seguridad, planeacin del ciclo de vida de desarrollo de sistemas para programas, unidades, planes de prueba del sistema, entrenamiento de usuarios, migracin de sistemas de prueba a produccin, aseguramiento de la calidad y entrenamiento Plan y calendarizacin del ciclo de vida de desarrollo de sistemas, estndares de programacin de ciclo de vida de desarrollo de sistemas, incluyendo procesos de requisicin de cambios Reportes muestra de estatus de tentativas de desarrollo de sistemas Reportes post-implementacin de tentativas de desarrollo anteriores
Evaluar los controles: 8 Considerando s: Existen polticas y procedimientos relacionados con el proceso de ciclo de vida de desarrollo de sistemas
109
COBIT
Existe una metodologa formal de ciclo de vida de desarrollo de sistemas para la instalacin y acreditacin de sistemas, incluyendo, pero no limitndose a, un enfoque en fases sobre: entrenamiento, adecuacin del desempeo, plan de conversin, pruebas de programas, grupos de programas (unidades) y del sistema total, un plan de pruebas prototipo o paralelo, pruebas de aceptacin, pruebas y acreditacin de seguridad, pruebas operativas, controles de cambio, revisin y modificacin de implementacin y post-implementacin Se lleva a cabo el entrenamiento de usuarios como parte de cada tentativa de desarrollo Los controles de los programas/sistema son consistentes con los estndares de seguridad de la organizacin y con las polticas, procedimientos y estndares de la funcin de servicios de informacin Existen varias libreras de desarrollo, prueba y produccin para los sistemas en proceso Existen criterios predeterminados para probar el acierto, las fallas y la terminacin de tentativas futuras El proceso de aseguramiento de la calidad incluye la migracin independiente de desarrollo a las libreras de produccin y la suficiencia de la aceptacin requerida de los usuarios y grupos de operacin Los planes de prueba para simulacin de volmenes, intervalos de proceso y disponibilidad y acreditacin de salidas forman parte del proceso El programa de entrenamiento asociado con una muestra de varias tentativas de desarrollo de sistemas contiene: diferencias con respecto al sistema anterior, cambios que afecten las entradas, procesamiento, calendarizacin, distribucin, interfaces con otros sistemas, errores y correccin de errores Las herramientas automatizadas optimizan los sistemas desarrollados, en produccin, y si estas herramientas son utilizadas para oportunidades de eficiencia La solucin de problemas ocurre en relacin con un desempeo por debajo de lo ptimo Evaluar la suficiencia: 8 Probando que: Se ha incluido en todas las tentativas de desarrollo de nuevos sistemas un plan formal para el entrenamiento de usuarios El personal est consciente, comprende y tiene conocimiento de la necesidad de controles formales de desarrollo de sistemas y entrenamiento de usuarios para cada instalacin e implementacin de desarrollo La consciencia, comprensin y conocimiento de usuarios seleccionados con respecto a sus responsabilidades en el diseo, aprobacin, pruebas, entrenamiento, conversin y proceso de implementacin es conocida y considerada Se da seguimiento a los costos reales del sistema comparados con los costos estimados, y al desempeo real contra el esperado de los sistemas nuevos o modificados Existe un plan de pruebas que cubre todas las reas de recursos de sistemas de informacin: software de aplicacin, instalaciones, tecnologa y usuarios Los usuarios comprenden todas las fases y responsabilidades en el desarrollo de sistemas, incluyendo: especificaciones de diseo, incluyendo iteraciones durante el ciclo de desarrollo anlisis costo/beneficio y estudio de factibilidad aprobacin en cada paso del proceso de desarrollo del sistema compromiso y evaluacin del plan de pruebas y los resultados de las pruebas al ocurrir stas aprobacin y aceptacin del sistema a travs del ciclo de desarrollo aprobacin final y aceptacin del sistema evaluacin de la suficiencia del entrenamiento recibido para sistemas recientemente entregados y liberados
Y TECNOLOGAS AFINES
El personal de desarrollo y la administracin aseguran la estabilidad de los requerimientos de los usuarios una vez acordados stos La satisfaccin del usuario es medida contra los elementos entregables y liberables de los proveedores, en comparacin con los productos internos Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones ("Benchmarking") de la instalacin y acreditacin de sistemas contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Una revisin detallada de: el cumplimiento del grupo de desarrollo con las fechas lmite y tareas en relacin con la satisfaccin del usuario la funcionalidad del sistema una vez completado el material de entrenamiento asociado con sistemas anteriores la revisin independiente y migracin de los sistemas del ambiente de prueba al estatus y las libreras de produccin por parte de la funcin de aseguramiento de la calidad las herramientas y monitoreo de redes y recursos utilizados para recopilar estadsticas para mantenimiento y optimizacin, asegurando el soporte a las aplicaciones desarrolladas para lograr un desempeo mximo a un costo mnimo registros de una tentativa de desarrollo para determinar la disponibilidad de: Entrenamiento de usuarios Seguridad Desempeo de software Documentacin y resultados de pruebas Plan de conversin Migracin a produccin Control de cambios durante el desarrollo Satisfaccin de las necesidades del usuario Pruebas piloto o en paralelo Revisin post-implementacin conclusiones de auditora interna o externa con respecto al proceso de diseo de sistemas resultados de las pruebas para confirmar si stos satisfacen los criterios predefinidos y si todas las funciones del sistema fueron incluidas en los planes de prueba discusiones de la administracin sobre los resultados de las pruebas, as como cualquier prueba terminada o proyecto de desarrollo participacin del usuario en el proceso de desarrollo pistas de auditora dirigidas a recrear una actividad o el anlisis de errores segn sea necesario participacin del proveedor en la tentativa de desarrollo incluyendo: lo razonable de los costos el cumplimiento con las fechas lmite la funcionalidad entregada y liberada
111
COBIT
8 Identificando: Para una seleccin de proyectos recientes de ciclo de vida de desarrollo de sistemas: compromiso del usuario y aprobacin formal en cada fase del proceso de desarrollo de sistemas plan de pruebas para programas, unidades, sistemas (incluyendo prototipo o en paralelo), conversin, implementacin, y revisin post-implementacin consistencia apropiada con los estndares de seguridad y control interno tareas y calendarizacin apropiadas para la conversin de datos la realizacin de pruebas independientemente de aqullas de desarrollo, modificacin o mantenimiento del sistema aceptacin formal por parte de los usuarios con respecto a la funcionalidad, seguridad, integridad y riesgo remanente del sistema Los manuales de operacin para calendarizacin, corridas, recuperacin/reinicio, respaldo / "backout" y solucin de errores consideran: la separacin fsica y lgica de las libreras de productos con respecto a las de desarrollo o pruebas los procedimientos de solucin entre las expectativas de los usuarios y la funcionalidad del sistema entregado y liberado, cuando stos se encuentren en conflicto Para los proveedores: la formalidad de las relaciones con los proveedores y la existencia de contratos la consideracin de servicios especficos y costos que el desempeo del proveedor es controlado tambin por la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin el cumplimiento del proveedor en cuanto a desempeo, fechas lmite y especificaciones de costos de los contratos
112
Y TECNOLOGAS AFINES
113
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: administracin de cambios que satisface los requerimientos de negocio de: minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores se hace posible a travs de: un sistema de administracin que permita el anlisis, implementacin y seguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma en consideracin:
identificacin de cambios procedimientos de categorizacin, priorizacin Monitoreo
y emergencia evaluacin del impacto autorizacin de cambios manejo de liberacin distribucin de software

Y TECNOLOGAS AFINES
AI 6
ADMINISTRACIN DE
CAMBIOS
1 2 3 4 5 6 7 Inicio y Control de Requisiciones de Cambio Evaluacin del Impacto Control de Cambios Documentacin y Procedimientos Mantenimiento Autorizado Poltica de Liberacin de Software Distribucin de Software
Comprender a travs de: 8 Entrevistas: Director de TI Administracin de la funcin de servicios de informacin Administracin de desarrollo de sistemas, aseguramiento de la calidad de control de cambios, operaciones y seguridad Administracin de usuarios seleccionada involucrada en el diseo y utilizacin de aplicaciones de sistemas de informacin Obteniendo: Polticas y procedimientos organizacionales relacionadas con: planeacin de sistemas de informacin, control de cambios, seguridad y ciclo de vida de desarrollo de sistemas Polticas y procedimientos de la funcin de servicios de sistemas de informacin relacionadas con: metodologa del ciclo de vida de desarrollo de sistemas, estndares de seguridad, aseguramiento independiente de la calidad, implementacin, distribucin, mantenimiento, cambios de emergencia, liberacin de software y control de versiones del sistema. Plan de desarrollo de aplicaciones Formato y bitcora de requisiciones de control de cambios Contratos con proveedores relacionados con servicios de desarrollo de aplicacin
Evaluar los controles: 8 Considerando s: Existe y se utiliza una metodologa para priorizar los requerimientos de cambios al sistema de los Se consideran procedimientos de cambios de emergencia en los manuales de operaciones El control de cambios es un procedimiento formal tanto para los usuarios como para los grupos de desarrollo La bitcora de control de cambios asegura que todos los cambios mostrados fueron resueltos El usuario est satisfecho con el resultado de los cambios solicitados - calendarizacin y costos
115
COBIT
Para una seleccin de cambios en la bitcora de control de cambios: el cambio trajo como resultado modificaciones en los programas y operaciones los cambios hayan sido llevados a cabo como fueron documentados la documentacin actual refleja el ambiente modificado El proceso de cambios es monitoreado en cuanto a mejoras en el conocimiento, efectividad en el tiempo de respuesta y satisfaccin del usuario con respecto al proceso El mantenimiento al sistema de Intercambio de rama privada o Exchange Private Branch (PBX) se incluye en los procedimientos de control de cambios Evaluar la suficiencia: 8 Probando que: Para una muestra de cambios, la administracin ha aprobado los siguientes puntos: solicitud de cambios especificacin del cambio acceso al programa fuente finalizacin del cambio por parte del programador solicitud para mover el programa fuente al ambiente de prueba finalizacin de pruebas de aceptacin solicitud de compilacin y paso a produccin determinacin y aceptacin del impacto general y especfico desarrollo de un proceso de distribucin La revisin del control de cambios en cuanto a la inclusin de: fecha del cambio solicitado persona(s) que lo solicitan solicitud aprobada de cambios aprobacin del cambio realizado - funcin de servicios de informacin aprobacin del cambio realizado usuarios fecha de actualizacin de documentacin fecha de paso a produccin aprobacin del cambio por parte de aseguramiento de la calidad aceptacin por parte de operaciones Los tipos de anlisis de cambios realizados al sistema para la identificacin de tendencias La evaluacin de la adecuacin de las libreras de la funcin de servicios de informacin y la determinacin de la existencia de niveles de cdigo base para prevenir la regresin de errores Existen procedimientos de entradas y salidas ("check in/check out) para cambios Todos los cambios en la bitcora fueron resueltos a satisfaccin de los usuarios y que no se llevaron a cabo cambios que no hayan sido registrados en la bitcora Los usuarios tienen consciencia y conocimiento de la necesidad de procedimientos formales de control de cambios El proceso de reforzamiento del personal asegura el cumplimiento de los procedimientos de control de cambios
116
Y TECNOLOGAS AFINES
Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones ("Benchmarking") de la administracin de control de cambios contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Para sistemas seleccionados de la funcin de servicios de informacin: una verificacin en cuanto a si la documentacin determina el requerimiento o si el cambio del sistema ha sido aprobado y priorizado por parte de la administracin de las reas usuarias afectadas y el proveedor de servicios la confirmacin de la existencia y adecuacin de evaluacin del impacto en formas de control de cambios la obtencin del conocimiento del cambio a travs de un acuse de recibo de solicitud de cambios de la funcin de servicios de informacin la asignacin del cambio a los recursos apropiados de desarrollo la adecuacin de los sistemas y los planes de prueba de los usuarios y sus resultados la migracin formal de prueba a produccin va grupo de aseguramiento de la calidad la actualizacin de los manuales de usuario y de operacin para reflejar el cambio la distribucin de la nueva versin a los usuarios apropiados 8 Identificando: Para una seleccin de cambios de informacin que: slo se llevaron a cabo cambios aprobados todos los cambios han sido considerados las libreras actuales (fuente y objeto) reflejan los cambios ms recientes las variaciones en el procedimiento de control de cambios entre: aplicaciones adquiridas e internas software de aplicacin y de sistemas tratamiento del control de cambios por parte del proveedor
117
COBIT
118
Y TECNOLOGAS AFINES
ENTREGA & SOPORTE
119
COBIT
ENTREGA DE SERVICIOS Y SOPORTE DS1
Entrega & Soporte

Monitoreo
Definicin de niveles de servicio que satisface los requerimientos de negocio de: establecer una comprensin comn del nivel de servicio requerido se hace posible a travs de: el establecimiento de convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio y toma en consideracin:

convenios formales definicin de responsabilidades tiempos y volmenes de respuesta dependencias cargos garantas de integridad convenios de confidencialidad

120
Y TECNOLOGAS AFINES
DS 1 DEFINICIN DE NIVELES DE SERVICIO

1 2 3 4 5 6 7 Marco de Referencia para el Convenio de Nivel de Servicio Aspectos sobre los Acuerdos de Nivel de Servicio Procedimientos de Ejecucin Monitoreo y Reporte Revisin de Convenios y Contratos de Nivel de Servicio Elementos sujetos a Cargo Programa de Mejoramiento del Servicio
Comprender a travs de: 8 Entrevistas: Director de Informacin Presidencia de la funcin de servicios de informacin Administrador del nivel de servicio/contrato de servicios de informacin Administrador de operaciones de la funcin de servicios de informacin Administracin de usuarios Obteniendo: Polticas y procedimientos generales para la organizacin asociadas a las relaciones proveedor/usuario Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: Acuerdos de nivel de servicio Contenido de emisin de reportes operativos, tiempos y distribucin Mtodos de seguimiento de desempeo Actividades de accin correctiva Documentacin de la funcin de servicios de informacin relacionada con: Reportes de desempeo de nivel de servicio Algoritmos de cargo y metodologa para calcular cargos Programas de mejora del servicio Recurso resultante de un bajo desempeo Acuerdos de nivel de servicio con usuarios y proveedores internos y externos
Evaluar los controles: 8 Considerando s: Se identifica por poltica un proceso de acuerdo de nivel de servicio La participacin en el proceso por parte del usuario se requiere para la creacin y modificacin de acuerdos Estn definidas las responsabilidades de usuarios y proveedores La administracin monitorea y emite reportes sobre el logro de los criterios de desempeo de servicio especificados y sobre todos los problemas encontrados
COBIT
Existe un proceso de revisin regular llevado a cabo por la administracin Se identifica un proceso de recurso en caso de un bajo desempeo Los acuerdos de nivel de servicio incluyen, pero no se limitan a contar con: definicin de servicio costo del servicio nivel de servicio mnimo cuantificable nivel de soporte por parte de la funcin de servicios de informacin disponibilidad, confiabilidad y capacidad de crecimiento planeacin de recuperacin en caso de desastre/contingencia requerimientos de seguridad procedimientos de cambio para cualquier parte del acuerdo acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio revisin/renovacin/no renovacin del perodo efectivo y del nuevo perodo contenido y frecuencia del reporte de desempeo y pago de servicios cargos realistas comparados contra la historia, la industria y las buenas prcticas clculo de cargos compromiso de mejoras al servicio Evaluar la suficiencia: 8 Probando que: Para una muestra de acuerdos pasados y en proceso, el contenido incluye: definicin del servicio costo del servicio nivel de servicio mnimo cuantificable nivel de soporte por parte de la funcin de servicios de informacin disponibilidad, confiabilidad y capacidad de crecimiento procedimiento de cambios para cualquier parte del acuerdo planeacin de recuperacin en caso de desastre/contingencia requerimientos de seguridad acuerdo por escrito y formalmente aprobado entre el proveedor y el usuario del servicio revisin/renovacin/no renovacin del perodo efectivo y nuevo perodo contenido y la frecuencia del reporte de desempeo el pago de servicios cargos realistas comparados con la historia, la industria y las buenas prcticas clculos de cargos compromiso de mejoras al servicio aprobacin formal por parte de usuarios y proveedores Los usuarios apropiados estn conscientes, tienen conocimiento y comprenden los procesos y procedimientos del acuerdo de nivel de servicio El nivel de satisfaccin del usuario en cuanto al proceso y acuerdos reales del nivel de servicio actuales es suficiente El servicio proporciona registros para asegurar razones para un bajo desempeo ("non-performance") y para asegurar que existe un programa para la mejora del desempeo La precisin de los cargos reales concuerda con el contenido del acuerdo
122
Y TECNOLOGAS AFINES
Se da seguimiento al desempeo histrico comparndolo contra el compromiso de mejora al servicio determinado anteriormente Los reportes sobre el logro del desempeo de servicio especificado son utilizados apropiadamente por la administracin para asegurar un desempeo satisfactorio Los reportes sobre todos los problemas encontrados son utilizados apropiadamente para asegurar que se toman las acciones correctivas correspondientes Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones ("Benchmarking") de los acuerdos del nivel de servicio contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria Una revisin: del acuerdo de nivel de servicio para determinar que se definen y alcanzan las provisiones cualitativas y cuantitativas que confirman las obligaciones del acuerdo de nivel de servicio seleccionado para confirmar que los procedimientos de solucin de problemas, especficamente el desempeo bajo sean incluidos y llevados a cabo 8 Identificando: La conveniencia de las provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de los servicios de informacin Clculos incorrectos para categoras seleccionadas de informacin Revisiones continuas y acciones correctivas llevadas a cabo por la administracin de reportes del nivel de servicio La conveniencia de las mejoras a los servicios propuestos en comparacin con el anlisis costo/beneficio La conveniencia de la capacidad de los proveedores para alcanzar en el futuro los objetivos comprometidos de mejoras
123
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: administracin de servicios prestados por terceros que satisface los requerimientos de negocio de: asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, que cumplan y continen satisfaciendo los requerimientos se hace posible a travs de: medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin y toma en consideracin:
Monitoreo
acuerdos de servicio con terceras partes acuerdos de confidencialidad requerimientos legales regulatorios monitoreo de la entrega de servicio

Y TECNOLOGAS AFINES
DS 2 ADMINISTRACIN DE SERVICIOS PRESTADOS POR TERCEROS

1 2 3 4 5 6 7 8 Interfases con Proveedores Relaciones de propietarios Contratos con Terceros Calificaciones de Terceros Contratos con Fuentes Externas Continuidad de Servicios Relaciones de Seguridad Monitoreo
Comprender a travs de: 8 Entrevistas: Director de Informacin Presidencia de la funcin de servicios de informacin Administrador de contrato/nivel de servicio de servicios de informacin Administracin de las operaciones de la funcin de servicios de informacin Funcionario de seguridad de la funcin de servicios de informacin Obteniendo: Polticas generales para la organizacin asociadas con los servicios adquiridos y en particular, con las relaciones con proveedores como terceras partes Polticas y procedimientos de la funcin de servicios de informacin asociadas con: relaciones con terceras partes, procedimientos de seleccin de proveedores, contenido del control de dichas relaciones, seguridad lgica y fsica, mantenimiento de la calidad por parte de los proveedores, planeacin de contingencias y fuentes externas Una lista de todas las relaciones actuales con terceras partes y de los contratos reales asociados con ellas El reporte del nivel de servicio relacionado con las relaciones y servicios proporcionados por terceras partes Las minutas de las reuniones en las que se discuten la revisin de los contratos, la evaluacin del desempeo y la administracin de las relaciones Los acuerdos de confidencialidad para todas las relaciones con terceras partes Las listas de seguridad de acceso con los perfiles y recursos disponibles para los vendedores
Evaluar los controles: 8 Considerando s: Existen polticas y procedimientos de la funcin de servicios de informacin asociadas con las relaciones con terceras partes, y si stas son consistentes con las polticas generales de la organizacin Existen polticas que consideran especficamente la necesidad de contratos, de una definicin del contenido de los mismos, del propietario o administrador de las relaciones responsable de asegurar la creacin, mantenimiento, monitoreo y renegociacin de los contratos
COBIT
Considerando si, contina Las interfaces estn definidas para agentes independientes involucrados en la conduccin del proyecto y dems partes como los subcontratados. Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes Los contratos estn establecidos especficamente para la continuidad de los servicios, y que dichos contratos incluyen una planeacin de contingencias por parte del proveedor para asegurar la continuidad del servicio a los usuarios de stos El contenido de los contratos incluye por lo menos lo siguiente: aprobacin formal administrativa y legal entidad legal que proporciona los servicios servicios proporcionados acuerdos cualitativos y cuantitativos de nivel de servicio costo de los servicios y frecuencia de su pago proceso de solucin de problemas sanciones por bajo desempeo proceso de disolucin proceso de modificacin reporte de servicio - contenido, frecuencia y distribucin funciones entre las partes del contrato durante la vida del mismo aseguramiento de continuidad que indica que el servicio ser proporcionado por el proveedor usuarios de los servicios y procesos y frecuencia de las comunicaciones del proveedor duracin del contrato nivel de acceso proporcionado por el proveedor requerimientos de seguridad garantas de confidencialidad derecho a acceso y a auditar Los acuerdos de depsito se han negociado en su momento Los terceros en potencia se han calificado adecuadamente mediante la evaluacin de su habilidades para proveer el servicio requerido (vencimiento del trabajo) Evaluar la suficiencia: 8 Probando que: La precisin y existencia de la lista de contratos y de los contratos Ningn servicio es proporcionado por algn proveedor no incluido en la lista de contratos mencionada Los proveedores mencionados en los contratos efectivamente estn llevando a cabo los servicios definidos La administracin/los propietarios de los proveedores comprenden su responsabilidad dentro del contrato Las polticas y procedimientos de la funcin de servicios de informacin asociadas con las relaciones con terceras partes existen y son consistentes con las polticas generales de a organizacin Existen polticas que consideran especficamente la necesidad de establecer contratos, la definicin del contenido de los mismos, del propietario o administrador de la relacin responsable de asegurar que los contratos sean creados, mantenidos, monitoreados y renegociados segn se requiera Los contratos representan un registro completo de las relaciones con los proveedores como terceras partes Los contratos estn establecidos para asegurar especficamente la continuidad de los servicios, y que dichos contratos
126 LINEAMIENTOS DE AUDITORA
Y TECNOLOGAS AFINES
incluyen una planeacin de contingencias por parte del proveedor para asegurar el servicio continuo a los usuarios El contenido de los contratos incluyen por lo menos lo siguiente: aprobacin formal administrativa y legal entidad legal para proporcionar los servicios servicios proporcionados acuerdos cuantitativos y cualitativos del nivel de servicio costo y frecuencia de los servicios y su pago proceso de solucin de problemas sanciones por bajo desempeo proceso de disolucin proceso de modificacin reporte de servicios - contenido, frecuencia y distribucin funciones entre las partes del contrato durante la vida del mismo aseguramiento de la continuidad de los servicios prestados por el proveedor usuarios de los servicios y frecuencia del proceso de comunicaciones del proveedor duracin del contrato nivel de acceso proporcionado por el proveedor requerimientos de seguridad garantas de confidencialidad derecho de acceso y de auditar Los usuarios tienen consciencia, conocimiento y comprenden la necesidad de contar con polticas de contratos y con los contratos mismos para proporcionar servicios Existe una independencia adecuada entre el proveedor y la organizacin Se dan independientemente la bsqueda y la seleccin de proveedores La lista de seguridad de acceso incluye nicamente un nmero mnimo de proveedores requeridos, y que dicho acceso es el mnimo necesario El acceso de hardware y software a los recursos de la organizacin es administrado y controlado para minimizar su utilizacin por parte de los proveedores El nivel real de servicios proporcionados se compara en gran medida con las obligaciones contractuales Las instalaciones, personal, operaciones y controles de fuentes externas aseguran un nivel de desempeo requerido comparable con el esperado El monitoreo continuo de liberacin y entrega de servicios por parte de terceros es llevado a cabo por la administracin Se llevan a cabo auditoras independientes de las operaciones de la parte contratante Existen los reportes de evaluacin para terceros con el fin de evaluar sus capacidades para entregar el servicio requerido Las interfases de los agentes independientes involucrados en la conduccin del proyecto estn documentadas en el contrato. La historia de la actividad de litigacin - actual y anterior Los contratos con proveedores PBX estn y cubiertos
127
COBIT
Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones ("Benchmarking") de los servicios de terceras partes contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria Una revisin detallada de cada uno de los contratos de terceras partes para determinar provisiones cualitativas y cuantitativas que confirmen la definicin de las obligaciones 8 Identificando: Provisiones que describen, coordinan y comunican la relacin entre el proveedor y el usuario de los servicios de informacin Facturas de terceras parte que reflejan cargos precisos por servicios por contrato seleccionados El vnculo de la organizacin con los proveedores como terceras partes que asegura la comunicacin de problemas de contrato entre las partes y los usuarios de los servicios La aprobacin de todos los contratos por parte de la administracin y el consejo legal La puesta en prctica de evaluaciones de riesgos para confirmar la necesidad de las relaciones o la necesidad de modificar la relacin La revisin continua y las acciones correctivas sobre los reportes de contratos llevadas a cabo por la administracin Lo razonable de la aplicacin de los cargos en comparacin con el desempeo interno, externo y de la industria La existencia de planes de contingencia para todos los servicios contratados, especficamente para los servicios de recuperacin en caso de desastre de la funcin de servicios de informacin Para las funciones de fuentes externas, defectos aparentes u oportunidades para mejorar el desempeo o reducir costos La implementacin de recomendaciones contenidas en auditoras independientes llevadas a cabo por la parte contratante
128
Y TECNOLOGAS AFINES
129
COBIT
Entrega & Soporte

Monitoreo
administracin de desempeo y capacidad que satisface los requerimientos de negocio de: asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ella para alcanzar el desempeo deseado se hace posible a travs de: controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos y toma en consideracin:

requerimientos de disponibilidad y desempeo monitoreo y reporte herramientas de modelado administracin de capacidad disponibilidad de recursos

130
Y TECNOLOGAS AFINES
DS 3 ADMINISTRACIN DE DESEMPEO Y CAPACIDAD

1 2 3 4 5 6 7 8 9 Requerimientos de Disponibilidad y Desempeo Plan de Disponibilidad Monitoreo y Reporte Herramientas de Modelado Manejo de Desempeo Proactivo Pronstico de Carga de Trabajo Manejo de Capacidad de Recursos Disponibilidad de Recursos Calendarizacin de Recursos
Comprender a travs de: 8 Entrevistas: Presidencia de la funcin de servicios de informacin Administracin de operaciones de la funcin de servicios de informacin Administracin de la capacidad de la funcin de servicios de informacin Administracin de redes de la funcin de servicios de informacin
8 Obteniendo: Polticas y procedimientos globales para la organizacin relacionados con la disponibilidad, monitoreo y reporte del desempeo, pronstico de la carga de trabajo, administracin de la capacidad y calendarizacin Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el enlace de la capacidad con el plan del negocio, la disponibilidad de los servicios, la planeacin de la disponibilidad, el monitoreo continuo y la administracin del desempeo Representaciones del producto por parte del proveedor con respecto a las normas de capacidad y desempeo Una lista de todos los productos actuales del proveedor en lo referente a hardware, software, comunicaciones y perifricos Reportes de monitoreo de redes de comunicacin Minutas de las reuniones en las que se discuten la planeacin de la capacidad, las expectativas de desempeo y la "afinacin" del desempeo Documentos de disponibilidad, capacidad, carga de trabajo y planeacin de recursos Presupuesto de TI anual incluyendo las suposiciones relacionadas con la capacidad y el desempeo Reportes relacionados con el desempeo operativo dentro de la funcin de servicios de informacin, incluyendo el reporte y la historia de la solucin de problemas Evaluar los controles: 8 Considerando s: Los perodos de tiempo y el nivel de servicio estn definidos para todos los servicios proporcionados por la funcin de
COBIT
servicios de informacin Los perodos de tiempo y los niveles de servicio reflejan los requerimientos del usuario Los perodos de tiempo y los niveles de servicio son consistentes con las expectativas de desempeo del potencial del equipo Existe un plan de disponibilidad, si ste es actual y refleja los requerimientos del usuario Se lleva a cabo y se reporta un monitoreo continuo del desempeo de todo el equipo y de la capacidad, y si la falta de un desempeo adecuado es considerada por la administracin y si se consideran formalmente las oportunidades de mejoras al desempeo Se monitorea el desempeo ptimo de configuracin utilizando herramientas de modelado para maximizar el desempeo y al mismo tiempo, minimizar la capacidad a los niveles requeridos Los usuarios y los grupos de desempeo operativo revisan proactivamente la capacidad, el desempeo, y si se llevan a cabo modificaciones a la calendarizacin de la carga de trabajo El pronstico de la carga de trabajo incluye las entradas hechas por los usuarios debido a demandas cambiantes y por los proveedores debido a nueva tecnologa o a mejoras a los productos actuales Evaluar la suficiencia: 8 Probando que: Las estadsticas sobre reportes de desempeo, capacidad y disponibilidad son precisas, incluyendo una comparacin entre las explicaciones de las variaciones de desempeo histricas y las pronosticadas El proceso de cambios para modificar los documentos de planeacin de disponibilidad, capacidad y carga de trabajo refleja los cambios en la tecnologa o los requerimientos del usuario Los reportes de anlisis de flujo de trabajo consideran las oportunidades de eficiencia de procesos adicionales El reporte de informacin del desempeo para los usuarios relacionado con el uso y la disponibilidad, existe, incluyendo capacidad calendarizacin de carga de trabajo y tendencias Existen procedimientos de escalamiento, que stos son seguidos y son apropiados para la solucin de problemas La fase de post - implementacin de la metodologa de desarrollo de sistemas incluye criterios para determinar el crecimiento futuro y los cambios a las expectativas de desempeo Los niveles de soporte proporcionados por la funcin de servicios de informacin son suficientes para apoyar las metas de la organizacin Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones ("Benchmarking") de la administracin del desempeo y la capacidad contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Pruebas de las necesidades continuas del negocio, para asegurar que los trminos y requerimientos de disponibilidad de TI reflejan adecuadamente estas necesidades Una revisin del proceso de planeacin de capacidad y recursos para asegurar la modificacin oportuna de los planes, tomando como base las necesidades cambiantes del negocio Una verificacin para asegurar que las expectativas de desempeo estn siendo alcanzadas en lo referente a capacidad, respuesta y disponibilidad Una comparacin de los requerimientos de desempeo desde una perspectiva de anlisis costo/beneficio, para asegurar
132
Y TECNOLOGAS AFINES
que no existen excedentes de capacidad o recursos Una verificacin peridica del reporte de desempeo producido y revisado por la administracin Identificando: Reportes de desempeo en cuanto a oportunidades de mejora o solucin de debilidades Las expectativas de desempeo de los usuarios estn siendo satisfechas, y que las modificaciones basadas en cambios de requerimientos estn siendo reflejadas en el plan Bitcoras o reportes de problemas que confirmen que los problemas ocurridos durante el procesamiento fueron considerados oportunamente y que se llevaron a cabo las acciones correctivas apropiadas Problemas especficos encontrados y el aseguramiento de la efectividad del proceso de solucin de problemas
133
COBIT
Entrega & Soporte

Monitoreo
garantizar la seguridad de sistemas que satisface los requerimientos de negocio de: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en caso de interrupciones se hace posible a travs de: teniendo un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideracin:

clasificacin de severidad plan documentado procedimientos alternativos respaldo y recuperacin pruebas y entrenamiento sistemticos y regulares

Y TECNOLOGAS AFINES
DS 4 ASEGURAMIENTO DE SERVICIO CONTINUO

1 Marco de Referencia para Continuidad de TI 2 Estrategia y Filosofa del Plan de Continuidad de TI 3 Contenido del Plan de Continuidad de TI 4 Reduccin de los Requerimientos de la Continuidad de TI 5 Mantenimiento del Plan de Continuidad de TI 6 Prueba del Plan de Continuidad de TI 7 Capacitacin para el Plan de Continuidad de TI 8 Distribucin del Plan de Continuidad de TI 9 Procedimientos de Respaldo del Procesamiento Alterno en el Departamento Usuario 10 Recursos de TI Crticos 11 Respaldo del Sitio y Hardware 12 Procedimientos de Involucramiento
Comprender a travs de: 8 Entrevistas: Presidencia de la funcin de servicios de informacin Administracin de operaciones de la funcin de servicios de informacin Administracin de contingencias de la funcin de servicios de informacin Administracin de recursos humanos o entrenamiento Organizaciones de usuarios con necesidades de reanudacin/contingencia Administrador del centro de cmputo de recuperacin del proveedor Administrador del almacenamiento fuera del centro de cmputo Administrador de riesgos/seguros
8 Obteniendo: Polticas y procedimientos generales para la organizacin relacionados con el proceso de planeacin de recuperacin/ contingencia Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: el marco referencial, el plan, la filosofa, la estrategia, la priorizacin de aplicaciones, el plan de pruebas, los respaldos y rotaciones regulares y el entrenamiento de recuperacin de desastres/contingencia El plan de recuperacin de desastres/contingencia de la funcin de servicios de informacin Los usuarios de los servicios de planes de reanudacin del negocio/contingencia Los resultados de las pruebas de los planes para usuario de recuperacin de desastre/contingencia y reanudacin del negocio/contingencia ms recientes La metodologa para determinar la priorizacin de aplicaciones en caso de desastre Los contratos de los proveedores que dan soporte a los servicios de recuperacin/soporte Polticas de seguros por interrupcin del negocio
COBIT
Evaluar los controles: 8 Considerando s: Las polticas organizacionales requieren de un marco referencial de recuperacin/contingencia y de un plan como parte de los requerimientos normales de operacin tanto para la funcin de servicios de informacin como para todas las organizaciones dependientes de los recursos de sistemas de informacin Las polticas y procedimientos de la funcin de servicios de informacin requieren de: una filosofa y un marco referencial consistentes en relacin con el desarrollo de un plan de recuperacin de desastres/contingencia una priorizacin de las aplicaciones con respecto a los tiempos de recuperacin y regreso una evaluacin de riesgos y la consideracin de seguros por prdidas del negocio en situaciones de recuperacin de desastre/contingencia para la funcin de servicios de informacin, as como para los usuarios de los recursos una determinacin de funciones y responsabilidades especficas con respecto a la planeacin de recuperacin de desastres/contingencia con pruebas, mantenimiento y requerimientos de actualizacin especficos un acuerdo de contrato formal con los proveedores que prestan servicios para proporcionar servicios en caso de desastre, incluyendo instalaciones de centro de cmputo o relaciones de respaldo, anticipndose a una necesidad real la inclusin de los siguientes puntos como contenido mnimo en cada plan de recuperacin de desastre/ contingencia: Procedimientos de emergencia para garantizar la seguridad de todos los miembros del personal afectados Funciones y responsabilidades de la funcin de servicios de informacin, de los proveedores que prestan servicios de recuperacin de desastres, de los usuarios de los servicios y del personal administrativo de soporte Un marco referencial de recuperacin de desastres consistente con un plan de contingencias a largo plazo Una lista de los recursos de sistemas que requieren alternativas (hardware, perifricos, software) Una lista de las aplicaciones mayores y menores, de los tiempos de recuperacin requeridos y de las normas de desempeo esperadas Funciones administrativas para comunicar y proporcionar servicios de soporte tales como beneficios, nmina, comunicacin externa, seguimiento de costos, etc. en caso de desastre Escenarios de desastre varios, desde las prdidas mnimas hasta la prdida total de la capacidad y respuesta en suficiente detalle para llevar a cabo una ejecucin paso a paso. La identificacin de equipo especfico y necesidades de suministros tales como impresoras de alta velocidad, firmas, formatos, equipo de comunicacin, telfonos, etc., as como de una fuente y fuente El entrenamiento, la consciencia y el conocimiento de las funciones individuales y de equipo en el plan de recuperacin de desastre La calendarizacin de las pruebas, los resultados de la ltima prueba y las acciones correctivas llevadas a cabo tomando como base la(s) prueba(s) anterior(es) El detalle de los proveedores de servicios contratados, de los servicios y de la expectativas de respuesta La informacin logstica de la localizacin recursos clave, incluyendo el centro de cmputo de respaldo para la recuperacin de sistemas operativos, aplicaciones, archivos de datos, manuales de operacin y documentacin de programas/sistema/usuarios Los nombres, direcciones, nmeros de telfono/ "localizadores" (pagers) actuales del personal clave La inclusin de los planes de reconstruccin para la recuperacin en la localidad original de todos los sistemas y recursos Las alternativas de reanudacin del negocio para todos los usuarios para el establecimiento de localidades de
Y TECNOLOGAS AFINES
trabajo alternativas, una vez que los recursos de sistemas de informacin estn disponibles (por ejemplo, el sistema ha sido recuperado en el centro de cmputo alternativo pero el edificio de los usuarios sufri un incendio y no est disponible Los requerimientos de la agencia reguladora con respecto a la planeacin de contingencia estn siendo satisfechos Los planes de contingencia para usuarios son desarrollados tomando como base la no disponibilidad de los recursos fsicos para llevar a cabo procesamientos crticos - manuales y computarizados Los sistemas de telefona, Correo de Voz, fax y sistemas de imgenes son parte del plan de continuidad Los sistemas de imgenes, los sistemas de fax, los documentos en papel y los medios de almacenamiento masivo son parte del plan de continuidad. Evaluar la suficiencia: 8 Probando que: Existen planes de recuperacin de desastre/contingencia, que ste es actual y que es comprendido por todas las partes afectadas Se ha proporcionado a todas las partes involucradas un plan regular de entrenamiento de contingencia y recuperacin en caso de desastre Se han seguido todas las polticas y procedimientos relacionadas con el desarrollo del plan El contenido del plan tiene como base el contenido descrito anteriormente, y que: los objetivos del plan de contingencia han sido alcanzados se ha seleccionado a las personas apropiadas para llevar a cabo funciones de liderazgo el plan ha recibido las revisiones y aprobaciones apropiadas por parte de la administracin el plan ha sido probado recientemente y que ste trabaj de acuerdo con lo esperado, o que cualquier deficiencia encontrada trajo como resultado la aplicacin de correcciones al plan existe un vnculo entre el plan de recuperacin en caso de desastres y el plan de negocios de la organizacin los procedimientos manuales alternativos son documentados y probados como parte de la prueba global Se han dado el entrenamiento, la consciencia y el conocimiento de los usuarios y del personal de la funcin de servicios de informacin en cuanto a funciones, tareas y responsabilidades especficas dentro del plan Las relaciones y tiempos del proveedor contratado son consistentes con las expectativas y necesidades del usuario El contenido del centro de cmputo de respaldo est actualizado y es suficiente con respecto a los procedimientos normales de rotacin fuera del centro de cmputo Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones ("Benchmarking") de la planeacin de recuperacin de desastres/contingencias contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Una revisin detallada de: los objetivos del plan para asegurar una estrategia apropiada y una interfase con la estrategia de continuidad general del negocio la comprensin apropiada del personal con respecto a proporcionar liderazgo como coordinadores del plan el plan verificado y aprobado por los niveles apropiados de la presidencia los miembros seleccionados de la funcin de servicios de informacin y del departamento usuario para verificar que las necesidades del negocio estn incluidas en el plan de contingencia
COBIT
los procedimientos de usuario para el procesamiento de datos manual alternativo para asegurar que stos estn documentados por los departamentos usuarios con el fin de ser utilizados cuando ocurra un desastre, y hasta que haya posibilidad de restaurar las operaciones despus del desastre los suministros de aplicacin especficos, para asegurar que existe inventario suficiente en un centro de cmputo exterior (por ejemplo, cintas magnticas, reserva de cheques, reserva de certificados, etc.) 8 Identificando: Los contratos de los proveedores para verificar los tiempos para obtener suministros y la suficiencia de detalles del servicio, oportunidad, niveles de servicio y costos Las provisiones para adquirir componentes de redes o de telecomunicaciones especializadas Escenarios varios a corto plazo y permanentes como parte del plan La priorizacin de aplicaciones ocurridas en forma consistente con las expectativas de los usuarios Que existen contratos por escrito para instalaciones de centro de cmputo externas proporcionales a las necesidades Velocidad, respuesta, disponibilidad y soporte de procesamiento del centro de cmputo alternativo, suficientes para los requerimientos de los usuarios Plan(es) de recuperacin de desastre del (de los) proveedor(es) para asegurar la continuidad de sus servicios en caso de desastre La lejana de los servicios alternativos del proveedor con respecto al centro de cmputo original, con el fin de eliminar la posibilidad de desastres mutuos Pruebas peridicas del plan, habiendo ocurrido ajustes al plan basndose en pruebas Al personal usuario y de la funcin de servicios de informacin, asegurndose que haya recibido regularmente entrenamiento en recuperacin de desastres La existencia de equipos, funciones y responsabilidades de reconstruccin similares, as como pruebas para migrar el procesamiento desde el lugar de procesamiento alternativo al centro de cmputo original
138
Y TECNOLOGAS AFINES
139
COBIT
Entrega & Soporte

Monitoreo
garantizar la seguridad de sistemas que satisface los requerimientos de negocio de: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdida se hace posible a travs de: controles de acceso lgico que aseguren que el acceso a sistemas, datos y programas est restringido a usuarios autorizados y toma en consideracin:

140

autorizacin autenticacin acceso perfiles e identificacin de usuarios administracin de llaves criptogrficas manejo, reporte y seguimiento de incidentes Prevencin y deteccin de virus Firewalls

Y TECNOLOGAS AFINES
DS 5 GARANTIZAR LA SEGURIDAD DE SISTEMAS

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 Manejo de las Medidas de Seguridad Identificacin, Autenticacin y Acceso Seguridad de Acceso a Datos en Lnea Administracin de Cuentas de Usuario Revisin Gerencial de Cuentas de Usuario Control de Usuario de las Cuentas de Usuario Vigilancia de Seguridad Clasificacin de Datos Administracin Centralizada de Identificacin y Derechos de Acceso Reportes de Actividades de Violacin y Seguridad Manejo de Incidentes Re-acreditacin Confianza en el Colega Autorizacin de Transaccin No Rechazo Ruta Confiable Proteccin de las Funciones de Seguridad Administracin de Llaves Criptogrficas Prevencin, Deteccin y Correccin del Software Daino Arquitectura de Firewalls y Conexiones con las Redes Pblicas Proteccin del Valor Electrnico
Comprender a travs de: 8 Entrevistas: Oficial de seguridad Senior de la organizacin Administracin de la seguridad y presidencia de la funcin de servicios de informacin Administrador de la base de datos de la funcin de servicios de informacin Administrador de la seguridad de la funcin de servicios de informacin Administracin de desarrollo de aplicaciones de la funcin de servicios de informacin
8 Obteniendo: Polticas y procedimientos globales para la organizacin referentes a la seguridad y el acceso de los sistemas de informacin Polticas y procedimientos de la funcin de servicios de informacin relacionadas con: seguridad y acceso a los sistemas de informacin Polticas y procedimientos relevantes, as como requerimientos de seguridad legales y regulatorios de los sistemas de informacin (por ejemplo, leyes, regulaciones, lineamientos, estndares industriales) incluyendo:
141
COBIT

procedimientos de administracin de cuentas de usuario poltica de seguridad del usuario o de proteccin de la informacin estndares relacionados con el comercio electrnico esquema de clasificacin de datos inventario de software de control de acceso plano de los edificios/habitaciones que contienen recursos de sistemas de informacin inventario o esquema de los puntos de acceso fsico a los recursos de sistemas de informacin (por ejemplo, mdems, lneas telefnicas y terminales remotas) procedimientos de control de cambios de software de seguridad procedimientos de seguimiento, solucin y escalamiento de problemas reportes de violaciones a la seguridad y procedimientos de revisin administrativa inventario de dispositivos de encriptacin de datos y de estndares de encriptacin lista de los proveedores y clientes con acceso a los recursos del sistema lista de los proveedores de servicios utilizados en la transmisin de datos prcticas de administracin de redes relacionadas con pruebas continuas de seguridad copias de los contratos de los proveedores de servicios de transmisin de datos copias de documentos firmados de seguridad y conocimiento de los usuarios contenido del material de entrenamiento de seguridad para nuevos empleados reportes de auditora de auditores externos, proveedores de servicios como terceras partes y dependencias gubernamentales relacionadas con la seguridad de los sistemas de informacin
Evaluar los controles: 8 Considerando s: Se cuenta con un plan de seguridad estratgico que proporcione una direccin y control centralizados sobre la seguridad de los sistemas de informacin, as como requerimientos de seguridad de usuario con propsitos de consistencia Se cuenta con una organizacin de seguridad centralizada responsable de asegurar el acceso apropiado a los recursos del sistema Se cuenta con un esquema de clasificacin de datos en operacin que indique que todos los recursos del sistema cuentan con un propietario responsable de su seguridad y contenido Se cuenta con perfiles de seguridad de usuario que representen los menos accesos requeridos y que muestren revisiones regulares a los perfiles por parte de la administracin con fines de reacreditacin El entrenamiento de los empleados incluye un conocimiento y conciencia sobre seguridad, las responsabilidades de los propietarios y los requerimientos de proteccin contra virus Se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solucin de problemas. Estos reportes debern incluir: intentos no autorizados de acceso al sistema (sign on) intentos no autorizados de acceso a los recursos del sistema intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad privilegios de acceso a recursos por ID de usuario modificaciones autorizadas a las definiciones y reglas de seguridad accesos autorizados a los recursos (seleccionados por usuario o recurso) cambio de estatus de la seguridad del sistema accesos a las tablas de parmetros de seguridad del sistema operativo
Y TECNOLOGAS AFINES
Existen mdulos criptogrficos y procedimientos clave de mantenimiento, si stos son administrados centralizadamente y si son utilizados para todas las actividades de acceso externo y de transmisin Existen estndares de administracin criptogrfica claves tanto para la actividad centralizada como para la de los usuarios Los controles de cambios al software de seguridad son formales y consistentes con los estndares normales de desarrollo y mantenimiento de sistemas Los mecanismos de autenticidad en uso proveen las siguientes facilidades: uso individual de datos de autenticidad (ej., passwords y no re- utilizables) autentificacin mltiple (ej., se utilizan dos o ms mecanismos de autenticidad diferentes) autenticidad basada en la poltica (ej., capacidad para especificar procedimientos de autenticidad aparte en los eventos especficos) autenticidad a demanda (ej., capacidad de volver a autentificar al usuario, en ocasiones, despus de la autentificacin inicial) El nmero de sesiones concurrentes correspondientes al mismo usuario estn limitadas Al entrar, aparece un mensaje de advertencia preventivo en relacin al uso adecuado del hardware, software o conexin. Se despliega una pantalla de advertencia antes de completar la entrada para informar al lector que los accesos no autorizados podran causar responsabilidades legales Al lograrse la sesin exitosamente, se despliega el historial de los intentos exitosos y fallidos de acceso a la cuenta del usuario La poltica de password incluye: cambio inicial de password la primera vez de uso longitud adecuada mnima del password la frecuencia obligada mnima de cambio de password verificacin del password en la lista de valores no permitidos (ej., verificacin de diccionario) proteccin adecuada para los passwords de emergencia El procedimiento formal para resolucin de problemas incluye: ID de usuario suspendido despus de 5 intentos de entrada fallidos Fecha del ltimo acceso y el nmero de intentos fallidos se despliega al usuario autorizado de las entradas El tiempo de autenticidad se limita a 5 minutos, despus del cual se concluye la sesin Se le informa al usuario la suspensin, pero no la razn de la misma Los procedimientos de marcacin incluyen la marcacin anterior o autenticidad base prueba Los mtodos de control de locacin se utilizan para aplicar restricciones adicionales a las locaciones especficas El acceso al servicio VoiceMail y el sistema PBX est controlado con los mismos controles fsicos y lgicos de los sistemas computacionales Ocurren el refuerzo a las polticas de posicin delicada, incluyendo: se les pide a los empleados en puestos delicados que permanezcan alejados de la organizacin durante un periodo adecuado cada ao gregoriano; durante este tiempo su ID de usuario se suspende; y las personas que lo sustituyen deben notificar a la administracin en caso de advertirse cualquier anormalidad de seguridad la rotacin de personal sin previa notificacin al personal en reas delicadas se realiza de tiempo en tiempo El hardware y software de seguridad, como los mdulos de encriptacin, estn protegidos contra la intromisin o divulgacin, el acceso se limita a la base de la necesidad de conocimiento El acceso a los datos de seguridad como el manejo de la seguridad, datos de transaccin delicados, passwords y claves de encriptacin se limita a la base de la necesidad de conocimiento Se utilizan rutas confiables para transmitir informacin delicada no encriptados Para evitar la suspensin del servicio por ataques con faxes basura, se toman medidas de seguridad como: evitar la publicacin de nmeros de fax fuera de la organizacin en la base de necesidad de conocimiento
COBIT
las lneas de fax utilizadas para solicitudes del negocio no se utilizan con otros fines Las medidas preventivas y detectoras de control se han establecido con respecto a los virus de computadoras Para reforzar la integridad de los valores electrnicos, se toman las medidas: facilidades de lector de tarjeta protegido contra la destruccin, publicacin o modificacin de la informacin de la tarjeta la informacin de la tarjeta (NIP y dems informacin) se protege contra la divulgacin del intruso se evita la falsificacin de las tarjetas Para reforzar la proteccin de las facilidad de seguridad, se toman medidas: el proceso de identificacin y autenticidad requiere ser repetido despus de un cierto periodo de inactividad un sistema de candado, un botn de fuerza o una secuencia de salida se puede activar cuando la terminal se deja encendida
Evaluar la suficiencia: 8 Probando que: La funcin de servicios de informacin cumple con los estndares de seguridad relacionados con: autenticacin y acceso administracin de clasificacin de perfiles de usuario y seguridad de datos reportes y revisin gerencial de las violacin e incidentes de seguridad estndares criptogrficos administrativos clave deteccin de virus, solucin y comunicacin clasificacin y propiedad de datos Existen procedimientos para la requisicin, establecimiento y mantenimiento del acceso de usuarios al sistema Existen procedimientos para el acceso externo de recursos del sistema, por ejemplo, "logon, ID, password o contrasea y dial back Se lleva un inventario de los dispositivos del sistema para verificar su suficiencia Los parmetros de seguridad del sistema operativo tienen como base estndares locales/del proveedor Las prcticas de administracin de seguridad de la red son comunicadas, comprendidas e impuestas Los contratos de los proveedores de acceso externo incluyen consideraciones sobre responsabilidades y procedimientos de seguridad Existen procedimientos de logon reales para sistemas, usuarios y para el acceso de proveedores externos Se emiten reportes de seguridad en cuanto a la oportunidad, precisin y respuesta gerencial a incidentes El acceso a las llaves y mdulos criptogrficos se limita a necesidades reales de consulta Existen llaves secretas para la transmisin Los procedimientos para la proteccin contra software maligno incluyen: todo el software adquirido por la organizacin se revisa contra los virus antes de su instalacin y uso existe una poltica por escrito para bajar archivos (downloads), aceptacin o uso de aplicaciones gratuitas y compartidas y esta poltica est vigente el software para aplicaciones altamente sensibles est protegido por MAC (Messsage Authentication Code- Cdigo de Autentificacin de Mensajes) o firma digital, y fallas de verificacin para evitar el uso del software los usuarios tienen instrucciones para la deteccin y reportes de virus, como el desempeo lento o crecimiento misterioso de archivos existe una poltica y un procedimiento vigente para la verificacin de disquetes externos al programa de compra normal de la organizacin
Y TECNOLOGAS AFINES
Los firewalls poseen por lo menos las siguientes propiedades: todo el trfico de adentro hacia fuera y viceversa debe pasar por estos firewalls (esto no debe limitarse a los controles digitales, debe reforzarse fsicamente) slo se permitir el paso al trfico autorizado, como se define en la poltica de seguridad local los firewalls por s misma es inmune a la penetracin el trfico se intercambia en firewalls a la capa de aplicacin nicamente la arquitectura del firewall combina las medidas de control tanto a nivel de la red como de la aplicacin la arquitectura del firewall refuerza la discontinuidad de un protocolo en la capa de transportacin la arquitectura del firewall debe estar configurada de acuerdo a la filosofa de arte mnima la arquitectura del firewall debe desplegar slida autentificacin para la administracin y sus componentes la arquitecura del firewall oculta la estructura de la red interna la arquitectura del firewall provee una auditora de todas las comunicaciones hacia o a travs del sistema del firewall y activar alarmas cuando se detecte alguna actividad sospechosa el host de la organizacin, que provee el soporte para las solicitudes de entrada al servicio de las redes pblicas, permanece fuera del firewall la arquitectura del firewall se defiende de los ataques directos (ej., a travs del monitoreo activo de la tecnologa de reconocimiento de patrones y trfico) todo cdigo ejecutable se explora en busca de cdigos malignos ej., virus, applets dainos) antes de introducirse a la red interna Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones (Benchmarking) de la seguridad de los sistemas de informacin contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Una revisin detallada de la seguridad de los sistemas de informacin, incluyendo evaluaciones de penetracin de la seguridad fsica y lgica de los recursos computacionales, de comunicacin, etc. Entrevistas a los nuevos empleados para asegurar el conocimiento y la conciencia en cuanto a seguridad y en cuanto a las responsabilidades individuales, por ejemplo, confirmar la existencia de declaraciones de seguridad firmadas y el entrenamiento para nuevos empleados en cuanto a seguridad Entrevistas a usuarios para asegurar que el acceso est determinado tomando como base la necesidad (menor necesidad) y que la precisin de dicho acceso es revisada regularmente por la gerencia 8 Identificando: Accesos inapropiados por parte de los usuarios a los recursos del sistema Inconsistencias con el esquema o inventario de redes en relacin con puntos de acceso faltantes, accesorios faltantes, etc. Deficiencias en los contratos en cuanto a la propiedad y responsabilidades relacionadas con la integridad y seguridad de los datos en cualquier punto de la transmisin entre en envo y la recepcin Empleados no verificados como usuarios legtimos o antiguos empleados que cuenten an con acceso Requisiciones informales o no aprobadas de acceso a los recursos del sistema Software de monitoreo de redes que no indique a la administracin de redes las violaciones a la seguridad Defectos en los procedimientos de control de cambios del software de redes La no utilizacin de llaves secretas en los procedimientos de emisin/recepcin de terceras partes Deficiencias en los protocolos para generacin de llaves, almacenamiento de distribucin, entrada, uso, archivo y proteccin La falta de software actualizado para la deteccin de virus o de procedimientos formales para prevenir, detectar, corregir y comunicar contaminaciones
145
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: identificacin y asignacin de costos que satisface los requerimientos de negocio de: asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI se hace posible a travs de: un sistema de contabilidad de costos que asegure que stos sean registrados, calculados y asignados a los niveles de detalle requeridos y toma en consideracin:
recursos identificables y medibles procedimientos y polticas de cargo tarifas Monitoreo

Y TECNOLOGAS AFINES
DS 6 IDENTIFICACIN Y ASIGNACIN DE COSTOS

1 2 3 Elementos Sujetos a Cargo Procedimientos de Costeo Procedimientos de Cargo y Facturacin a Usuarios
Comprender a travs de: 8 Entrevistas: Gerencia administrativa o de asignacin de costos de la funcin de servicios de informacin Administracin de usuarios seleccionada facturada y absorbente de costos Obteniendo: Polticas y procedimientos generales para la organizacin relacionadas con la planeacin y la preparacin del presupuesto Polticas y procedimientos de la funcin de servicios de informacin relacionadas con la agregacin de costos, facturacin, metodologa y reportes de desempeo/costos Los siguientes elementos de la funcin de servicios de informacin: Presupuesto actual y del ao anterior Reportes de seguimiento de la utilizacin de los recursos de los sistemas de informacin Datos fuente utilizados en la preparacin de los reportes de seguimiento Metodologa o algoritmo de asignacin de costos Reportes histricos de facturacin Los siguientes elementos de la administracin de usuarios: Presupuesto actual y del ao anterior para los costos de la funcin de servicios de informacin Plan de desarrollo y mantenimiento de sistemas de informacin del ao en curso Gastos presupuestados para los recursos de sistemas de informacin, incluyendo aquellos facturados o absorbidos
Evaluar los controles: 8 Considerando s: La funcin de servicios de informacin cuenta con un grupo responsable de reportar y emitir facturas a los usuarios Existen procedimientos que: creen un plan anual de desarrollo y mantenimiento con la identificacin de prioridades por parte del usuario en cuanto a desarrollo, mantenimiento y gastos operacionales permitan a los usuarios una determinacin de muy alto nivel en cuanto a en qu se gastan los recursos de la funcin de servicios de informacin generen un presupuesto anual para la funcin de servicios de informacin, incluyendo: Cumplimiento con los requerimientos organizacionales en cuanto a la preparacin de presupuestos Consistencia en cuanto a cules costos deben ser asignados por los departamentos usuarios
COBIT
Comunicacin de costos histricos, suposicin de nuevos costos para la comprensin del usuario en cuanto a cules costos son incluidos y facturados Autorizacin del usuario de todos los costos presupuestados a ser asignados por la funcin de servicios de informacin Frecuencia de la emisin de reportes y cargo real de costos a los usuarios seguimiento de los costos asignados de todos los recursos de los sistemas de informacin en cuanto (pero sin limitarse) a: Hardware operacional Equipo perifrico Utilizacin de telecomunicaciones Desarrollo y soporte de aplicaciones Generales administrativos Costos de servicios de proveedores externos Help desk Instalaciones y mantenimiento Costos directos e indirectos Gastos fijos y variables Costos discrecionales asistan en la emisin regular de reportes para los usuarios en cuanto al desempeo para las distintas categoras de costos reporten a los usuarios en cuanto a mediciones (benchmarks) externas relacionadas con la efectividad de costos, con el fin de permitir una comparacin contra las expectativas de la industria u otras fuentes alternativas de servicios para los usuarios permitan la modificacin oportuna de la asignacin de costos para reflejar los cambios en las necesidades del negocio aprueben y acepten formalmente los cargos al ser recibidos identifiquen las oportunidades de mejora de la funcin de servicios de informacin para reducir las facturaciones o para obtener un mejor valor por los cargos Los reportes aseguran que los elementos sujetos a costo son identificables, medibles y predecibles Los reportes capturan y resaltan los cambios en los componentes de costos o en el algoritmo de asignacin Evaluar la suficiencia: 8 Probando que: Existe una metodologa de asignacin de costos, que los usuarios estn de acuerdo en cuanto a su equidad, y que genera tanto costos como reportes Existe un programa de mejora para reducir costos o aumentar el desempeo de los recursos de los sistemas de informacin Los procesos de asignacin y reporte fomentan un uso ms apropiado, efectivo y consistente de los recursos computacionales, que stos aseguran el tratamiento justo de los departamentos usuarios y sus necesidades, y que los cargos reflejan los costos asociados con la prestacin de servicios Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones (Benchmarking) de la contabilidad de costos y de la metodologa de facturacin contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas
Y TECNOLOGAS AFINES
Un reclculo de la facturacin a partir de datos fuente, a travs de un algoritmo de asignacin de facturacin y dentro del flujo de reportes a usuarios La precisin de los datos en el reporte de desempeo, como: utilizacin de CPU utilizacin de perifricos utilizacin de DASD lneas de cdigo escritas lneas/pginas impresas modificaciones a programas llevadas a cabo nmero de PCs, telfonos, archivos de datos consultas al help desk nmero, duracin de las transmisiones La compilacin de los datos fuente de recursos en el reporte de desempeo es correcta Se cuenta con el algoritmo real para compilar y asignar costos a facturacin La precisin de la facturacin a usuarios especficos sea probada frecuentemente Las facturaciones a usuarios sean aprobadas Se lleven a cabo revisiones de consistencia de la facturacin entre los diferentes usuarios El progreso en el plan de desarrollo de usuarios tenga como base los costos expendidos Se lleve a cabo una revisin de la distribucin de reportes en cuanto a utilizacin e informacin de costos La satisfaccin del usuario en cuanto a : lo razonable de la facturacin comparada con las expectativas presupuestadas el plan de desarrollo anual contra los costos lo razonable de la facturacin comparada con las fuentes alternativas, por ejemplo benchmarks la comunicacin de tendencias que incrementara/decrementara la facturacin solucin de las variaciones comparadas contra la facturacin esperada 8 Identificando: Oportunidades para una mayor efectividad y propiedad de la metodologa de facturacin incluyendo ms componentes de costos modificando los ndices o unidades de medida de asignacin de costos modificando el algoritmo mismo de costos mecanizando o integrando la funcin de contabilidad con equipo y reportes generadores de aplicaciones Inconsistencias dentro del algoritmo de asignacin Inconsistencias de asignacin entre diferentes usuarios Oportunidades para la mejora de recursos de sistemas Oportunidades para el usuario con el fin de aplicar de una mejor manera los recursos de servicios de informacin para alcanzar los requerimientos de negocios del usuario Mejoras en la eficiencia de los procesos de recopilacin, acumulacin, asignacin, reporte y comunicacin, los cuales de traducirn en un mejor desempeo o menor costo para los usuarios de los servicios proporcionados Que las tendencias de costos reflejadas por las variaciones y el anlisis hayan sido traducidas a cargos modificados en los perodos siguientes y hayan sido reflejadas en la estructura de costos Que existen oportunidades para hacer de la funcin de servicios de informacin un centro de provecho y beneficios al proporcionar servicios a otros usuarios internos o externos Si la funcin de servicios de informacin es un centro de provecho y beneficios, que la contribucin de dichos beneficios contra el plan y el presupuesto sea alcanzada y que destaquen las oportunidades para aumentar los beneficios
149
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: educacin y entrenamiento de usuarios que satisface los requerimientos de negocio de: asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes de los riesgos y responsabilidades involucrados se hace posible a travs de: un plan completo de entrenamiento y desarrollo y toma en consideracin:
curriculum de entrenamiento campaas de concientizacin tcnicas de concientizacin Monitoreo

Y TECNOLOGAS AFINES
DS 7
EDUCACIN Y ENTRENAMIENTO DE USUARIOS
1 2 3 Identificacin de necesidades de entrenamiento Organizacin de Entrenamiento Entrenamiento sobre principios y conciencia de Seguridad
Comprender a travs de: 8 Entrevistas: Administrador de entrenamiento o recursos humanos de la organizacin Administrador de entrenamiento o de recursos humanos de la funcin de servicios de informacin Administradores y empleados seleccionados de la funcin de servicios de informacin Administradores y empleados seleccionados de los departamentos usuarios Obteniendo: Polticas y procedimientos generales para la organizacin con respecto al entrenamiento sobre controles y conciencia de seguridad, beneficios para los empleados enfocados al desarrollo, programas de entrenamiento para los usuarios de servicios, instalaciones educacionales y requerimientos de educacin continua profesional Programas, polticas y procedimientos de entrenamiento y de educacin de la funcin de servicios de informacin relacionados con controles y conciencia de seguridad, seguridad tcnica y controles Programas de entrenamiento disponibles (tanto internos como externos) para seguridad y conciencia de controles introductorios y continuos, as como para entrenamiento dentro de la organizacin
Evaluar los controles: 8 Considerando s: Existen polticas y procedimientos relacionados con una conciencia continua de seguridad y controles Se cuenta con un programa de educacin/entrenamiento enfocado a los principios de seguridad de los sistemas de informacin y de control Los nuevos empleados tienen conocimiento y conciencia de la responsabilidad de seguridad y control con respecto a la utilizacin y la custodia de los recursos de sistemas de informacin Se cuenta con polticas y procedimientos vigentes relacionados con entrenamiento y si stos estn actualizados con respecto a la configuracin tcnica de los recursos de sistemas de informacin Existe disponibilidad de oportunidades de entrenamiento interno, considerando tambin la asistencia de los empleados Existe disponibilidad de oportunidades de entrenamiento tcnico externo, considerando tambin la asistencia de los empleados Si una funcin de entrenamiento asesora las necesidades de entrenamiento del personal con respecto a seguridad y controles, trasladando estas necesidades en oportunidades de entrenamiento interno o externo Se requiere a todos los empleados asistir a entrenamientos de conciencia de control y seguridad continuamente, los cuales incluiran, sin limitarse a: principios generales de seguridad de sistemas
COBIT
conducta tica de la funcin de servicios de informacin prcticas de seguridad para la proteccin contra daos ocasionados por fallas que afecten la disponibilidad, confidencialidad, integridad y desempeo de las funciones en una forma segura existen las responsabilidades asociadas con la custodia y utilizacin de los recursos de sistemas de informacin la seguridad de la informacin y los sistemas de informacin cuando se utilizan externamente al lugar La capacitacin sobre la sensibilizacin a la seguridad incluye una poltica para evitar la exposicin de la informacin sensible a travs de conversaciones (ej., avisando el estatus de la informacin a todas las personas que toman parte en la conversacin) Evaluar la suficiencia: 8 Probando que: Los nuevos empleados tienen conciencia y conocimiento de la seguridad, controles y responsabilidades fiduciarias de poseer y utilizar recursos de sistemas de informacin Las responsabilidades de los empleados con respecto a la confiabilidad, integridad, disponibilidad, confidencialidad y seguridad de todos los recursos de los sistemas de informacin es comunicada continuamente Un grupo de la funcin de servicios de informacin es formalmente responsable del entrenamiento, conciencia de seguridad y controles y mantenimiento de programas de educacin continua para certificaciones profesionales Se considera continuamente la evaluacin de las necesidades de entrenamiento para empleados El desarrollo o la participacin en los programas de entrenamiento relacionados con seguridad y controles es parte de los requerimientos de entrenamiento Existen programas reales nuevos y a largo plazo de entrenamiento sobre conciencia de seguridad para empleados Los acuerdos de confidencialidad son firmados por todos los empleados No faltan estatutos de confidencialidad y conflicto de intereses para empleados No faltan evaluaciones de necesidades de entrenamiento para empleados Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Una revisin de los manuales de entrenamiento en cuanto a su adecuacin y suficiencia con respecto a controles de seguridad, confidencialidad, confiabilidad, disponibilidad e integridad Entrevistas al personal de la funcin de servicios de informacin para determinar la identificacin de necesidades de entrenamiento y la extensin o satisfaccin de tales necesidades 8 Identificando: Inconsistencias en el currculum ofrecido como respuesta a las necesidades de entrenamiento Deficiencias en la conciencia de los usuarios en cuanto a problemas de seguridad relacionados con la utilizacin de los recursos de los sistemas de informacin

152
Y TECNOLOGAS AFINES
153
COBIT
P
Control sobre el proceso de TI de: Apoyo y asistencia a los clientes de TI que satisface los requerimientos de negocio de: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente se hace posible a travs de: un Bur de ayuda que proporcione soporte y asesora de primera lnea y toma en consideracin:
consultas de usuarios y respuesta a problemas monitoreo de consultas y despacho anlisis y reporte de tendencias
Entrega & Soporte
Monitoreo

55
Bur de ayuda (help desk)
154
Y TECNOLOGAS AFINES
DS 8 APOYO Y ASISTENCIA PARA LOS CLIENTES DE TECNOLOGA DE INFORMACIN

1 2 3 4 5 Bur de Ayuda Registro de preguntas del Usuario Escalamiento de preguntas del cliente Monitoreo de atencin a clientes Anlisis y reporte de tendencias
Comprender a travs de: 8 Entrevistas: Administrador de soporte del bur de ayuda de la funcin de sistemas de informacin Usuarios seleccionados de los servicios de informacin Obteniendo: Polticas y procedimientos generales para la organizacin relacionados con el soporte a usuarios de la funcin de servicios de informacin Organigrama, misin, polticas y procedimientos de la funcin de servicios de informacin relacionados con las actividades de bur de ayuda Reportes relacionados con la preguntas de los usuarios, su solucin y estadsticas de desempeo del bur de ayuda Cualquier estndar de desempeo para las actividades del bur de ayuda Acuerdos de nivel de servicios entre la funcin de servicios de informacin y usuarios diversos Archivos personales que muestren las credenciales y experiencia profesional del personal del bur de ayuda
Evaluar los controles: 8 Considerando s: La naturaleza de la funcin del bur de ayuda (por ejemplo, la forma en la que las requisiciones de ayuda son procesadas y la ayuda es proporcionada) es efectiva Existen instalaciones reales, divisiones o departamentos que lleven a cabo la funcin del bur de ayuda, as como personal o posiciones responsables del bur de ayuda El nivel de documentacin para las actividades del bur de ayuda es adecuado y actual Existe un proceso real para registrar requisiciones de servicios y si se hace uso de dicha bitcora El proceso para la escalacin de preguntas y la intervencin de la administracin para su solucin son suficientes El perodo de tiempo para atender las preguntas recibidas es adecuado Existen los procedimientos para el seguimiento de tendencias y reportes de las actividades del bur de ayuda Se identifican y ejecutan formalmente iniciativas de mejora de desempeo Se alcanzan y se cumple con los acuerdos de nivel de servicio y los estndares de desempeo El nivel de satisfaccin del usuario peridicamente se revisa y se reporta
155
COBIT
8 Probando que: Las polticas y procedimientos son actuales y precisos en relacin con las actividades del bur de ayuda Los compromisos de nivel de servicio son conservados y que las variaciones son explicadas Las preguntas son atendidas de una forma oportuna El anlisis y reporte de tendencias asegura que los reportes: son emitidos y que se toman las medidas necesarias para mejorar el servicio incluyen problemas especficos, anlisis de tendencias y tiempos de respuesta son enviados a las personas responsables con la autoridad para resolver los problemas Se obtienen para una muestra de requisiciones de ayuda, confirmacin de la precisin, oportunidad y suficiencia de la respuesta Las encuestas sobre el nivel de satisfaccin del usuario existen y se trabaja con ellas
Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Entrevistas con usuarios seleccionados para determinar su satisfaccin en cuanto a: actividades de bur de ayuda reporte de actividades cumplimiento de los compromisos de nivel de servicio Una revisin de la competencia y capacidad del personal del bur de ayuda con respecto a la realizacin de sus tareas Una revisin de preguntas seleccionadas escaladas en cuanto a lo adecuado de sus respuestas Una revisin de los reportes de tendencias y posibles oportunidades de mejoras de desempeo 8 Identificando: Interacciones inadecuadas de las actividades del bur de ayuda con respecto a otras funciones dentro de la funcin de servicios de informacin, as como a las organizaciones usuarias Procedimientos y actividades insuficientes relacionadas con problemas en el reporte de recepcin, registro, seguimiento, escalamiento y solucin de preguntas Deficiencias en el proceso de escalamiento con respecto a la falta de involucramiento por parte de la administracin o a acciones correctivas efectivas Oportunidad inadecuada en el reporte de problemas o insatisfaccin del usuario en cuanto al proceso de reporte de problemas.
156
Y TECNOLOGAS AFINES
157
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: Administracin de la configuracin que satisface los requerimientos de negocio de: dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios se hace posible a travs de: controles que identifiquen y registren todos los activos de TI as como su localizacin fsica y un programa regular de verificacin que confirme su existencia y toma en consideracin:
Monitoreo
registro de activos administracin de cambios en la configuracin chequeo de software no autorizado controles de almacenamiento de software

Y TECNOLOGAS AFINES
DS 9 ADMINISTRACIN DE LA CONFIGURACIN
1 2 3 4 5 6 Registro de la Configuracin Base de la Configuracin Estado de Cuenta Control de la Configuracin Software no Autorizado Almacenamiento de Software
Comprender a travs de: 8 Entrevistas: Administracin de operaciones de la funcin de servicios de informacin Administracin de soporte de sistemas de la funcin de servicios de informacin Administracin de desarrollo de aplicaciones de la funcin de servicios de informacin Administracin de instalaciones Personal de soporte de proveedores de software Personal de administracin de activos relacionados con computacin Administrador de aseguramiento de la calidad 8 Obteniendo: Un inventario de la configuracin: hardware, software de sistema operativo, software de aplicaciones, instalaciones y archivos de datos dentro y fuera de las instalaciones Polticas y procedimientos organizacionales relacionados con la adquisicin, inventario y disposicin de software y equipo computacional comprado, rentado o arrendado Polticas organizacionales relacionadas con la utilizacin de software o equipo no autorizado Polticas y procedimientos de la funcin de servicios de informacin relacionados especficamente con la adquisicin, disposicin y mantenimiento de los recursos de la configuracin Polticas y procedimientos de la funcin de servicios de informacin relacionados con las funciones de aseguramiento de la calidad y de control de cambios en cuanto a la transferencia independiente y el registro de la migracin del desarrollo de software nuevo y modificado hacia los archivos y estatus de produccin Informacin de la base de la configuracin Registros contables de activos fijos y arrendamientos relacionados con los recursos de sistemas Reportes relacionados con adiciones, eliminaciones y cambios a la configuracin de los sistemas Listas del contenido de las distintas libreras prueba, desarrollo y produccin Inventario del contenido del almacenamiento fuera de las instalaciones equipo, archivos, manuales y formas incluyendo material en manos de los proveedores
COBIT
Evaluar los controles: 8 Considerando s: El proceso para crear y controlar las bases de la configuracin (el punto en el diseo y desarrollo de un elemento de la configuracin ms all del cual no ocurren ms avances sin llevar a cabo un estricto control de la configuracin) es apropiado Existen funciones para mantener la base de la configuracin Existe un proceso para controlar los estados de cuenta de los recursos adquiridos y arrendados incluyendo entradas, salidas e integracin con otros procesos Los procedimientos de control de la configuracin incluyen: integridad en la base de la configuracin controles de autorizacin de acceso programados en el sistema de administracin de cambios la recuperacin de los elementos de la configuracin y las requisiciones de cambios en cualquier momento la terminacin de la configuracin y de los reportes que evalan lo adecuado de los procedimientos de registro de la configuracin evaluaciones peridicas de la funcin de registro de la configuracin el personal responsable de la revisin del control de la configuracin satisfaga los requisitos de conocimientos, destrezas y habilidades la existencia de procedimientos para revisar el acceso a las bases del software los resultados de las revisiones sean proporcionados a la administracin para llevar a cabo acciones correctivas Se lleva a cabo regularmente una revisin peridica de la configuracin con registros de inventario y de cuentas La base de la configuracin cuenta con historia suficiente para dar seguimiento a los cambios Existen procedimientos de control de cambios de software para: establecer y mantener una librera de programas de aplicacin con licencia asegurar que la librera de programas de aplicacin con licencia sea controlada adecuadamente asegurar la confiabilidad e integridad del inventario de software asegurar la confiabilidad e integridad del inventario de software autorizado utilizado y revisar la existencia de software no autorizado asignar responsabilidades sobre el control de software no autorizado a un miembro especfico del personal registrar el uso de software no autorizado y reportar a la administracin para llevar a cabo acciones correctivas determinar si la administracin llev a cabo acciones correctivas sobre las violaciones Los procesos de migracin de aplicaciones de desarrollo al ambiente de pruebas y finalmente al estatus de produccin interactuan con el reporte de la configuracin El proceso de almacenamiento de software incluye: definir un rea segura de almacenamiento de archivos (librera) para todo el software vlido en fases apropiadas del ciclo de vida de desarrollo de sistemas requerir separacin de las libreras de almacenamiento de software entre ellas y con respecto a las reas de almacenamiento de archivos de desarrollo, pruebas y produccin requerir la existencia dentro de las libreras fuente que permitan la colocacin temporal de mdulos fuente a ser transferidos al perodo de ciclo de produccin requerir que cada miembro de todas las libreras cuente con un propietario designado definir controles de acceso lgicos y fsicos establecer responsabilidades sobre el software
160
Y TECNOLOGAS AFINES
establecer un seguimiento de auditora detectar, documentar y reportar a la administracin todas las instancias en las que no se cumpla con este procedimiento determinar si la administracin llev a cabo acciones correctivas Existe una coordinacin entre el desarrollo de aplicaciones, el aseguramiento de la calidad y las operaciones con respecto a la actualizacin de la base de la configuracin al realizarse cambios
Evaluar la suficiencia: 8 Probando que: Todos los elementos de la configuracin se encuentran bajo un control base Las polticas y procedimientos relacionados con el reporte de la configuracin son actuales y precisos Se cumple con los estndares de desempeo con respecto al mantenimiento y reporte de la configuracin Se lleva a cabo una comparacin entre el inventario fsico del equipo y los registros de contabilidad de activos Existe independencia de la migracin de pruebas a produccin y registros de los cambios Para una seleccin de salidas de base: se lleve una base precisa, apropiada y aprobada de los elementos de la configuracin los registros de la configuracin reflejen el estatus actual de todos los elementos de la configuracin, incluyendo la historia de cambios la administracin revise y evale peridicamente la consistencia de la configuracin, y que se lleven a cabo acciones correctivas las libreras de archivos hayan sido definidas conveniente y adecuadamente y en fases apropiadas del ciclo de vida de desarrollo de sistemas para todas las computadoras personales que contengan software no autorizado se reporten violaciones y la administracin lleve a cabo acciones correctivas los registros de la configuracin con respecto a producto, versin y modificaciones de los recursos proporcionados por los proveedores sean precisos los registros histricos de cambios a la configuracin sean precisos existan mecanismos para asegurar que no exista software no autorizado en las computadoras, incluyendo: Polticas y estatutos Entrenamiento y conciencia de responsabilidades potenciales (legales y de producto) Formas firmadas de cumplimiento por parte de todo el personal que utilice computadoras Control centralizado del software computacional Revisin continua del software computacional Reportes de los resultados de la revisin Acciones correctivas por parte de la administracin basadas en los resultados de las revisiones el almacenamiento de programas de aplicacin y cdigo fuente sea definido durante el ciclo de desarrollo y que el impacto de los registros de la configuracin sea determinado la suficiencia e integridad de los registros de proveedores y fuera del site relacionados con la configuracin, as como la precisin en los registros de la configuracin sean anticipados y considerados se definan procedimientos de base de la configuracin para:
161
COBIT
Registrar el evento que cre la base, el establecimiento de la base y los elementos de la configuracin que deben ser controlados en la base Modificar la base, incluyendo la autoridad requerida para aprobar los cambios a las bases de la configuracin aprobadas previamente Registrar los cambios a la base y a los elementos de la configuracin que deben ser controlados en la base Asegurar que todos los elementos de la configuracin son registrados dentro de los productos de base existe el reporte de estado de cuenta para: El tipo de informacin a ser recopilada, almacenada, procesada y reportada (Esto deber incluir el estatus de la base, los hallazgos en las revisiones de la base, requisiciones de cambios y estatus; revisin y aprobacin/desaprobacin del control de la configuracin (s aplica); modificaciones realizadas; reportes de problemas y estatus y la historia de la revisin de la configuracin) La manera en la que los problemas de requisiciones de cambio son resueltos con un estado de cuenta incompleto Los tipos de reportes de estados de cuenta a ser generados y su frecuencia La manera en la que el acceso a estos datos de estatus ser controlado
Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Una revisin detallada de la frecuencia y la oportunidad de las revisiones administrativas de los registros de la configuracin, lo cambios a los registros y la conciliacin de lo registros de inventario, cuenta y proveedor Un anlisis del software de varias libreras en cuanto a posible duplicacin, identificacin de cdigo objeto faltante y en cuanto a la eliminacin de archivos de datos o programas innecesarios -- y su reflejo en los registros de la configuracin Identificando: Las debilidades en la conciencia y en el conocimiento de la administracin y el personal en cuanto a las polticas organizacionales con respecto a: Los registros de la configuracin y los cambios realizados a estos registros La colocacin de controles de configuracin en el ciclo de vida de desarrollo de sistemas La integracin de los registros de configuracin, cuenta y proveedor La no utilizacin de software no autorizado en computadoras personales Posibles mejoras inadecuadas en la efectividad y la eficiencia de la funcin de creacin y mantenimiento de la funcin de creacin y mantenimiento de la base de la configuracin Deficiencias en los cambios de proveedores al ser reflejados en los registros de la configuracin, en los registros de seguridad, o cambios a los registros por parte de los proveedores reflejados apropiadamente
162
Y TECNOLOGAS AFINES
163
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: administracin de problemas e incidentes que satisface los requerimientos de negocio de: asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir cualquier recurrencia se hace posible a travs de: un sistema de manejo de problemas que registre y d seguimiento a todos los incidentes y toma en consideracin:
suficientes pistas de auditora de problemas y Monitoreo
soluciones
resolucin oportuna de problemas reportados procedimientos de escalamiento reportes de incidentes

Y TECNOLOGAS AFINES
DS 10 MANEJO DE PROBLEMAS E INCIDENTES

1 2 3 Sistema de manejo de Problemas Escalamiento de Problemas Seguimiento de Problemas y Pistas de Auditora
Comprender a travs de: 8 Entrevistas: Personal de soporte de operaciones de la funcin de servicios de informacin Personal de soporte del bur de ayuda de la funcin de servicios de informacin Personal de soporte de sistemas de la funcin de servicios de informacin Personal de soporte de aplicaciones de la funcin de servicios de informacin Usuarios seleccionados de los recursos de los sistemas de informacin 8 Obteniendo: Un resumen de las instalaciones y posiciones de manejo de problemas que realizan la funcin de manejo de problemas Polticas y procedimientos de la funcin de servicios de informacin relacionados con el manejo de problemas, incluyendo procesos de reconocimiento, registro, solucin, escalamiento, seguimiento y reporte Una lista de los problemas reportados durante un perodo representativo, incluyendo la fecha de ocurrencia, la fecha de escalamiento (s aplica), la fecha de solucin y los tiempos de solucin Una lista de las aplicaciones crticas que son escaladas inmediatamente a la atencin de la presidencia para darles prioridad de solucin, o que son reportables como problemas crticos Un conocimiento de cualquier aplicacin de manejo de problemas, y en particular un mtodo para asegurar que todos los problemas son capturados, resueltos y reportados segn lo requerido Evaluar los controles: 8 Considerando s: Existe un proceso de manejo de problemas que asegure que todos los eventos operacionales que no son parte de las operaciones estndar son registrados, analizados y resueltos de manera oportuna, y que se generan reportes de incidentes para problemas significativos Existen procedimientos de manejo de problemas para: definir e implementar un sistema de manejo de problemas registrar, analizar y resolver de manera oportuna todos los eventos no-estndar establecer reportes de incidentes para los eventos crticos y la emisin de reportes para usuarios identificar tipos de problemas y metodologa de priorizacin que permitan una variedad de soluciones tomando el riesgo como base definir controles lgicos y fsicos de la informacin de manejo de problemas
COBIT

distribuir salidas con una base de necesidad de conocimiento seguir las tendencias de los problemas para maximizar recursos y reducir la rotacin recolectar entradas de datos precisas, actuales, consistentes y utilizables para la emisin de reportes notificar los escalamientos al nivel apropiado de administracin determinar si la administracin evala peridicamente el proceso de manejo de problemas en cuanto a una mayor efectividad y eficiencia asegurar la suficiencia de los seguimientos de auditora para los problemas de sistemas asegurar la integracin entre los cambios, la disponibilidad, el sistema y el personal de manejo de la configuracin
Evaluar la suficiencia: 8 Probando que: Una muestra seleccionada de salidas de procesos cumple con los procedimientos establecidos relacionados con: problemas no-crticos problemas crticos/de alta prioridad que requieren escalamiento el reporte de los requerimientos, el contenido, la precisin, la distribucin y las acciones llevadas a cabo la satisfaccin del usuario con el proceso de manejo de problemas y los resultados Va entrevistas, el conocimiento y la conciencia del proceso de manejo de problemas Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Para una seleccin de problemas reportados, pruebas que aseguren que los procedimientos de manejo de problemas fueron seguidos para todas las actividades no-estndar, incluyendo: registro de todos los eventos no-estndar por proceso seguimiento y solucin de todos y cada una de los eventos nivel apropiado de respuesta tomando como base la prioridad del evento escalamiento de problemas para eventos crticos reporte apropiado dentro de la funcin de servicios de informacin y grupos usuarios revisiones regulares de efectividad y eficiencia de procesos en cuanto a mejoras expectativas y xito de programa de mejoras del desempeo 8 Identificando: Ocurrencias de problemas no controlados formalmente por el proceso de manejo de problemas Ocurrencias de problemas reconocidos pero no resueltos por proceso de manejo de problemas Variaciones entre los eventos de procesos reales y formales con respecto a la solucin de problemas Deficiencias de los usuarios en el proceso de manejo de problemas, en la comunicacin de problemas y su solucin -en cuanto a posibles oportunidades de mejora
166
Y TECNOLOGAS AFINES
167
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: Administracin de datos que satisface los requerimientos de negocio de: asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualizacin y almacenamiento se hace posible a travs de: una combinacin efectiva de controles generales y de aplicacin sobre las operaciones de TI y toma en consideracin:
Monitoreo
diseo de formatos controles de documentos fuente controles de entrada controles de procesamiento controles de salida identificacin, movimiento y administracin de la librera de medios administracin de almacenamiento y respaldo de medios autenticacin e integridad

168
Y TECNOLOGAS AFINES
DS 11 ADMINISTRACIN DE DATOS
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 Procedimientos de Preparacin de Datos Procedimientos de Autorizacin de Documentos Fuente Recopilacin de Datos de Documentos Fuente Manejo de Errores de Documentos Fuente Retencin de Documentos Fuente Procedimientos de Autorizacin de Entrada de Datos Revisiones de Precisin, Suficiencia y Autorizacin Manejo de Errores en la Entrada de Datos Integridad de Procesamiento de Datos Validacin y Edicin de Procesamiento de Datos Manejo de Errores en el Procesamiento de Datos Manejo y Retencin de Salida de Datos Distribucin de Salida de Datos Balanceo y Conciliacin de Datos de Salida Revisin de Salida de Datos y Manejo de Errores Provisiones de Seguridad para Reportes de Salida Proteccin de Informacin Sensible Proteccin de Informacin Sensible Desechada Administracin de Almacenamiento Perodos de Retencin y Trminos de Almacenamiento Sistema de Administracin de la Librera de Medios Responsabilidades de la Administracin de la Librera de Medios Respaldo y Restauracin Funciones de Respaldo Almacenamiento de Respaldo Archivo Proteccin de mensajes sensibles Autenticacin e Integridad Integridad de Transacciones Electrnicas Integridad contnua de Datos Almacenados
Comprender a travs de: 8 Entrevistas: Administracin de operaciones de la funcin de servicios de informacin Administracin de bases de datos de la funcin de servicios de informacin Administracin de desarrollo de aplicaciones de la funcin de servicios de informacin Administracin de entrenamiento/recursos humanos de la funcin de servicios de informacin Administracin de soporte de sistemas de la funcin de servicios de informacin Administracin de la seguridad de respaldos Administraciones de usuarios varias para aplicaciones crticas de la misin
169
COBIT
8 Obteniendo: Polticas y procedimientos organizacionales relacionados con la naturaleza y administracin de datos, incluyendo: flujo de datos dentro de la funcin de servicios de informacin y entre usuarios de datos puntos en la organizacin en los que los datos son originados, concentrados en grupos o tandas (batched), editados, capturados, procesados, extrados, revisados, corregidos y remitidos, y distribuidos a los usuarios proceso de autorizacin de documentos fuente procesos de recoleccin, seguimiento y transmisin de datos procedimientos para asegurar la suficiencia, precisin, registro y transmisin de documentos fuente completos para captura procedimientos utilizados para identificar y corregir errores durante la creacin original de datos procedimientos para asegurar la integridad, confidencialidad y aceptacin de los mensajes delicados transmitidos por Internet o cualquier otra red pblica mtodos utilizados por la organizacin para retener documentos fuente (archivo, imagen, etc.), para definir qu documentos deben ser retenidos, los requerimientos de retencin legales y regulatorios, etc. sistemas de interfase que proporcionen y utilicen datos para las funciones de servicios de informacin contratos de proveedores para llevar a cabo tareas de administracin de datos reportes administrativos utilizados para monitorear actividades e inventarios Una lista de todas las aplicaciones mayores, as como de la documentacin de usuario relacionada con: mdulos que lleven a cabo revisiones de precisin, suficiencia y autorizacin de captura funciones que lleven a cabo entradas de datos para cada aplicacin funciones que lleven a cabo rutinas de correccin de errores de entrada de datos mtodos utilizados para prevenir (por medios manuales y programados), detectar y corregir errores control de la integridad de los procesos de datos emitidos edicin y autenticacin de la validacin del procesamiento de datos tan cerca del punto de origen como sea posible manejo y retencin de salidas creadas por aplicaciones salidas, distribucin de salidas y sistemas de interfase que utilizan salidas procedimientos de balanceo de salidas para control de totales y conciliacin de variaciones revisin de la precisin de los reportes de salida y de la informacin seguridad en los reportes de procesamiento de salidas distribuidos seguridad de los datos transmitidos y entre aplicaciones disposicin de documentacin sensible de entrada, proceso y salida procedimientos de control de proveedores como terceras partes con respecto a preparacin, entrada, procesamiento y salida Polticas y procedimientos relacionados con cualquier depsito de bases de datos de la organizacin, incluyendo: organizacin de la base de datos y diccionario de datos procedimientos de mantenimiento y seguridad de bases de datos determinacin y mantenimiento de la propiedad de las bases de datos procedimientos de control de cambios sobre el diseo y contenido de la base de datos reportes administrativos y seguimientos de auditora que definen actividades de bases de datos Polticas y procedimientos relacionados con la librera de medios y con el almacenamiento de datos fuera del site, incluyendo:
Y TECNOLOGAS AFINES
administracin de la librera de medios y del sistema de administracin de la librera requerir la identificacin externa de todos los medios requerir el inventario actual de todos los contenidos y procesos para actividades de control procesos de administracin para proteger los recursos de datos procedimientos de conciliacin entre registros reales y de datos reciclaje de datos y rotacin de medios de datos datos de pruebas pasadas de pruebas de inventario y recuperacin llevadas a cabo funciones del personal de los medios y fuera del site en los planes de manejo de desastres y recuperacin del negocio
Evaluar los controles: 8 Considerando s: Para la preparacin de datos: los procedimientos de preparacin de datos aseguran suficiencia, precisin y validez existen procedimientos de autorizacin para todos los documentos fuente existe una separacin de funciones entre el origen, la aprobacin y la conversin de documentos fuente a datos los datos autorizados permanecen completos, precisos y vlidos a travs de la creacin original de documentos fuente los datos son transmitidos de una manera oportuna se lleva a cabo una revisin peridica de los documentos fuente en cuanto a su suficiencia y aprobaciones apropiadas se lleva a cabo un manejo apropiado de documentos fuente errneos existe un control adecuado de informacin sensible en documentos fuente en cuanto a proteccin contra transgresiones los procedimientos aseguran suficiencia y precisin de documentos fuente, contabilidad apropiada para documentos fuente y conversin oportuna la retencin de documentos fuente es lo suficientemente larga para permitir: la reconstruccin en caso de prdida, la disponibilidad para revisiones y auditora, las averiguaciones de litigacin o los requerimientos regulatorios Para la entrada de datos: los documentos fuente siguen un proceso de aprobacin apropiada antes de su captura existe una separacin de funciones apropiada entre las actividades de envo, aprobacin, autorizacin y entrada de datos existen cdigos nicos de terminal o estacin e identificaciones seguras de operadores existen procesos de uso, mantenimiento y control de cdigos de estacin e identificadores de operador se lleva a cabo un seguimiento de auditora para identificar la fuente de entrada existen verificaciones de rutina o revisiones de edicin de los datos capturados tan cerca del punto de origen como sea posible existen procesos apropiados de manejo de datos de entrada errneos se asignan claramente las responsabilidades para hacer cumplir una autorizacin apropiada de los datos
171
COBIT
Para el procesamiento de datos: Los programas contienen rutinas de prevencin, deteccin y correccin de errores: los programas deben probar las entradas en cuanto a errores (por ejemplo, validacin y edicin) los programas deben validar todas las transacciones contra una lista maestra los programas deben rechazar la anulacin de condiciones de error Los procesos de manejo de errores incluyen: la aprobacin de la correccin y del reenvo de errores la definicin de las responsabilidades individuales para archivos suspendidos la generacin de reportes de errores no resueltos por parte de los archivos en suspenso la disponibilidad del esquema de priorizacin de archivos suspendidos tomando como base la edad y el tipo Existen bitcoras de los programas ejecutados y las transacciones procesadas/rechazadas para propsitos de auditora Existe un grupo de control para monitorear las actividades de entrada e investigar los eventos no-estndar, as como balancear las cuentas de registros y totales de control para todos los datos procesados Todos los campos son editados apropiadamente, an si uno de los campos contiene algn error Las tablas utilizadas en la validacin son revisadas frecuentemente Existen procedimientos por escrito para la correccin y reenvo de datos con errores incluyendo una solucin no descriptiva para reprocesamiento Las transacciones reenviadas son procesadas exactamente como fueron procesadas originalmente La responsabilidad de la correccin de errores reside dentro de la funcin de envo original Los sistemas de Inteligencia Artificial estn colocados en un marco referencial de control interactivo con operadores humanos que aseguran que las decisiones importantes se aprueben Para las salidas, interfaces y distribucin: El acceso a las salidas est restringido fsica y lgicamente a personal autorizado Se lleva a cabo una revisin continua de necesidades de salidas Las salidas son balanceadas rutinariamente con respecto a totales de control Existen seguimientos de auditora para facilitar el seguimiento del procesamiento de transacciones y la conciliacin de datos confusos La precisin de los reportes de salidas es revisada y los errores contenidos en las salidas son revisados por personal capacitado Existe una definicin clara de problemas de seguridad durante las salidas, interfaces y distribucin Las violaciones a la seguridad durante cualquier fase son comunicadas a la administracin, se llevan a cabo acciones correctivas sobre ellas y son reflejadas apropiadamente en nuevos procedimientos El proceso y la responsabilidad de la disposicin de salidas est claramente definida La destruccin de materiales utilizados pero no requeridos despus de procesados es presenciada por alguien Todos los medios de entrada y salida son almacenados en localidades fuera del site en caso de requerirse en un futuro La informacin marcada como eliminada cambia de tal forma que no se pueda recuperar Para la librera de medios: El contenido de la librera de medios es inventariada sistemticamente Las discrepancias descubiertas por el inventario son solucionadas oportunamente Se toman medidas para mantener la integridad de los medios magnticos almacenados en la librera Existen procesos de administracin para proteger el contenido de la librera de medios Las responsabilidades de la administracin de la librera de medios han sido asignadas a miembros especficos del personal de la funcin de servicios de informacin
172
Y TECNOLOGAS AFINES
Existen estrategias de respaldo y restauracin de medios Los respaldos de medios se llevan a cabo de acuerdo con la estrategia de respaldos y si la utilidad de los respaldos es verificada regularmente Los respaldos de medios son almacenados con seguridad y si las localidades de almacenamiento son revisadas peridicamente en cuanto a la seguridad de sus acceso fsico y a la seguridad de los archivos de datos y otros elementos Los periodos de retencin y almacenamiento estn definidos por documentos, datos, programas, reportes y mensajes (de entrada y salida) as como los los datos (claves, certificados) utilizados para su encriptacin y autentificacin Los procedimientos adecuados estn activos en relacin al archivo de informacin (datos y programas) en lnea con los requerimientos legales y del negocio y reforzando la capacidad de respuesta y reproduccin Para la autentificacin e integridad de informacin: La integridad de los archivos de datos se verifica peridicamente Las solicitudes externas a la organizacin recibidas por va telefnica o correo de voz se verifican confirmado por telfono o algn otro medio de autentificacin Un mtodo preestablecido se utiliza independiente a la verificacin de la autentificacin de la fuente y el contenido de las solicitudes de transaccin recibida va fax o sistemas de imgenes La firma electrnica o la certificacin se utilizan para verificar la integridad y autenticidad de los documentos electrnicos que entran Evaluar la suficiencia: 8 Probando que: La preparacin de datos: Para una muestra seleccionada de documentos fuente, existe consistencia evidente con respecto a los procedimientos establecidos relacionados con la autorizacin, aprobacin, precisin, suficiencia y recepcin de entrada de datos y si la entrada de datos es oportuna El personal de las fuentes, entradas y conversin tiene conciencia y comprende los requerimientos de control en la preparacin de datos La entrada de datos: Se envan de datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo revisiones de precisin, suficiencia y autorizacin Para transacciones seleccionadas se comparan los archivos maestros antes y despus de la captura Existe una apropiada revisin de retencin, solucin y de la integridad en el manejo de errores Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos El procesamiento de datos: Se utilizan efectivamente los totales de control corrida-a-corrida y los controles de actualizacin de archivos maestros Se envan datos de prueba (tanto transacciones correctas como errneas) para asegurar que se llevan a cabo la validacin, autenticacin y edicin de procesamiento de datos tan cerca del punto de origen como sea posible El proceso de manejo de errores es llevado a cabo de acuerdo con los procedimientos y controles establecidos Se llevan a cabo la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcionan adecuadamente Los procedimientos y acciones del manejo de errores cumplen con los procedimientos y controles establecidos La Salida, Interfase y Distribucin de Datos: La salida es balanceada rutinariamente contra totales de control relevantes
173
COBIT
Los seguimientos de auditora son proporcionados para facilitar el seguimiento del procesamiento de transacciones en la conciliacin de datos confusos o errneos Los reportes de salida son revisados en cuanto a su precisin por parte del proveedor y los usuarios relevantes Existen la retencin, solucin y revisin apropiada de la integridad en el manejo de errores y que stas funcionan adecuadamente Los procedimientos y acciones de manejo de errores cumplen con las polticas y controles establecidos Los reportes de salidas son asegurados al esperar ser distribuidos, as como aqullos ya distribuidos a los usuarios de acuerdo con los procedimientos y controles establecidos Existe la proteccin adecuada para la informacin sensible durante la transmisin y transporte contra los accesos no autorizados y las modificaciones Existe una proteccin adecuada de informacin sensible durante la transmisin y transporte en cuanto a accesos y modificaciones no autorizadas Los procedimientos y acciones de informacin sensible dispuesta cumplen con los procedimientos y controles establecidos La Librera de Medios: El contenido de la librera de medios es inventariado sistemticamente, que todas las discrepancias encontradas son solucionadas oportunamente y se toman medidas para mantener la integridad de los medios almacenados en la librera Los procedimientos de administracin diseados para proteger el contenido de la librera de medios existen y funcionan adecuadamente Las responsabilidades de la administracin de la librera de medios son asignadas apropiadamente La librera de medios es independiente de las funciones de preparacin, entrada, procesamiento y salida La estrategia de respaldos y restauracin de medios es apropiada Los respaldos de medios se llevan a cabo apropiadamente de acuerdo con la estrategia de respaldo definida Los sites de almacenamiento de medios son seguros fsicamente y que su inventario est actualizado El almacenamiento de datos considera los requerimientos de recuperacin y la economa o efectividad de costos Los perodos de retencin y los trminos de almacenamiento son apropiados para documentos, datos, programas y reportes El riesgo de maldireccionar mensajes (por carta, fax o e-mail) se reduce con los procedimientos adecuados Los controles normalmente se aplican a un proceso de transaccin especfico, como faxes o contestadores telefnicos automticos, tambin aplica a sistemas computacionales que soportan la transaccin o proceso (ej., software de fax en las computadoras personales) Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones (Benchmarking) de la administracin de datos contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Para una seleccin de transacciones, la confirmacin de la propiedad del procesamiento durante: la preparacin de datos el procesamiento de entradas el procesamiento de datos la salida, distribucin o integracin
174
Y TECNOLOGAS AFINES
el manejo de errores en todas las fases del procesamiento la integridad de los datos a travs del manejo de errores en todas las fases del procesamiento retencin y destruccin Pruebas especficas para lo siguiente: suficiencia, precisin y validez durante cada fase del procesamiento aprobaciones y autorizaciones aprobadas existencia de controles preventivos, detectivos y correctivos dentro del procesamiento o va funciones manuales/ procedimientos de grupos de control retencin de documentos fuente para la revisin posterior de la consistencia con respecto a los requerimientos de retencin recuperacin de una seleccin de documentos fuente y medios de transacciones para confirmar la existencia y la precisin anlisis de la disponibilidad del seguimiento de auditora: existencia, identificacin de fuente/operador y asegurar que cualquier sistema de interfase cuenta con niveles iguales de control sobre las transacciones edicin de las funciones de programas de entrada y procesamiento, incluyendo, pero sin limitarse a: Blancos en campos requeridos Validacin de cdigos de transacciones Montos negativos Cualquier otra condicin apropiada suficiencia de las pruebas de validacin internas al procesamiento archivos suspendidos con transacciones defectuosas, incluyendo los siguientes controles: Identificacin inmediata del operador que comete el error y aviso del error Todas las transacciones de error son transferidas a estos archivos suspendidos El registro es mantenido hasta que la transaccin es resuelta y eliminada Las transacciones muestran cdigo de error, fecha y hora de captura, operador y mquina Los archivos de suspenso crean reportes de seguimiento para la revisin administrativa, el anlisis de tendencias y entrenamiento correctivo separacin de la funciones de origen, entrada, procesamiento, verificacin y distribucin Para una seleccin de transacciones de salida: revisar una muestra de listas de transacciones procesadas en cuanto a su suficiencia y precisin revisar una muestra de reportes de salida en cuanto a precisin y suficiencia revisar los calendarios de retencin de salidas en cuanto a su adecuacin y cumplimiento de los procedimientos confirmar que la distribucin real de una muestra de salidas fue llevada a cabo con procesin confirmar el procesamiento integrado confirmando la salida de una bitcora de procesamiento de transacciones de un sistema con la entrada de la bitcora de otro sistema revisar los procedimientos de balanceo para todas las entradas, salidas de procesamiento y otras transacciones de uso de sistemas confirmar que nicamente personal autorizado tiene acceso a reportes sensibles confirmar la destruccin o relocalizacin de almacenamientos fuera del site para todos los medios de datos por polticas y procedimientos de retencin confirmar los perodos reales de retencin contra los procedimientos de retencin atestiguar la entrega o transmisin real de salidas sensibles y el cumplimiento con los procedimientos de procesamiento, distribucin y seguridad
175
COBIT
confirmar la creacin e integridad de los respaldos en asociacin con el procesamiento normal, as como para los requerimientos del plan de recuperacin en caso de desastre Para la librera de medios: revisar el acceso del os usuarios a los servicios sensibles: determinar que el acceso es apropiado seleccionar una muestra de medios a ser destruida y observar el proceso completo; verificar el cumplimiento de los procedimientos aprobados determinar la adecuacin de los controles para los datos en almacenamientos fuera del site y mientras los datos estn en trnsito obtener resultados del inventario de la librera de medios ms reciente; confirmar su precisin confirmar que los procesadores de registro son suficientes para accesar los medios necesarios revisar los controles en cuanto a las desviaciones o bypass restringidos de reglas de etiquetado internas e internas probar el cumplimiento de los controles internos y externos va revisin de medios seleccionados revisar los procedimientos de creacin de respaldos para asegurar la existencia de datos suficientes en caso de desastre confirmar las inspecciones de la librera de medios por requerimientos calendarizados 8 Identificando:

cuando los archivos de produccin son accesados directamente por los operadores que antes y despus no creen ni se mantengan imgenes de archivos formas de entrada y salida sensibles (por ejemplo, certificados de reservas) no protegidas bitcoras no llevadas y mantenidas para totales batch y de control para todas las fases del procesamiento reportes de salidas no tiles a los usuarios: datos relevantes y tiles, reportes necesarios, distribucin apropiada, formato y frecuencia adecuados, acceso en lnea a los reportes tomado en consideracin datos transmitidos sin controles adicionales, incluyendo: Accesos de envo/recepcin de transmisiones limitados Autorizacin e identificacin apropiadas del emisor y del receptor Medios seguros de transmisin Encriptacin de datos transmitidos y algoritmos de decodificacin apropiados Pruebas de integridad de la transmisin en cuanto a su suficiencia Procedimientos de retransmisin contratos de proveedores con controles faltantes como servicios de destruccin deficiencias fuera del site con respecto a amenazas al ambiente tales como fuego, agua, fallas elctricas y accesos no autorizados
176
Y TECNOLOGAS AFINES
177
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: Administracin de instalaciones que satisface los requerimientos de negocio de: proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligros naturales o fallas humanas se hace posible a travs de: la instalacin de controles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado y toma en consideracin:
Monitoreo
acceso a instalaciones identificacin del centro de cmputo seguridad fsica salud y seguridad del personal proteccin contra amenazas ambientales

Y TECNOLOGAS AFINES
DS 12 ADMINISTRACIN DE INSTALACIONES
1 2 3 4 5 6 Seguridad Fsica Bajo Perfil de las Instalaciones de Tecnologa de Informacin Escolta de Visitantes Salud y Seguridad del Personal Proteccin contra Factores Ambientales Suministro Ininterrumpido de Energa
Comprender a travs de: 8 Entrevistas: Administrador de las Instalaciones Oficial de Seguridad Administrador de Riesgos Administracin de operaciones de la funcin de servicios de informacin Administrador de la seguridad de la funcin de servicios de informacin 8 Obteniendo: Polticas y procedimientos organizacionales relacionados con la administracin, disposicin o plano, seguridad, inventario de activos fijos e inventario de las instalaciones, as como adquisicin/arrendamiento de capital Polticas y procedimientos de la funcin de servicios de informacin relacionados con la disposicin o plano de las instalaciones, la seguridad fsica y lgica, acceso, mantenimiento, visitantes, salud, seguridad y requerimientos ambientales, mecanismos de entrada y salida, reporte de seguridad, contratos de seguridad y mantenimiento, inventario de equipo, procedimientos de vigilancia, y requerimientos regulatorios Una lista de los individuos que tienen acceso a las instalaciones y la disposicin o plano de las instalaciones Una lista de los acuerdos de desempeo, capacidad y nivel de servicios con respecto a las expectativas de desempeo de los recursos de los sistemas de informacin (equipo e instalaciones), incluyendo estndares industriales Copia del documento de planeacin de recuperacin/contingencia en caso de desastre Evaluar los controles: 8 Considerando s: La localizacin de las instalaciones no es obviamente externa, se encuentra en el rea u organizacin menos accesible, y si el acceso es limitado al menor nmero de personas Los procedimientos de acceso lgico y fsico son suficientes, incluyendo perfiles de seguridad de acceso para empleados, proveedores, equipo y personal de mantenimiento de las instalaciones Los procedimientos y prcticas de administracin de llave ("Key" ) y lectora de tarjetas ("card reader") son adecuados, incluyendo la actualizacin y revisin continuas tomando como base una menor necesidad de acceso
COBIT
Las polticas de acceso y autorizacin de entrada/salida, escolta, registro, pases temporales requeridos, cmaras de vigilancia son apropiadas para todas las reas y especialmente para las reas ms sensibles Se llevan a cabo revisiones peridicas de los perfiles de acceso, incluyendo revisiones administrativas Existen y se llevan a cabo los procesos de revocacin, respuesta y escalamiento en caso de violaciones a la seguridad Existe el proceso de signage con respecto a la no identificacin de reas sensibles, y si es consistente con los requerimientos de seguro, cdigo de construccin local y regulatorios Las medidas de control de seguridad y acceso incluyen a los dispositivos de informacin porttiles utilizados fuera del sitio Se lleva a cabo una revisin de los registros de visitantes, asignacin de pases, escolta, persona responsable del visitante, bitcora para asegurar tanto los registros de entradas como de salidas y el conocimiento de la recepcionista con respecto a los procedimientos de seguridad Se lleva a cabo una revisin de los procedimientos de aviso contra incendio, cambios de clima, problemas elctricos y procedimientos de alarma, as como las respuestas esperadas en los distintos escenarios para los diferentes niveles de emergencias ambientales Se lleva a cabo una revisin de los procedimientos de control de aire acondicionado, ventilacin, humedad y las respuestas esperadas en los distintos escenarios de prdida o extremos no anticipados Existe una revisin del proceso de alarma al ocurrir una violacin a la seguridad, que incluya: definicin de la prioridad de la alarma (por ejemplo, apertura de la puerta por parte de una persona armada que ha entrado en las instalaciones) escenarios de respuesta para cada alarma de prioridad responsabilidades del personal interno versus personal de seguridad local o proveedores interaccin con las autoridades locales revisin del simulacro de alarma ms reciente La organizacin es responsable del acceso fsico dentro de la funcin de servicios de informacin, incluyendo: desarrollo, mantenimiento y revisiones continuas de polticas y procedimientos de seguridad establecimiento de relaciones con proveedores relacionados con la seguridad contacto con la administracin de las instalaciones en cuanto a problemas de tecnologa relacionados con seguridad coordinacin del entrenamiento y conciencia sobre seguridad para la organizacin coordinacin de actividades que afecten en control de acceso lgico va aplicaciones centralizadas y software de sistema operativo proporcionar entrenamiento y crear conciencia de seguridad no slo dentro de la funcin de servicios de informacin, sino para los servicios de usuarios Se llevan a cabo prcticas de distribuidores automticos y servicios de conserjera para investigacin del personal en las instalaciones de la organizacin Se llevan a cabo la actualizacin y negociacin del contenido de los contratos de servicio Los procedimientos de pruebas de penetracin y los resultados coordinan los escenarios de prueba de penetracin fsica coordinan la prueba de penetracin fsica con proveedores y autoridades locales Se cumple con las regulaciones de salud, seguridad y ambiente La seguridad fsica es tomada en cuenta en el plan de recuperacin/contingencia en caso de desastre y abarca una seguridad fsica similar en las instalaciones aprovisionadas Existen elementos de infraestructura especficos alternativos necesarios para implementar seguridad: fuente de poder ininterrumpida (UPS) alternativas o reruteo de lneas de telecomunicacin recursos alternativos de agua, gas, aire acondicionado y humedad
180
Y TECNOLOGAS AFINES
Evaluar la suficiencia: 8 Probando que: El personal tiene conciencia y comprende la necesidad de seguridad y controles Los armarios cableados estn fsicamente protegidos con el acceso posible autorizado y el cableado se encuentra bajo tierra o conductos protegidos tanto como sea posible El proceso de signage identifica rutas de emergencia y qu hacer en caso de una emergencia o violacin a la seguridad Los directorios de telfono en otra partes de la instalacin no identifican localidades sensibles La bitcora de visitantes sigue apropiadamente los procedimientos de seguridad Existen los procedimientos de identificacin requeridos para cualquier acceso dentro o fuera va observacin Las puertas, ventanas, elevadores, ventilas y ductos o cualquier otro modo de acceso estn identificados El site computacional est separado, cerrado y asegurado y es accesado nicamente por personal de operaciones y gente de mantenimiento tomando como base un acceso necesario El personal de las instalaciones rota turnos y toma vacaciones y descansos apropiados Existen los procedimientos de mantenimiento y registro para un desempeo de trabajo oportuno Las variaciones de las polticas y procedimientos en las operaciones de los turnos segundo y tercero son reportadas Los planes fsicos son actualizados a medida que cambian la configuracin, el ambiente y las instalaciones Los registros y el equipo de monitoreo ambiental y de seguridad --debajo, en, sobre, y alrededor son mantenidos No se almacenan tiles peligrosos Existe el seguimiento de auditora de control de acceso sobre software de seguridad o reportes clave de administracin Se ha dado seguimiento a toda emergencia ocurrida en el pasado o a su documentacin El personal con acceso son empleados reales Se llevan a cabo verificaciones de suficiencia de administracin clave de acceso Se otorga una educacin en seguridad fsica y conciencia de seguridad Existe una cobertura y experiencia de seguros para los gastos asociados con algn evento de seguridad, prdida del negocio y gastos para recuperar la instalacin El proceso para la implementacin de acceso a cambios de llaves y controles de procesos lgicos es continuo y conocido El ambiente cumple con los requerimientos regulatorios establecidos Las bitcoras de mantenimiento de alarmas no pueden ser modificadas inapropiadamente La frecuencia de cambios a los cdigos de acceso y revisiones de perfil involucramiento de usuario e instalaciones es documentada Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Mediciones (Benchmarking) de administracin de instalaciones contra organizaciones similares o estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Comparaciones de la disposicin o plano fsico contra bosquejos del edificio y dispositivos de seguridad Determinaciones sobre: la no aparicin de la instalacin en s como una localidad de servicios de sistemas, ni siquiera sugerida indirectamente va direcciones, sealamientos de estacionamiento, etc. la limitacin del nmero de puertas por cdigos locales de construccin/seguro la suficiente proteccin de las instalaciones a travs de barreras fsicas para evitar el acceso inapropiado de vehculos y personas patrones de trnsito para asegurar que el flujo no dirige a las personas hacia las reas de seguridad la suficiencia del monitoreo con videos y la revisin de cintas
COBIT
la existencia de espacio apropiado para el equipo computacional en cuanto a acceso, temperatura y mantenimiento la suficiencia y disponibilidad de las cubiertas para el equipo contra agua o elementos externos en caso de emergencia la revisin de las bitcoras de mantenimiento de alarmas y el reporte del ltimo reporte de simulacro Pruebas sobre temperatura, humedad, electricidad sobre y debajo de los pisos falsos; si han ocurrido anomalas, cules fueron las actividades de investigacin/solucin resultantes Revisiones de todos los seguros y bisagras (bisagras dentro de la habitacin) Una visita de las instalaciones sin portar gafete para determinar si se llevan a cabo detenciones e interrogatorios sobre el hecho de no portar gafete Revisiones de la cobertura del guardia/recepcionista cuando un visitante es escoltado a travs de las instalaciones Pruebas de seguridad de penetracin de las instalaciones 8 Identificando: Suficiencia de signage, extinguidores de incendios, sistemas de aspersin, UPS, drenaje, cableado y mantenimiento regular Para las ventanas: asegurar que ningn recursos es visible desde el exterior, que no existan aparadores en el centro de datos Determinacin de pruebas de seguridad de penetracin Pruebas de visitantes, incluyendo registro, gafete, escolta, inspeccin, salida Discrepancias en la bitcora de visitantes y en los gafetes de visitantes Evaluacin de los perfiles e historia de acceso tomando como base el reporte clave de la administracin incluyendo el reemplazo de gafetes/tarjetas maestras y artculos perdidos inactivos Revisin de estadsticas de desastres locales Desarrollo de escenarios de penetracin en caso de desastre Contratos de proveedores para asegurar que se llevan a cabo una investigacin de personal y el cumplimiento con los requerimientos de salud y seguridad Pruebas de UPS y verificar que los resultados cumplan con los requerimientos operacionales y de capacidad para sostener las actividades crticas de procesamiento de datos Pruebas de acceso de informacin (bitcoras, cintas, registros) para asegurar que stos son revisados por los usuarios y la administracin en cuando a su propiedad Pruebas de procedimientos de monitoreo de entrada a la instalacin cerca del rea
182
Y TECNOLOGAS AFINES
183
COBIT
Entrega & Soporte
Control sobre el proceso de TI de: administracin de operaciones que satisface los requerimientos de negocio de: asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente y de una manera ordenada se hace posible a travs de: una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades y toma en consideracin:
Monitoreo
manual de procedimiento de operaciones documentacin de procedimientos de arranque administracin de servicios de red calendarizacin de personal y cargas de trabajo proceso de cambio de turno registro de eventos de sistemas

184

Y TECNOLOGAS AFINES
DS 13 MANEJO DE OPERACIONES
1 2 3 4 5 6 7 Manual de Procedimientos de Operacin e Instrucciones Documentacin del Proceso de Inicio y de Otras Operaciones Calendarizacin de Trabajos Salidas de la Calendarizacin de Trabajos Estndar Continuidad de Procesamiento Bitcoras de Operacin Operaciones Remotas
Comprender a travs de: 8 Entrevistas: Administracin de operaciones de la funcin de servicios de informacin Administracin de la planeacin de recuperacin/contingencia en caso de desastre de la funcin de servicios de informacin Presidencia de la funcin de servicios de informacin Usuarios seleccionados de los recursos de la funcin de servicios de informacin Proveedores seleccionados que proporcionan servicios o productos de software por contrato 8 Obteniendo: Polticas y procedimientos organizacionales relacionados con la administracin de operaciones y el rol de sistemas de informacin en el cumplimiento de los objetivos del negocio Polticas y procedimientos de la funcin de servicios de informacin relacionados con el rol operacional, las expectativas de desempeo, la calendarizacin de trabajos, los acuerdos de nivel de servicio, las instrucciones para el operador, la rotacin de personal, la planeacin de recuperacin/contingencia en caso de desastre y las operaciones de instalaciones remotas Instrucciones operacionales para la funcin general de inicio, trmino, calendarizacin de la carga de trabajo, estndares, acuerdos de nivel de servicio, procedimientos fijos de emergencia, respuestas de procesamiento anormal, bitcoras de consola, seguridad fsica y lgica, separacin de libreras de desarrollo y produccin y procedimientos de problemas de escalamiento Una muestra seleccionada de instrucciones operacionales para aplicaciones clave incluyendo, calendarizacin, entradas, tiempo de procesamiento, mensajes de error, instrucciones de fin anormal, reinicio, procedimientos de problemas de escalamiento, trabajos antes y despus y archivos fuera del site
185
COBIT
Evaluar los controles: 8 Considerando s: Existe evidencia sobre: la suficiencia de todos los procesamientos llevados a cabo, reinicios y recuperaciones la suficiencia de la carga de programa inicial (IPL) y del procedimiento de trmino estadsticas de suficiencia del calendario para confirmar el trmino completo y exitoso de todos los requerimientos la separacin fsica y lgica de las libreras fuente y objeto, de pruebas/desarrollo/produccin y los procedimientos de control de cambios para trasladar programas de una librera a otra estadsticas de desempeo para actividades operacionales, incluyendo, aunque sin limitarse a: Capacidad, utilizacin y desempeo de hardware y perifricos Utilizacin y desempeo de memoria Utilizacin y desempeo de telecomunicaciones prueba de que el desempeo alcanza las normas de desempeo de producto, los estndares de desempeo definidos internamente y los compromisos de acuerdo de nivel de servicio de usuarios el mantenimiento, retencin y revisin peridicos de las bitcoras de operacin la oportunidad de mantenimiento realizado a todo el equipo la rotacin de turnos, el disfrute de vacaciones y el mantenimiento de competencia de los operadores Evaluar la suficiencia: 8 Probando que: Los miembros del personal de operaciones tienen conciencia y comprenden: los procedimientos de operacin por los que son responsables las expectativas de desempeo dentro de las instalaciones normas de proveedores, estndares organizacionales y acuerdos de nivel de servicio con los usuarios el programa fijo de emergencia, as como los procedimientos de reinicio/recuperacin los requerimientos y la revisin administrativa de los requerimientos de la bitcora de operaciones los procedimientos de escalamiento de problemas la comunicacin de cambios de turno y las responsabilidades entre turnos procedimientos de cambio o rotacin para trasladar programas de desarrollo a produccin interaccin con las instalaciones remotas de procesamiento y las instalaciones centrales de procesamiento las responsabilidades de comunicacin de oportunidades de mejoras a la productividad a la administracin Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Una revisin de las estadsticas de desempeo operacional (equipo y personal) para asegurar lo adecuado de su utilizacin; compararlas contra organizaciones similares, normas de proveedores y estndares internacionales/buenas prcticas reconocidas en la industria apropiadas Una revisin de una muestra limitada de manuales de operacin de la funcin de servicios de informacin y determinar si cumplen con los requerimientos de las polticas y los procedimientos
Y TECNOLOGAS AFINES
Un examen de la documentacin de los procesos de inicio y trmino y confirmar que los procedimientos son probados y actualizados regularmente Un examen de la calendarizacin de procesamiento para asegurar lo adecuado y la suficiencia del desempeo comparado contra el plan o calendario 8 Identificando: Usuarios seleccionados y asegurando la suficiencia del desempeo operacional relacionado con actividades continuas y acuerdos de nivel de servicio Una muestra de trminos anormales (ABENDS) para trabajos y determinando la solucin a los problemas ocurridos Las experiencias de entrenamiento, rotacin de turnos y vacaciones de los operadores Una muestra de bitcoras de consola para revisar la precisin, las tendencias en el desempeo y la revisin administrativa de la solucin de problemas evaluar el escalamiento de problemas si aplica A usuarios para determinar la satisfaccin con el compromiso del acuerdo de nivel de servicio Procedimientos de mantenimiento preventivo completados en todo el equipo por sugerencia del proveedor
187
COBIT
188
Y TECNOLOGAS AFINES
MONITOREO
189
COBIT
MONITOREO M1
Entrega & Soporte
Monitoreo
monitoreo del proceso que satisface los requerimientos de negocio de: asegurar el logro de los objetivos establecidos para los procesos de TI se hace posible a travs de: la definicin por parte de la gerencia de reportes e indicadores de desempeo gerenciales, la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos y toma en consideracin:

indicadores clave de desempeo factores crticos de xito evaluacin de la satisfaccin de clientes reportes gerenciales

Y TECNOLOGAS AFINES
M 1 MONITOREAR LOS PROCESOS

1 2 3 4 Recolectar Datos de Monitoreo Evaluar el Desempeo Evaluar la Satisfaccin del Cliente Reporte Administrativo
Comprender a travs de: 8 Entrevistas: Director Ejecutivo Director de Informacin Director de auditora interna Director de servicios de informacin y administracin de control de calidad Gerente de auditora externa Usuarios seleccionados de recursos de la funcin de servicios de informacin Miembros del comit de auditora, si aplica 8 Obteniendo: Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte del desempeo Polticas y procedimientos de la funcin de servicios de informacin relacionadas con el monitoreo y el reporte del desempeo, estableciendo iniciativas de mejoramiento del desempeo y frecuencia de las revisiones Reportes de las actividades de la funcin de servicios de informacin incluyendo, pero no limitados a: reportes internos, reportes de auditoras internas, reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin de los usuarios, planes de desarrollo de sistemas y reportes de avance, minutas del comit de auditora y cualquier otro tipo de evaluacin del uso de los recursos de la funcin de servicios de informacin de la organizacin. Documentos de planeacin de la funcin de servicios de informacin con objetivos para cada grupo de recursos y el desempeo real en comparacin con dichos planes.
Evaluar los controles: 8 Considerando s: Los datos identificados para monitorear los recursos de la funcin de servicios de informacin son apropiados Se usan indicadores clave del desempeo y/o factores crticos para el xito para medir el desempeo de la funcin de servicios de informacin en comparacin con los niveles deseables. Los reportes internos de la utilizacin de los recursos de la funcin de servicios de informacin (gente, instalaciones, aplicaciones, tecnologa y datos) son adecuados.
COBIT
Existe una revisin administrativa de los reportes de desempeo de los recursos de la funcin de servicios de informacin Considerar si, contina Existen controles de monitoreo para proporcionar una retroalimentacin confiable y til de manera oportuna La respuesta de la organizacin a las recomendaciones de mejoramiento de control de calidad, auditora interna y auditora externa es apropiada Existen iniciativas y resultados de mejoramiento del desempeo deseado Se est dando el desempeo organizacional en comparacin con las metas establecidas dentro de la organizacin La confiabilidad y utilidad de los reportes de desempeo para no usuarios es suficiente, tales como auditor externo, comit de auditora y alta administracin de la organizacin La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del desempeo Los reportes son suficientes en comparacin con las polticas y procedimientos establecidos para el desempeo de las actividades (por ejemplo, reportes de desempeo) Evaluar la suficiencia: 8 Probando que: Existen reportes de monitoreo del desempeo de la informacin Existe revisin administrativa de los reportes de monitoreo del desempeo e iniciativas de acciones correctivas Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del desempeo La calidad y el contenido de los reportes internos se relacionan con: La recoleccin de datos de monitoreo del desempeo El anlisis de los datos de monitoreo del desempeo El anlisis de los datos del desempeo de los recursos Las acciones administrativas sobre problemas del desempeo El anlisis de encuestas de satisfaccin de los usuarios La alta administracin est satisfecha con los reportes sobre el monitoreo del desempeo Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Referencia del monitoreo del desempeo respecto a organizaciones similares o estndares internacionales/prcticas industriales reconocidas apropiados Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando Revisin del desempeo real contra lo planeado en todas las reas de la funcin de servicios de informacin Satisfaccin real contra lo anticipado de los usuarios de todas las reas de la funcin de servicios de informacin Anlisis del grado de cumplimiento de las metas de desempeo e iniciativas de mejoramiento Anlisis del nivel de implantacin de las recomendaciones de la administracin Identificando: La responsabilidad, autoridad e independencia del personal de monitoreo dentro de la organizacin de sistemas de informacin
192
Y TECNOLOGAS AFINES
193
COBIT
MONITOREO M2
Entrega & Soporte
Monitoreo
Evaluar lo adecuado del control interno que satisface los requerimientos de negocio de: asegurar el logro de los objetivos de control interno establecidos para los procesos de TI se hace posible a travs de: el compromiso de la Gerencia de monitorear los controles internos, evaluar su efectividad y emitir reportes sobre ellos en forma regular y toma en consideracin:

monitoreo permanente de control interno comparacin con mejores prcticas reportes de errores y excepciones autoevaluaciones reportes gerenciales

Y TECNOLOGAS AFINES
M 2 EVALUAR LA SUFICIENCIA DEL CONTROL INTERNO

1 2 3 4 Monitoreo del Control Interno Operacin Oportuna de los Controles Internos Reportes del Nivel de Control Interno Aseguramiento de la Seguridad Operacional y del Control Interno
Comprender a travs de: 8 Entrevistas: Director Ejecutivo Director de Informacin Director de auditora interna Director de servicios de informacin y administracin de control de calidad Gerente de auditora externa Usuarios seleccionados de los recursos de la funcin de servicios de informacin Miembros del comit de auditora, si aplica 8 Obteniendo: Polticas y procedimientos organizacionales relacionadas con la planeacin, administracin, monitoreo y reporte de los controles internos Polticas y procedimientos de la funcin de servicios de informacin relacionadas con el monitoreo y el reporte de los controles internos y la frecuencia de las revisiones Reportes de las actividades de la funcin de servicios de informacin incluyendo, pero no limitados a: reportes internos, reportes de auditoras internas, reportes de auditoras externas, reportes de usuarios, encuestas de satisfaccin de los usuarios, planes de desarrollo de sistemas y reportes de avance, minutas del comit de auditora y cualquier otro tipo de evaluacin de los controles internos de la funcin de servicios de informacin Polticas y procedimientos especficos de la funcin de servicios de informacin relativos al aseguramiento de la seguridad operacional y del control interno Evaluar los controles: 8 Considerando s: Los datos identificados para monitorear los controles internos de la funcin de servicios de informacin son apropiados Los reportes internos de los datos de control interno de la funcin de servicios de informacin son adecuados Existe una revisin administrativa de los controles internos de la funcin de servicios de informacin Existen controles de monitoreo para proporcionar retroalimentacin confiable y til de manera oportuna La respuesta de la organizacin a las recomendaciones de mejoramiento del control de calidad, auditora interna y auditora externa es apropiada
COBIT
Existen iniciativas y resultados de mejoramiento del control interno deseable Se est dando el desempeo organizacional en comparacin con las metas establecidas dentro de la organizacin La informacin concerniente a errores, inconsistencias y excepciones de control interno se mantiene de manera sistemtica y se reporta a la administracin La confiabilidad y utilidad de los reportes de control interno para no usuarios, tales como auditor externo, comit de auditora y alta administracin de la organizacin, es suficiente La oportunidad de los reportes permite una respuesta rpida ante las excepciones o incumplimientos identificados del control interno Los reportes de control interno son suficientes en comparacin con las polticas y procedimientos establecidos para el desempeo de las actividades (por ejemplo, reportes de control interno) Evaluar la suficiencia: 8 Probando que: Existen reportes de monitoreo del control interno Est habiendo revisin administrativa de los reportes de control interno e iniciativas de acciones correctivas Los empleados estn conscientes y comprenden las polticas y procedimientos relativos al monitoreo del control interno La calidad y el contenido de los reportes internos se relacionan con: La recoleccin de datos de monitoreo del control interno El desempeo del cumplimiento del control interno Las acciones administrativas sobre problemas del control interno El aseguramiento de la seguridad operacional y del control interno La alta administracin est satisfecha con los reportes sobre la seguridad y el control interno Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Referencia de la evaluacin del control interno respecto a organizaciones similares o estndares internacionales/ prcticas industriales reconocidas apropiados Revisin de la relevancia de los datos dentro de los procesos que se estn monitoreando y en el reporte de los controles internos Marco de referencia para la revisin de los controles internos de toda la organizacin y en particular de la funcin de servicios de informacin para asegurar la suficiencia de la cobertura y de los diversos niveles de detalle para los responsables del proceso Revisin del control interno real contra lo planeado en todas las reas de la funcin de servicios de informacin Anlisis del grado de cumplimiento de las metas de control interno e iniciativas de mejoramiento Revisin de la satisfaccin del comit de auditora con los reportes sobre los controles internos Anlisis del nivel de implantacin de las recomendaciones de la administracin 8 Identificando: Las reas adicionales para el probable reporte de control interno, en consistencia con los requerimientos de servicios de informacin, auditora, administracin, auditores externos y regulativos La responsabilidad, autoridad e independencia del personal de revisin de control interno dentro de la organizacin de sistemas de informacin
Y TECNOLOGAS AFINES
197
COBIT
MONITOREO M3
S
Entrega & Soporte
Control sobre el proceso de TI de: obtencin de aseguramiento independiente que satisface los requerimientos de negocio de: incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos se hace posible a travs de: revisiones de aseguramiento independientes llevadas al cabo en intervalos regulares y toma en consideracin:
certificaciones / acreditaciones independientes evaluaciones independientes de efectividad aseguramiento independiente sobre cumpli-
Monitoreo
miento de requerimientos legales y regulatorios

aseguramiento independiente de cumplimiento
de compromisos contractuales
revisiones a proveedores externos de servicios aseguramiento de desempeo por personal cali-
ficado
involucramiento proactivo de auditora

Y TECNOLOGAS AFINES
M 3 OBTENER ASEGURAMIENTO INDEPENDIENTE

1 2 3 4 5 6 7 8 Acreditacin/Certificacin Independiente de la Seguridad y el Control Interno de los Servicios de Tecnologa de Informacin Acreditacin/Certificacin Independiente de la Seguridad y el Control Interno de los Proveedores Externos de Servicios Evaluacin Independiente de la Eficacia de los Servicios de Tecnologa de Informacin Evaluacin Independiente de la Eficacia de los Proveedores Externos de Servicios Aseguramiento Independiente del Cumplimiento de Requerimientos Regulativos y Legales y de Compromisos Contractuales Aseguramiento Independiente del Cumplimiento de Requerimientos Regulativos y Legales y de Compromisos Contractuales por parte de Proveedores Externos de Servicios Responsabilidad de la Funcin de Aseguramiento Independiente Involucramiento Proactivo de Auditora
Comprender a travs de: 8 Entrevistas: Director Ejecutivo Director de Informacin Director de auditora interna Director de la funcin de servicios de informacin Gerente de auditora externa Gerente de la entidad de aseguramiento independiente 8 Obteniendo: Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos Polticas y procedimientos relativas al proceso de aseguramiento independiente Contratos/Acuerdos de servicio con el proveedor del servicio de tecnologa de informacin Requerimientos legales y regulativos pertinentes y compromisos contractuales Contratos, presupuestos, reportes previos e historial de desempeo de aseguramiento independiente Historial de experiencia y educacin continua del personal de aseguramiento independiente Reportes de auditoras previas Evaluar los controles: 8 Considerando s: Los contratos de aseguramiento independiente estn debidamente establecidos/ejecutados para asegurar la cobertura de revisin adecuada (por ejemplo, certificacin/acreditacin, evaluacin de eficacia y evaluaciones de cumplimiento)
199
COBIT
La acreditacin/certificacin independiente se obtiene antes de implantar servicios nuevos e importantes de tecnologa de informacin La re-certificacin/re-acreditacin independiente de los servicios de tecnologa de informacin se obtiene en un ciclo rutinario despus de la implantacin La certificacin/acreditacin independiente se obtiene antes de utilizar a los proveedores de servicios de tecnologa de informacin La re-certificacin/re-acreditacin se obtiene en un ciclo rutinario La evaluacin independiente de la eficacia de los servicios de tecnologa de informacin se obtiene en un ciclo rutinario La evaluacin independiente de la eficacia de los proveedores de servicios de tecnologa de informacin se obtiene en un ciclo rutinario Las revisiones independientes del cumplimiento de la funcin de servicios de informacin con los requerimientos legales y regulativos y los compromisos contractuales se obtiene en un ciclo rutinario Las revisiones independientes del cumplimiento de proveedores externos de servicios con los requerimientos legales y regulativos y los compromisos contractuales se obtiene en un ciclo rutinario El personal de aseguramiento independiente es competente y realiza su tarea de acuerdo a los estndares profesionales apropiados El programa de educacin profesional continua ayuda para proporcionar la capacitacin tcnica al personal de aseguramiento independiente La administracin busca el involucramiento de auditora antes de decidir sobre soluciones del servicio de tecnologa de informacin Evaluar la suficiencia: 8 Probando que: La alta administracin aprueba el desempeo de la entidad de aseguramiento independiente La certificacin/acreditacin independiente antes de la implantacin de nuevos servicios importantes de tecnologa de informacin es global, completa y oportuna La re-certificacin/re-acreditacin independiente de los servicios de tecnologa de informacin se realiza en un ciclo rutinario despus de la implantacin, y que es global, completa y oportuna La certificacin/acreditacin independiente antes de utilizar proveedores de servicios de tecnologa de informacin es global, completa y oportuna La re-certificacin/re-acreditacin independiente se realiza en un ciclo rutinario y es global, completa y oportuna La evaluacin independiente de la eficacia de los servicios de tecnologa de informacin se realiza en un ciclo rutinario y es global, completa y oportuna La evaluacin independiente de la eficacia de los proveedores de servicios de tecnologa de informacin se realiza en un ciclo rutinario y es global, completa y oportuna Las revisiones independientes del cumplimiento de la funcin de servicios de informacin con los requerimientos legales y regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y oportunas Las revisiones independientes del cumplimiento de proveedores externos de servicios con los requerimientos legales y regulativos y los compromisos contractuales se realizan en ciclos rutinarios y son globales, completas y oportunas Los reportes de la funcin de aseguramiento independiente son relevantes en cuanto a hallazgos, conclusiones y recomendaciones
Y TECNOLOGAS AFINES
La funcin de aseguramiento independiente posee las habilidades y el conocimiento necesarios para realizar un trabajo competente Est habiendo involucramiento proactivo, antes de decidir sobre soluciones del servicio de tecnologa de informacin
Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Referencia de las actividades de revisin de la entidad de aseguramiento independiente respecto a organizaciones similares o estndares internacionales/prcticas industriales reconocidas apropiados Una revisin detallada que: verifique los contratos de aseguramiento independiente respecto a las actividades de revisin realizadas determine la suficiencia y oportunidad de las certificaciones/acreditaciones determine la suficiencia y oportunidad de las re-certificaciones/re-acreditaciones determine la suficiencia y oportunidad de las evaluaciones de eficacia determine la suficiencia y oportunidad de las revisiones de cumplimiento de requerimientos legales y regulativos y de compromisos contractuales verifique la capacidad del personal de la funcin de aseguramiento independiente verifique el involucramiento proactivo de auditora 8 Identificando: El valor agregado de las actividades de revisin de aseguramiento independiente El desempeo real contra lo planeado con relacin a los planes y presupuestos de aseguramiento independiente El grado y la oportunidad del involucramiento proactivo de auditora
201
COBIT
MONITOREO M4
Entrega & Soporte
Monitoreo
proveer auditora independiente que satisface los requerimientos de negocio de: incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejores prcticas se hace posible a travs de: auditoras independientes desarrolladas en intervalos regulares y toma en consideracin:
independencia de auditora involucramiento proactivo de auditora ejecucin de auditoras por parte de personal
calificado
aclaracin de resultados y recomendaciones actividades de seguimiento

Y TECNOLOGAS AFINES
M 4 PREPARAR AUDITORAS INDEPENDIENTES

1 2 3 4 5 6 7 8 Contratacin de Auditora Independencia tica y Estndares Profesionales Capacidad Planeacin Realizacin del Trabajo de Auditora Reporte Actividades de Seguimiento
Comprender a travs de: 8 Entrevistas: Director Ejecutivo Director de Informacin Director de auditora interna Director de la funcin de servicios de informacin y administracin de control de calidad Gerente de auditora externa Miembros del comit de auditora, si aplica 8 Obteniendo: Organigrama a nivel de toda la organizacin y manual de polticas y procedimientos Cdigo de conducta a nivel organizacin Polticas y procedimientos relativos al proceso de auditora independiente Contratacin de auditora, misin, polticas, procedimientos y estndares, reportes previos y planes de auditora Opiniones de auditora externa, revisiones y planes de auditora Historial de experiencia y educacin continua del personal de auditora independiente Evaluacin del riesgo de auditora, presupuesto e historial de desempeo Minutas de las reuniones del comit de auditora, si aplica Evaluar los controles: 8 Considerando s: El comit de auditora est debidamente establecido y se rene con regularidad, si aplica La organizacin de auditora interna est debidamente establecida Las auditoras externas contribuyen a la consecucin del plan de auditora La adherencia de la auditora a los cdigos profesionales aplicables es suficiente Considerar si, contina La independencia del auditor est confirmada mediante declaraciones de conflicto de intereses firmadas
COBIT
El plan de auditora se basa en la metodologa de evaluacin de riesgos y en las necesidades generales del plan Las auditoras se planean y supervisan de manera adecuada El programa de educacin profesional continua ayuda en la capacitacin tcnica de los auditores El personal de auditora es competente y realiza sus tareas de acuerdo con los estndares profesionales de auditora Existe un proceso adecuado de reporte de los hallazgos de la auditora hacia la administracin El seguimiento de todos los problemas de control se est realizando de manera oportuna La cobertura de la auditora incluye todo el rango de auditora de sistemas de informacin (por ejemplo, controles generales y de aplicaciones, ciclo de desarrollo del sistema, rentabilidad, economa, eficiencia, eficacia, enfoque proactivo de auditora, etc.) Evaluar la suficiencia: 8 Probando que: La alta administracin aprueba el desempeo de la funcin de auditora independiente Las actitudes de la alta administracin son consistentes con la contratacin de auditora Referencias de auditora interna respecto a los estndares profesionales La designacin de auditores asegura la independencia y las habilidades necesaria Hay mejora continua en la experiencia profesional del personal de auditora El contenido del reporte de auditora es relevante respecto a las recomendaciones Existen reportes de seguimiento que resumen la oportunidad de la implantacin Evaluar el riesgo de los objetivos de control no alcanzados: 8 Llevando a cabo: Referencia de la funcin de auditora respecto a organizaciones similares o estndares internacionales/prcticas industriales reconocidas apropiados Una revisin detallada que: verifique que el plan de auditora representa una revisin cclica y continua la auditora est contribuyendo al xito del negocio y a los planes de Tecnologa de Informacin la evidencia de la funcin de auditora apoya las conclusiones y recomendaciones los hallazgos de la auditora estn siendo comunicados y se est tomando ventaja de los mismos o se estn reduciendo riesgos las recomendaciones de la auditora estn siendo implantadas de manera consciente respecto al beneficio que representan 8 Identificando: El costo/beneficio de las recomendaciones de la auditora El desempeo real contra lo planeado con relacin al plan y presupuesto de auditora El grado de integracin entre la auditora externa y la interna
204

Cobit Directrices de Auditoria Condenzado

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Cobit Directrices de Auditoria Condenzado

Загружено:

Авторское право:

Доступные форматы

OBJETIVOS DE CONTROL PARA LA INFORMACIN

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

OBJETIVOS DE CONTROL PARA LA INFORMACIN

PLANEACIN & ORGANIZACIN

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

Planeacin & Organizacin

Adquisicin & Implementacin

Entrega & Soporte

Vigilancia tecnolgica (technology watch)

OBJETIVOS DE CONTROL PARA LA INFORMACIN

DEFINIR UN PLAN ESTRATGICO DE TECNOLOGA DE INFORMACIN

OBJETIVOS DE CONTROL PARA LA INFORMACIN

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

Planeacin & Organizacin

Adquisicin & Implementacin

Entrega & Soporte

OBJETIVOS DE CONTROL PARA LA INFORMACIN

DEFINICIN DE LA ARQUITECTURA DE INFORMACIN

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

OBJETIVOS DE CONTROL PARA LA INFORMACIN

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

Planeacin & Organizacin

Adquisicin & Implementacin

Entrega & Soporte

OBJETIVOS DE CONTROL PARA LA INFORMACIN

DETERMINACIN DE LA DIRECCIN TECNOLGICA

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

OBJETIVOS DE CONTROL PARA LA INFORMACIN

Evaluar el riesgo de los objetivos de control no cumplidos:

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

Planeacin & Organizacin

Adquisicin & Implementacin

Entrega & Soporte

OBJETIVOS DE CONTROL PARA LA INFORMACIN

DEFINICIN DE LA ORGANIZACIN Y DE LAS DEFINICIONES DE TI

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

OBJETIVOS DE CONTROL PARA LA INFORMACIN

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

OBJETIVOS DE CONTROL PARA LA INFORMACIN

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

Planeacin & Organizacin

Adquisicin & Implementacin

Entrega & Soporte

OBJETIVOS DE CONTROL PARA LA INFORMACIN

MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN

OBJETIVOS DE CONTROL PARA LA INFORMACIN

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

Adquisicin & Implementacin

Entrega & Soporte

OBJETIVOS DE CONTROL PARA LA INFORMACIN

MANEJO DE LA INVERSIN EN TECNOLOGA DE INFORMACIN

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

OBJETIVOS DE CONTROL PARA LA INFORMACIN

Planeacin & Organizacin

Adquisicin & Implementacin

Entrega & Soporte

OBJETIVOS DE CONTROL PARA LA INFORMACIN

ADMINISTRACIN DE RECURSOS HUMANOS

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

Evaluar el riesgo de los objetivos de control no alcanzados:

OBJETIVOS DE CONTROL PARA LA INFORMACIN

AUDITORA DE LOS SISTEMAS DE INFORMACIN Y LOS FUNDAMENTOS DE CONTROL

Entrega & Soporte

Control sobre el proceso de TI de: