Monografias | Trabajo de Auditoría Normas COBIT

Índice
1. Introducción
2. COBIT
3. Planificación y Organización
4. Adquisición eimplementación
5. Prestación y Soporte
6. Monitoreo
7. Aplicación de las NormasCOBIT
8. Apéndice I
9. Apéndice II

1. Introducción

El siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manerasimple y comprensible. Para ello, además de realizar un desarrollo teórico delas mismas, incluimos un análisis de la situación actual del Departamento deRecursos Humanos de la organización INEXEI SCHOOL, explicamos si susprocedimientos respetan o no la norma, e indicamos qué debería hacerse paraque aplique y cumpla con un determinado proceso de la norma.

El cuerpo del trabajo esta dividido en dos partes principales las cualesreflejan las Características y Estructura de COBIT y el Relevamiento y Aplicaciónde las Normas COBIT en la Escuela. Además, incluimos dos Apéndices: en el apéndiceI indicamos los componentes de COBIT como Producto y en el apéndice IIincorporamos la lista completa de Dominios, Procesos y Objetivos de Control.

Para Finalizar, adjuntamos con esta monografía un disquette que contiene elResumen Ejecutivo (2ª Edición) de la norma y las Guías de Auditoría de lamisma, las cuales pueden ser utilizadas por nuestros compañeros si deseanprofundizar más en el estudio de COBIT, y que en este trabajo son desarrolladasbrevemente para no hacer tediosa la explicación de la norma y por razones deespacio obvias.

2. COBIT (Objetivos de Control para Tecnología deInformación y Tecnologías relacionadas)

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiadola forma en que trabajan los profesionales de TI. Vinculando tecnología informáticay prácticas de control, COBIT consolida y armoniza estándares de fuentesglobales prominentes en un recurso crítico para la gerencia, los profesionalesde control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendolas computadoras personales, mini computadoras y ambientes distribuidos. Estabasado en la filosofía de que los recursos de TI necesitan ser administradospor un conjunto de procesos naturalmente agrupados para proveer la informaciónpertinente y confiable que requiere una organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacionaly actualizado de objetivos de control para tecnología de información que seade uso cotidiano para gerentes y auditores

Usuarios:

• La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
• Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
• Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
• Los Responsables de TI: para identificar los controles que requieren en sus áreas.

También puede ser utilizado dentro de las empresas por el responsable de unproceso de negocio en su responsabilidad de controlar los aspectos de informacióndel proceso, y por todos aquellos con responsabilidades en el campo de la TI enlas empresas.

Características:

• Orientado al negocio
• Alineado con estándares y regulaciones "de facto"
• Basado en una revisión crítica y analítica de las tareas y actividades en TI
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Principios:
El enfoque del control en TI se lleva a cabo visualizando la informaciónnecesaria para dar soporte a los procesos de negocio y considerando a lainformación como el resultado de la aplicación combinada de recursosrelacionados con las TI que deben ser administrados por procesos de TI.

• Requerimientos de la información del negocio

Para alcanzar los requerimientos de negocio, la información necesitasatisfacer ciertos criterios:

Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidadde los reportes financieros y Cumplimiento le leyes y regulaciones.

• Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.
• Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica).
• Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.
• Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

• Confidencialidad: Protección de la información sensible contra divulgación no autorizada
• Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.
• Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.
• Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzarlos objetivos de negocio:

• Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc.
• Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados.
• Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.
• Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
• Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.
• Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmática:"Los recursos de las Tecnologías de la Información (TI) se han degestionar mediante un conjunto de procesos agrupados de forma natural para queproporcionen la información que la empresa necesita para alcanzar susobjetivos".

COBIT se divide en tres niveles:
Dominios
Procesos
Actividades
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominioo una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes decontrol.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesosde las TI. Estos procesos están agrupados en cuatro grandes dominios que sedetallan a continuación junto con sus procesos y una descripción general delas actividades de cada uno:

3. Dominio: Planificación y organización

Este dominio cubre la estrategia y las tácticas y se refiere a laidentificación de la forma en que la tecnología de información puedecontribuir de la mejor manera al logro de los objetivos de negocio. Además, laconsecución de la visión estratégica necesita ser planeada, comunicada yadministrada desde diferentes perspectivas. Finalmente, deberán establecerseuna organización y una infraestructura tecnológica apropiadas.

Procesos:

• PO1 Definición de un plan Estratégico

Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología deinformación y los requerimientos de TI de negocio, para asegurar sus logrosfuturos.
Su realización se concreta a través un proceso de planeación estratégicaemprendido en intervalos regulares dando lugar a planes a largo plazo, los quedeberán ser traducidos periódicamente en planes operacionales estableciendometas claras y concretas a corto plazo, teniendo en cuenta:

• La definición de objetivos de negocio y necesidades de TI, la alta gerencia será la responsable de desarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas generales de la organización.
• El inventario de soluciones tecnológicas e infraestructura actual, se deberá evaluar los sistemas existentes en términos de: nivel de automatización de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y debilidades, con el propósito de determinar el nivel de soporte que reciben los requerimientos del negocio de los sistemas existentes.
• Los cambios organizacionales, se deberá asegurar que se establezca un proceso para modificar oportunamente y con precisión el plan a largo plazo de tecnología de información con el fin de adaptar los cambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI
• Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos
• PO2 Definición de la Arquitectura de Información

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejormanera posible los sistemas de información, a través de la creación ymantenimiento de un modelo de información de negocio, asegurándose que sedefinan los sistemas apropiados para optimizar la utilización de esta información,tomando en consideración:

• La documentación deberá conservar consistencia con las necesidades permitiendo a los responsables llevar a cabo sus tareas eficiente y oportunamente.
• El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organización y deberá ser continuamente actualizado.
• La propiedad de la información y la clasificación de severidad con el que se establecerá un marco de referencia de clasificación general relativo a la ubicación de datos en clases de información.
• PO3 Determinación de la dirección tecnológica

Objetivo: Aprovechar al máximo de la tecnología disponible o tecnologíaemergente, satisfaciendo los requerimientos de negocio, a través de la creacióny mantenimiento de un plan de infraestructura tecnológica, tomando enconsideración:

• La capacidad de adecuación y evolución de la infraestructura actual, que deberá concordar con los planes a largo y corto plazo de tecnología de información y debiendo abarcar aspectos tales como arquitectura de sistemas, dirección tecnológica y estrategias de migración.
• El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante el desarrollo y mantenimiento del plan de infraestructura tecnológica.
• Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuación y evolución de la infraestructura), con lo que se evaluará sistemáticamente el plan de infraestructura tecnológica.
• Planes de adquisición, los cuales deberán reflejar las necesidades identificadas en el plan de infraestructura tecnológica.
• PO4 Definición de la organización y de las relaciones de TI

Objetivo: Prestación de servicios de TI
Esto se realiza por medio de una organización conveniente en número yhabilidades, con tareas y responsabilidades definidas y comunicadas, teniendo encuenta:

• El comité de dirección el cual se encargara de vigilar la función de servicios de información y sus actividades.
• Propiedad,  custodia, la Gerencia deberá crear una estructura para designar formalmente a los propietarios y custodios de los datos. Sus funciones y responsabilidades deberán estar claramente definidas.
• Supervisión, para asegurar que las funciones y responsabilidades sean llevadas a cabo apropiadamente
• Segregación de funciones, con la que se evitará la posibilidad  de que un solo individuo resuelva un proceso crítico.
• Los roles y responsabilidades, la gerencia deberá asegurarse de que todo el personal deberá conocer y contar con la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido asignadas
• La descripción de puestos, deberá delinear claramente tanto la responsabilidad como la autoridad, incluyendo las definiciones de las habilidades y la experiencia necesarias para el puesto, y ser adecuadas para su utilización en evaluaciones de desempeño.
• Los niveles de asignación de personal, deberán hacerse evaluaciones de requerimientos regularmente para asegurar para asegurar una asignación de personal adecuada en el presente y en el futuro.
• El personal clave, la gerencia deberá definir e identificar al personal clave de tecnología de información.
• PO5 Manejo de la inversión

Objetivo: tiene como finalidad la satisfacción de los requerimientos denegocio, asegurando el financiamiento y el control de desembolsos de recursosfinancieros.

Su realización se concreta a través presupuestos periódicos sobreinversiones y operaciones establecidas y aprobados por el negocio, teniendo encuenta:

• Las alternativas de financiamiento, se deberán investigar diferentes alternativas de financiamiento.
• El control del gasto real, se deberá tomar como base el sistema de contabilidad de la organización, mismo que deberá registrar, procesar y reportar rutinariamente los costos asociados con las actividades de la función de servicios de información
• La justificación de costos y beneficios, deberá establecerse un control gerencial que garantice que la prestación de servicios por parte de la función de servicios de información se justifique en cuanto a costos. Los beneficios derivados de las actividades de TI deberán ser analizados en forma similar.
• PO6 Comunicación de la dirección y aspiraciones de la gerencia

Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre lasaspiraciones del alto nivel (gerencia), se concreta a través de políticasestablecidas y transmitidas a la comunidad de usuarios, necesitándose para estoestándares para traducir las opciones estratégicas en reglas de usuario prácticasy utilizables. Toma en cuenta:

• Los código de ética / conducta, el cumplimiento de las reglas de ética, conducta, seguridad y estándares de control interno deberá ser establecido por la Alta Gerencia y promoverse a través del ejemplo.
• Las directrices tecnológicas
• El cumplimiento, la Gerencia deberá también asegurar y monitorear la duración de la implementación de sus políticas.
• El compromiso con la calidad, la Gerencia de la función de servicios de información deberá definir, documentar y mantener una filosofía de calidad, debiendo ser comprendidos, implementados y mantenidos por todos los niveles de la función de servicios de información.
• Las políticas de seguridad y control interno, la alta gerencia deberá asegurar que esta política de seguridad y de control interno especifique el propósito y los objetivos, la estructura gerencial, el alcance dentro de la organización, la definición y asignación de responsabilidades para su implementación a todos los niveles y la definición de multas y de acciones disciplinarias asociadas con la falta de cumplimiento de estas políticas.
• PO7 Administración de recursos humanos

Objetivo: Maximizar las contribuciones del personal a los procesos de TI,satisfaciendo así los requerimientos de negocio, a través de técnicas sólidaspara administración de personal, tomando en consideración:

• El reclutamiento y promoción, deberá tener como base criterios objetivos, considerando factores como la educación, la experiencia y la responsabilidad.
• Los requerimientos de calificaciones, el personal deberá estar calificado, tomando como base una educación, entrenamiento y o experiencia apropiados, según se requiera
• La capacitación, los programas de educación y entrenamiento estarán dirigidos a incrementar los niveles de habilidad técnica y administrativa del personal.
• La evaluación objetiva y medible del desempeño, se deberá asegurar que dichas evaluaciones sean llevada a cabo regularmente según los estándares establecidos y las responsabilidades específicas del puesto. Los empleados deberán recibir asesoría sobre su desempeño o su conducta cuando esto sea apropiado.
• PO8 Asegurar el cumplimiento con los requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales

Para ello se realiza una identificación y análisis de los requerimientosexternos en cuanto a su impacto en TI, llevando a cabo las medidas apropiadaspara cumplir con ellos y se toma en consideración:

• Definición y mantenimiento de procedimientos para la revisión de requerimientos externos, para la coordinación de estas actividades y para el cumplimiento continuo de los mismos.
• Leyes, regulaciones y contratos
• Revisiones regulares en cuanto a cambios
• Búsqueda de asistencia legal y modificaciones
• Seguridad y ergonomía con respecto al ambiente de trabajo de los usuarios y el personal de la función de servicios de información.
• Privacidad
• Propiedad intelectual
• Flujo de datos externos y criptografía
• PO9 Evaluación de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazashacia la provisión de servicios de TI

Para ello se logra la participación de la propia organización en laidentificación de riesgos de TI y en el análisis de impacto, tomando medidaseconómicas para mitigar los riesgos y se toma en consideración:

• Identificación, definición y actualización regular de los diferentes tipos de riesgos de TI (por ej.: tecnológicos, de seguridad, etc.) de manera de que se pueda determinar la manera en la que los riesgos deben ser manejados a un nivel aceptable.
• Definición de alcances, limites de los riesgos y la metodología para las evaluaciones de los riesgos.
• Actualización de evaluación de riesgos
• Metodología de evaluación de riesgos
• Medición de riesgos cualitativos y/o cuantitativos
• Definición de un plan de acción contra los riesgos para asegurar que existan controles y medidas de seguridad económicas que mitiguen los riesgos en forma continua.
• Aceptación de riesgos dependiendo de la identificación y la medición del riesgo, de la política organizacional, de la incertidumbre incorporada al enfoque de evaluación de riesgos y de que tan económico resulte implementar protecciones y controles.
• PO10 Administración de proyectos

Objetivo: Establecer prioridades y entregar servicios oportunamente y deacuerdo al presupuesto de inversión

Para ello se realiza una identificación y priorización de los proyectos enlínea con el plan operacional por parte de la misma organización. Además, laorganización deberá adoptar y aplicar sólidas técnicas de administración deproyectos para cada proyecto emprendido y se toma en consideración:

• Definición de un marco de referencia general para la administración de proyectos que defina el alcance y los límites del mismo, así como la metodología de administración de proyectos a ser adoptada y aplicada para cada proyecto emprendido. La metodología deberá cubrir, como mínimo, la asignación de responsabilidades, la determinación de tareas, la realización de presupuestos de tiempo y recursos, los avances, los puntos de revisión y las aprobaciones.
• El involucramiento de los usuarios en el desarrollo, implementación o modificación de los proyectos.
• Asignación de responsabilidades y autoridades a los miembros del personal asignados al proyecto.
• Aprobación de fases de proyecto por parte de los usuarios antes de pasar a la siguiente fase.
• Presupuestos de costos y horas hombre
• Planes y metodologías de aseguramiento de calidad que sean revisados y acordados por las partes interesadas.
• Plan de administración de riesgos para eliminar o minimizar los riesgos.
• Planes de prueba, entrenamiento, revisión post-implementación.
• PO11 Administración de calidad

Objetivo: Satisfacer los requerimientos del cliente

Para ello se realiza una planeación, implementación y mantenimiento de estándaresy sistemas de administración de calidad por parte de la organización y se tomaen consideración:

• Definición y mantenimiento regular del plan de calidad, el cual deberá promover la filosofía de mejora continua y contestar a las preguntas básicas de qué, quién y cómo.
• Responsabilidades de aseguramiento de calidad que determine los tipos de actividades de aseguramiento de calidad tales como revisiones, auditorias, inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan general de calidad.
• Metodologías del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo, adquisición, implementación y mantenimiento de sistemas de información.
• Documentación de pruebas de sistemas y programas
• Revisiones y reportes de aseguramiento de calidad

4. Dominio: Adquisición e implementación

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben seridentificadas, desarrolladas o adquiridas, asi como implementadas e integradasdentro del proceso del negocio. Además, este dominio cubre los cambios y elmantenimiento realizados a sistemas existentes.

Procesos:

• AI1 Identificación de Soluciones Automatizadas

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos delusuario

Para ello se realiza un análisis claro de las oportunidades alternativascomparadas contra los requerimientos de los usuarios y toma en consideración:

• Definición de requerimientos de información para poder aprobar un proyecto de desarrollo.
• Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el desarrollo de un proyecto.
• Arquitectura de información para tener en consideración el modelo de datos al definir soluciones y analizar la factibilidad de las mismas.
• Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios.
• Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos mecanismos deben proporcionar la capacidad de proteger datos sensitivos (ej. Identificación de usuarios contra divulgación o mal uso)
• Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado.
• Aceptación de instalaciones y tecnología a través del contrato con el Proveedor donde se acuerda un plan de aceptación para las instalaciones y tecnología especifica a ser proporcionada.
• AI2 Adquisición y mantenimiento del software aplicativo

Objetivo: Proporciona funciones automatizadas que soporten efectivamente alnegocio.

Para ello se definen declaraciones específicas sobre requerimientosfuncionales y operacionales y una implementación estructurada con entregablesclaros y se toma en consideración:

• Requerimientos de usuarios, para realizar un correcto análisis y obtener un software claro y fácil de usar.
• Requerimientos de archivo, entrada, proceso y salida.
• Interfase usuario-maquina asegurando que el software sea fácil de utilizar y que sea capaz de auto documentarse.
• Personalización de paquetes
• Realizar pruebas funcionales (unitarias, de aplicación, de integración y de carga y estrés), de acuerdo con el plan de prueba del proyecto y con los estándares establecidos antes de ser aprobado por los usuarios.
• Controles de aplicación y requerimientos funcionales
• Documentación (materiales de consulta y soporte para usuarios) con el objeto de que los usuarios puedan aprender a utilizar el sistema o puedan sacarse todas aquellas inquietudes que se les puedan presentar.
• AI3 Adquisición y mantenimiento de la infraestructura tecnológica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicacionesde negocios

Para ello se realizara una evaluación del desempeño del hardware ysoftware, la provisión de mantenimiento preventivo de hardware y la instalación,seguridad y control del software del sistema y toma en consideración:

• Evaluación de tecnología para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema general.
• Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento.
• Seguridad del software de sistema, instalación y mantenimiento para no arriesgar la seguridad de los datos y programas ya almacenados en el mismo.
• AI4 Desarrollo y mantenimiento de procedimientos

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las solucionestecnológicas establecidas.

Para ello se realiza un enfoque estructurado del desarrollo de manuales deprocedimientos de operaciones para usuarios, requerimientos de servicio ymaterial de entrenamiento y toma en consideración:

• Manuales de procedimientos de usuarios y controles, de manera que los mismos permanezcan en permanente actualización para el mejor desempeño y control de los usuarios.
• Manuales de Operaciones y controles, de manera que estén en permanente actualización.
• Materiales de entrenamiento enfocados al uso del sistema en la práctica diaria.
• AI5 Instalación y aceptación de los sistemas

Objetivo: Verificar y confirmar que la solución sea adecuada para el propósitodeseado

Para ello se realiza una migración de instalación, conversión y plan deaceptaciones adecuadamente formalizadas y toma en consideración:

• Capacitación del personal de acuerdo al plan de entrenamiento definido y los materiales relacionados.
• Conversión / carga de datos, de manera que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo.
• Pruebas específicas (cambios, desempeño, aceptación final, operacional) con el objeto de obtener un producto satisfactorio.
• Acreditación de manera que la Gerencia de operaciones y usuaria acepten los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.
• Revisiones post implementación con el objeto de reportar si el sistema proporciono los beneficios esperados de la manera mas económica.
• AI6 Administración de los cambios

Objetivo: Minimizar la probabilidad de interrupciones, alteraciones noautorizadas y errores.

Esto se hace posible a través de un sistema de administración que permitael análisis, implementación y seguimiento de todos los cambios requeridos yllevados a cabo a la infraestructura de TI actual y toma en consideración:

• Identificación de cambios tanto internos como por parte de proveedores
• Procedimientos de categorización, priorización y emergencia de solicitudes de cambios.
• Evaluación del impacto que provocaran los cambios.
• Autorización de cambios
• Manejo de liberación de manera que la liberación de software este regida por procedimientos formales asegurando aprobación, empaque, pruebas de regresión, entrega, etc.
• Distribución de software, estableciendo medidas de control especificas para asegurar la distribución de software correcto al lugar correcto, con integridad y de manera oportuna.

5. Dominio: Prestación y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos,que abarca desde las operaciones tradicionales hasta el entrenamiento, pasandopor seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberánestablecerse los procesos de soporte necesarios. Este dominio incluye elprocesamiento de los datos por sistemas de aplicación, frecuentementeclasificados como controles de aplicación.

Procesos

• Ds1 Definición de niveles de servicio

Objetivo: Establecer una comprensión común del nivel de servicio requerido

Para ello se establecen convenios de niveles de servicio que formalicen loscriterios de desempeño contra los cuales se medirá la cantidad y la calidaddel servicio y se toma en consideración:

• Convenios formales que determinen la disponibilidad, confiabilidad, desempeño, capacidad de crecimiento, niveles de soporte proporcionados al usuario, plan de contingencia / recuperación, nivel mínimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones (límites en la cantidad de trabajo), cargos por servicio, instalaciones de impresión central (disponibilidad), distribución de impresión central y procedimientos de cambio.
• Definición de las responsabilidades de los usuarios y de la función de servicios de información
• Procedimientos de desempeño que aseguren que la manera y las responsabilidades sobre las relaciones que rigen el desempeño entre todas las partes involucradas sean establecidas, coordinadas, mantenidas y comunicadas a todos los departamentos afectados.
• Definición de dependencias asignando un Gerente de nivel de Servicio que sea responsable de monitorear y reportar los alcances de los criterios de desempeño del servicio especificado y todos los problemas encontrados durante el procesamiento.
• Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio para hacer posibles comparaciones y decisiones de niveles de servicios contra su costo.
• Garantías de integridad
• Convenios de confidencialidad
• Implementación de un programa de mejoramiento del servicio.
• Ds2 Administración de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partesestén claramente definidas, que cumplan y continúen satisfaciendo losrequerimientos

Para ello se establecen medidas de control dirigidas a la revisión ymonitoreo de contratos y procedimientos existentes, en cuanto a su efectividad ysuficiencia, con respecto a las políticas de la organización y toma enconsideración:

• Acuerdos de servicios con terceras partes a través de contratos entre la organización y el proveedor de la administración de instalaciones este basado en niveles de procesamiento requeridos, seguridad, monitoreo y requerimientos de contingencia, así como en otras estipulaciones según sea apropiado.
• Acuerdos de confidencialidad. Además, se deberá calificar a los terceros y el contrato deberá definirse y acordarse para cada relación de servicio con un proveedor.
• Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los acuerdos de seguridad identificados, declarados y acordados.
• Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos del contrato.
• Ds3 Administración de desempeño y capacidad

Objetivo: Asegurar que la capacidad adecuada está disponible y que se estéhaciendo el mejor uso de ella para alcanzar el desempeño deseado.

Para ello se realizan controles de manejo de capacidad y desempeño querecopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño deaplicaciones, manejo y demanda de recursos y toma en consideración:

• Requerimientos de disponibilidad y desempeño de los servicios de sistemas de información
• Monitoreo y reporte de los recursos de tecnología de información
• Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para apoyar el pronóstico de los requerimientos de capacidad, confiabilidad de configuración, desempeño y disponibilidad.
• Administración de capacidad estableciendo un proceso de planeación para la revisión del desempeño y capacidad de hardware con el fin de asegurar que siempre exista una capacidad justificable económicamente para procesar cargas de trabajo con cantidad y calidad de desempeño
• Prevenir que se pierda la disponibilidad de recursos mediante la implementación de mecanismos de tolerancia de fallas, de asignación equitativos de recursos y de prioridad de tareas.

Monitoreo

• Ds4 Asegurar el Servicio Continuo

Objetivo: mantener el servicio disponible de acuerdo con los requerimientos ycontinuar su provisión en caso de interrupciones
Para ello se tiene un plan de continuidad probado y funcional, que estéalineado con el plan de continuidad del negocio y relacionado con losrequerimientos de negocio y toma en consideración:

• Planificación de Severidad
• Plan Documentado
• Procedimientos Alternativos
• Respaldo y Recuperación
• Pruebas y entrenamiento sistemático y singulares
• Ds5 Garantizar la seguridad de sistemas

Objetivo: salvaguardar la información contra uso no autorizados, divulgación,modificación, daño o pérdida

Para ello se realizan controles de acceso lógico que aseguren que el accesoa sistemas, datos y programas está restringido a usuarios autorizados y toma enconsideración:

• autenticación Autorización, el acceso lógico junto con el uso de los recursos de TI deberá y  restringirse a través de la instrumentación de mecanismos de autenticación de usuarios identificados y recursos asociados con las reglas de acceso
• Perfiles e identificación de usuarios estableciendo procedimientos para asegurar acciones oportunas relacionadas con la requisición, establecimiento, emisión, suspensión y suspensión de cuentas de usuario
• Administración de llaves criptográficas definiendo implementando procedimientos y protocolos a ser utilizados en la generación, distribución, certificación, almacenamiento, entrada, utilización y archivo de llaves criptográficas con el fin de asegurar la protección de las mismas
• Manejo, reporte y seguimiento de incidentes implementado capacidad para la atención de los mismos
• Prevención y detección de virus tales como Caballos de Troya, estableciendo adecuadas medidas de control preventivas, detectivas y correctivas.
• Firewalls si existe una conexión con de  Utilización Internet u otras redes públicas en la organización

Monitoreo

• Ds6 Educación y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de latecnología y estén conscientes de los riesgos y responsabilidades involucrados

Para ello se realiza un plan completo de entrenamiento y desarrollo y se tomaen consideración:

• Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar y documentar las necesidades de entrenamiento de todo el personal que haga uso de los servicios de información
• Campañas de concientización, definiendo los grupos objetivos, identificar y asignar entrenadores y organizar oportunamente las sesiones de entrenamiento
• Técnicas de concientización proporcionando un programa de educación y entrenamiento que incluya conducta ética de la función de servicios de información
• Ds7 Identificación y asignación de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a losservicios de TI

Para ello se realiza un sistema de contabilidad de costos que asegure que éstossean registrados, calculados y asignados a los niveles de detalle requeridos ytoma en consideración:

• Los elementos sujetos a cargo deben ser recursos identificables, medibles y predecibles para los usuarios
• Procedimientos y políticas de cargo que fomenten el uso apropiado de los recursos de computo y aseguren el trato justo de los departamentos usuarios y sus necesidades
• Tarifas definiendo e implementando procedimientos de costeo de prestar servicios, para ser analizados, monitoreados, evaluados asegurando al mismo tiempo la economía

Monitoreo

• Ds8 Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios seaatendido apropiadamente

Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría deprimera línea y toma en consideración:

• Consultas de usuarios y respuesta a problemas estableciendo un soporte de una función de buró de ayuda
• Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para atenderlas
• Análisis y reporte de tendencias adecuado de las preguntas de los clientes y su solución, de los tiempos de respuesta y la identificación de tendencias
• Ds9 Administración de la configuración

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones noautorizadas, verificar la existencia física y proporcionar una base para elsano manejo de cambios

Para ello se realizan controles que identifiquen y registren todos losactivos de TI así como su localización física y un programa regular deverificación que confirme su existencia y toma en consideración:

• Registro de activos estableciendo procedimientos para asegurar que sean registrados únicamente elementos de configuración autorizados e identificables en el inventario, al momento de adquisición
• Administración de cambios en la configuración asegurando que los registros de configuración reflejen el status real de todos los elementos de la configuración
• Chequeo de software no autorizado revisando periódicamente las computadoras personales de la organización
• Controles de almacenamiento de software definiendo un área de almacenamiento de archivos para todos los elementos de software válidos en las fases del ciclo de vida de desarrollo de sistemas
• Ds10 Administración de Problemas

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que suscausas sean investigadas para prevenir que vuelvan a suceder.

Para ello se necesita un sistema de manejo de problemas que registre y déseguimiento a todos los incidentes, además de un conjunto de procedimientos deescalamiento de problemas para resolver de la manera más eficiente losproblemas identificados. Este sistema de administración de problemas deberátambién realizar un seguimiento de las causas a partir de un incidente dado.

• Ds11 Administración de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y válidosdurante su entrada, actualización, salida y almacenamiento.

Lo cual se logra a través de una combinación efectiva de controlesgenerales y de aplicación sobre las operaciones de TI. Para tal fin, lagerencia deberá diseñar formatos de entrada de datos para los usuarios demanera que se minimicen lo errores y las omisiones durante la creación de losdatos.

Este proceso deberá controlar los documentos fuentes (de donde se extraenlos datos), de manera que estén completos, sean precisos y se registrenapropiadamente. Se deberán crear también procedimientos que validen los datosde entrada y corrijan o detecten los datos erróneos, como así tambiénprocedimientos de validación para transacciones erróneas, de manera que éstasno sean procesadas. Cabe destacar la importancia de crear procedimientos para elalmacenamiento, respaldo y recuperación de datos, teniendo un registro físico(discos, disquetes, CDs y cintas magnéticas) de todas las transacciones y datosmanejados por la organización, albergados tanto dentro como fuera de laempresa.

La gerencia deberá asegurar también la integridad, autenticidad yconfidencialidad de los datos almacenados, definiendo e implementandoprocedimientos para tal fin.

• Ds12 Administración de las instalaciones

Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipoy al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) ofallas humanas lo cual se hace posible con la instalación de controles físicosy ambientales adecuados que sean revisados regularmente para su funcionamientoapropiado definiendo procedimientos que provean control de acceso del personal alas instalaciones y contemplen su seguridad física.

• Ds13 Administración de la operación

Objetivo: Asegurar que las funciones importantes de soporte de TI esténsiendo llevadas a cabo regularmente y de una manera ordenada

Esto se logra a través de una calendarización de actividades de soporte quesea registrada y completada en cuanto al logro de todas las actividades. Paraello, la gerencia deberá establecer y documentar procedimientos para lasoperaciones de tecnología de información (incluyendo operaciones de red), loscuales deberán ser revisados periódicamente para garantizar su eficiencia ycumplimiento.

6. Dominio: Monitoreo

Todos los procesos de una organización necesitan ser evaluados regularmentea través del tiempo para verificar su calidad y suficiencia en cuanto a losrequerimientos de control, integridad y confidencialidad. Este es, precisamente,el ámbito de este dominio.

Procesos

• M1 Monitoreo del Proceso

Objetivo: Asegurar el logro de los objetivos establecidos para los procesosde TI. Lo cual se logra definiendo por parte de la gerencia reportes eindicadores de desempeño gerenciales y la implementación de sistemas desoporte así como la atención regular a los reportes emitidos.

Para ello la gerencia podrá definir indicadores claves de desempeño y/ofactores críticos de éxito y compararlos con los niveles objetivos propuestospara evaluar el desempeño de los procesos de la organización. La gerenciadeberá también medir el grado de satisfacción del los clientes con respecto alos servicios de información proporcionados para identificar deficiencias enlos niveles de servicio y establecer objetivos de mejoramiento, confeccionandoinformes que indiquen el avance de la organización hacia los objetivospropuestos.

• M2 Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidospara los procesos de TI.

Para ello la gerencia es la encargada de monitorear la efectividad de loscontroles internos a través de actividades administrativas y de supervisión,comparaciones, reconciliaciones y otras acciones rutinarias., evaluar suefectividad y emitir reportes sobre ellos en forma regular. Estas actividades demonitoreo continuo por parte de la Gerencia deberán revisar la existencia depuntos vulnerables y problemas de seguridad.

• M3 Obtención de Aseguramiento Independiente

Objetivo: Incrementar los niveles de confianza entre la organización,clientes y proveedores externos. Este proceso se lleva a cabo a intervalosregulares de tiempo.

Para ello la gerencia deberá obtener una certificación o acreditaciónindependiente de seguridad y control interno antes de implementar nuevosservicios de tecnología de información que resulten críticos, como así tambiénpara trabajar con nuevos proveedores de servicios de tecnología de información.Luego la gerencia deberá adoptar como trabajo rutinario tanto hacerevaluaciones periódicas sobre la efectividad de los servicios de tecnología deinformación y de los proveedores de estos servicios como así tambiénasegurarse el cumplimiento de los compromisos contractuales de los servicios detecnología de información y de los proveedores de estos servicios.

• M4 Proveer Auditoria Independiente

Objetivo: Incrementar los niveles de confianza y beneficiarse derecomendaciones basadas en mejores prácticas de su implementación, lo que selogra con el uso de auditorias independientes desarrolladas a intervalosregulares de tiempo. Para ello la gerencia deberá establecer los estatutos parala función de auditoria, destacando en este documento la responsabilidad,autoridad y obligaciones de la auditoria. El auditor deberá ser independientedel auditado, esto significa que los auditores no deberán estar relacionadoscon la sección o departamento que esté siendo auditado y en lo posible deberáser independiente de la propia empresa. Esta auditoria deberá respetar la éticay los estándares profesionales, seleccionando para ello auditores que sean técnicamentecompetentes, es decir que cuenten con habilidades y conocimientos que asegurentareas efectivas y eficientes de auditoria.

La función de auditoria deberá proporcionar un reporte que muestre losobjetivos de la auditoria, período de cobertura, naturaleza y trabajo deauditoria realizado, como así también la organización, conclusión yrecomendaciones relacionadas con el trabajo de auditoria llevado a cabo.
Los 34 procesos propuestos se concretan en 32 objetivos de control detalladosanteriormente.
Un Control se define como "las normas, estándares, procedimientos, usos ycostumbres y las estructuras organizativas, diseñadas para proporcionar garantíarazonable de que los objetivos empresariales se alcanzaran y que los eventos nodeseados se preverán o se detectaran, y corregirán"
Un Objetivo de Control se define como "la declaración del resultadodeseado o propuesto que se ha de alcanzar mediante la aplicación deprocedimientos de control en cualquier actividad de TI"
En resumen, la estructura conceptual se puede enfocar desde tres puntos devista:
-Los recursos de las TI
-Los criterios empresariales que deben satisfacer la información
-Los procesos de TI

Las tres dimensiones condeptuales de COBIT

7. Aplicación de las Normas COBIT

A continuación, analizaremos como se deberían aplicar las Normas COBIT enuna Organización, utilizando para ello la Guía de Auditoria presentada en lapagina Web www.isaca.org,la misma indica los pasos a seguir para auditar cada uno de los procesos de TIde la norma. Este reporte lo confeccionamos dándole el formato de un informe deauditoría: