Guia Modelo COBIT

download Guia Modelo COBIT

of 42

description

COBIT

Transcript of Guia Modelo COBIT

  • El modelo COBIT es una

    herramienta de gobierno de

    tecnologas de Informacin (TI)

    que permite evaluar la calidad de

    la estructura de tecnologa de

    informacin actual de una

    organizacin, a travs de un

    diagnstico que permite definir

    metas desde el punto de vista de

    seguridad y control para cada

    proceso de la organizacin.

    Cuso Virtual

    Material de Apoyo

  • 1

    www.auditool.org

    MODELO COBIT

    ISACA La Information Systems Audit and Control Association, Asociacin de Auditoria y Control de Sistemas de informacin, fue fundada en 1969 en Estados Unidos por un grupo de personas, quienes trabajaban en actividades afines relacionadas con auditora y control en los sistemas computarizados que estaban cobrando una gran importancia para las operaciones de sus organizaciones; estas personas compartan la idea de crear unas pautas, metodologas y una misma fuente de informacin que apoyara y guiara su rea o campo de accin. Por tal motivo se sentaron a discutir sobre la necesidad de esta fuente centralizada de informacin con el fin de trabajar en estndares internacionales de auditora y control de sistemas de informacin, que garantizaran la confianza y el valor de los sistemas. En un principio, el grupo se formaliz bajo el nombre de EDP Auditors Association, y luego se form la fundacin de educacin para llevar a cabo proyectos de investigacin de gran escala y expandir los conocimientos y trabajo de campo en tecnologa de informacin. Para ese entonces la organizacin funcionaba en la ciudad de los ngeles respondiendo a los intereses de quienes tenan la necesidad de tener una fuente centralizada de informacin y gua profesional. En 1971 se realiza la primera conferencia (CACS) Computer Audit, Control and Security, dos aos ms tarde se realiza la primera conferencia internacional en Mxico, estableciendo el primer captulo formado por fuera de los Estados Unidos. En 1981 es la realizacin del primer examen para la certificacin (CISA) Certified Information Systems Auditor, la creacin de este examen de certificacin buscaba desarrollar y mantener una herramienta que pudiera ser utilizada en la evaluacin de las competencias de los individuos en la realizacin de auditoras de sistemas, de la misma manera que proveer una herramienta que ayudara a los auditores de sistemas de informacin a mantener sus habilidades, la vigilancia de la efectividad de los programas de mantenimiento y proveer de criterios adecuados en la gestin de seleccin de personal y desarrolladores. En el ao de 1994 con la celebracin de los 25 aos de actividad de la organizacin se procede al cambio de nombre de (EDP) Auditor Association a (ISACA) Information Systems Audit and Association. La primera conferencia latinoamericana (CACS) se realiza en el ao de 1996, seguido a esto en 1998 se establece el instituto de gobierno de tecnologa de informacin (ITGI) que es una parte integral del gobierno corporativo y reside en el liderazgo, estructuras organizacionales y los procesos que aseguran que las tecnologas de informacin sostengan y extiendan los objetivos y las estrategias de la entidad. En 2003 se realiza el primer examen para la certificacin (CISM) Certified Information Security Management, enfocada a la gerencia que define los principales estndares de competencias y desarrollo de profesionales que un jefe de seguridad de informacin debe tener, competencias necesarias para la direccin, diseo, revisin y acompaamiento de un programa de seguridad de informacin. La organizacin ISACA refleja a travs de los aos su crecimiento en la cantidad de asociados, de 50.000 en el ao 2005 a ms de 75.000 en el ao 2007 y cerca de 86.000 en la actualidad, los miembros de ISACA estn presentes en ms de 160 pases alrededor del mundo, convirtindose as, en una organizacin global que establece las pautas para los profesionales de gobernacin, control, seguridad y auditoria de informacin. La actividad de los socios de ISACA organizados en 175 captulos ubicados en 70 pases, se desenvuelve en una variada gama de actividades e industrias como; bancaria y financiera, contable, sector pblico, produccin y distribucin de energa, telecomunicaciones, manufactura y otros.

  • 2

    www.auditool.org

    ISACA tambin es muestra a nivel global de la creacin del captulo Argentino que inici sus actividades a principios del ao 1991, y continua ofreciendo a sus integrantes capacitacin profesional para el progreso y la eficacia del conocimiento y destrezas relacionadas con la auditoria y la seguridad. De igual manera, publica la revista ISACA Journal, enfocada en aspectos tcnicos de control de la informacin, y complementa con la organizacin de conferencias internacionales y seminarios locales especificando en tpicos tcnicos y gerenciales adecuados a las profesiones de seguridad, control y gobierno de las tecnologas de informacin y sistemas de informacin. Entre otros aspectos importantes que lidera la organizacin ISACA estn la conferencia latinoamericana de auditoria, control y seguridad (CACS) que se viene realizando cada ao desde 1996. La asociacin otorga certificaciones a los profesionales, garantizando los conocimientos necesarios en las reas definidas, estas son:

    CISA (Certified Information Systems Auditor, Auditor certificado de Sistemas de informacin): Esta certificacin se otorga a quienes dan cuenta del conocimiento terico y prctico necesarios para desempearse como Auditor de sistemas, siguiendo los estndares y lineamientos pertinentes.

    CISM (Certified Information Security Manager, Gerente Certificado de Seguridad de Informacin): Esta certificacin garantiza administradores de seguridad de tecnologa de informacin con los conocimientos necesarios para reducir el riesgo y proteger a la organizacin.

    CGEIT (Certificado en Gobierno de TI de la Empresa, Certified in the Governance of

    Enterprise IT) promueve el avance de profesionales que desean ser reconocidos por su

    experiencia y conocimiento relacionados con el Gobierno de las TI y ha sido obtenida por

    ms de 4 mil profesionales.

    CRISC (Certificado en Riesgos y Controles de los Sistemas de Informacin, Certified in

    Risk and Information Systems Control) es para profesionales de TI que identifican y

    gestionan los riesgos mediante el desarrollo, implementacin y mantenimiento de controles

    de SI. MODELO COBIT La Organizacin ISACA a travs de su Fundacin, publica en Diciembre de 1995 el modelo COBIT Control Objectives for Information and Related Technology, Objetivos de Control para la informacin y Tecnologa relacionada, como respuesta a la tendencia de todas las organizaciones de manejar sus sistemas de informacin respondiendo a los requerimientos de calidad, seguridad, control e informacin; y producto de aos de investigacin por parte de un equipo de expertos internacionales. El modelo COBIT es una herramienta de gobierno de tecnologas de Informacin (TI) que permite evaluar la calidad de la estructura de tecnologa de informacin actual de una organizacin, a travs de un diagnstico que permite definir metas desde el punto de vista de seguridad y control para cada proceso de la organizacin. A partir de este diagnstico, se elabora un plan de accin para lograr las mejoras necesarias, y posteriormente identificar los lineamientos y as sustentar un proceso de monitoreo y mejora continua sobre las soluciones implementadas. El modelo COBIT es un marco integral de principios, practicas, herramientas analticas y modelos, globalmente aceptados, que puede ayudar a las empresas a dirigir efectivamente problemas de negocios relacionados al gobierno y direccin de informacin y tecnologa; de la misma manera define estndares y una conducta profesional para la gestin y control de los sistemas de informacin con una orientacin hacia el negocio, ayudando as a las organizaciones a crear un valor ptimo a partir de las tecnologas de informacin, a travs de la optimizacin del riesgo y los recursos informticos.

  • 3

    www.auditool.org

    El modelo COBIT 5, representa una gran variedad de beneficios para las empresas, teniendo en cuenta que un gobierno de TI efectivo, ayuda a garantizar que la TI soporte las metas del negocio, optimice la inversin, y administre de forma adecuada los riesgos y oportunidades asociadas a la TI; algunos son:

    Informacin de alta calidad para apoyar las decisiones de los negocios.

    Uso efectivo e innovador de las tecnologas de informacin, para alcanzar los objetivos estratgicos y obtener los beneficios del negocio.

    Aplicacin fiable y eficiente de la tecnologa para lograr una excelencia operativa.

    Mantener los riesgos relacionados a TI a un nivel bajo y aceptable.

    Optimizacin de servicios, costo y tecnologa.

    Apoyar el cumplimiento de las leyes, polticas, normas y regulaciones pertinentes. El gobierno de TI integra las buenas prcticas para garantizar que la TI sustenta los objetivos de la empresa, permitiendo que se aproveche al mximo la informacin, para maximizar los beneficios y oportunidades, y as ganar ventajas competitivas. Las empresas y organizaciones deben asegurar la calidad y seguridad de su informacin, por lo tanto los directivos deben optimizar el uso de los recursos de TI y entender su arquitectura empresarial, para definir el tipo de gobierno a desarrollar y controles a aplicar, para alcanzar todos los objetivos del negocio. El modelo COBIT presenta un marco de trabajo que se desarrolla con base en buenas prcticas, y se describe a partir de los siguientes elementos:

    Estructura de cubo: Representa la capacidad del modelo para trabajar desde tres puntos de vista: procesos, recursos de TI, caractersticas de la informacin de acuerdo a las necesidades de la organizacin. Esta estructura brinda un enfoque global que apoya la planificacin estratgica, y permite vincular las expectativas de la direccin con las de la gerencia de TI. La relacin expresa que, los recursos de TI son manejados por los procesos de TI, los cuales responden a los requerimientos del negocio.

    GOBIERNO TI

    VALOR

    ADMINSTRACIN DE RECURSOS

    ADMINISTRACIN DEL RIESGO

    MEDICIN DEL DESEMPEO

    ALINEACIN ESTRATGICA

  • 4

    www.auditool.org

    Dominios: Agrupa los objetivos de control del Modelo COBIT en las distintas reas de actividad de la organizacin. Estos son:

    Alinear, planear y organizar: Envuelve las tcnicas y tcticas, para identificar la manera en que la TI puede contribuir al logro de los objetivos de la organizacin. Implementacin de una estructura organizacional y una estructura tecnolgica apropiada.

    Construir, adquirir e implementar: Identificacin, desarrollo, adquisicin e implementacin de soluciones de TI para los procesos del negocio. Incluye el cambio y mantenimiento de los sistemas existes, cuando sea necesario, para garantizar que las soluciones cumplan con los objetivos del negocio.

    Entregar, servir y dar soporte: Entrega de los servicios requeridos, incluyendo la prestacin del servicio, administracin de la seguridad y de la continuidad, soporte de servicio a los usuarios, administracin de los datos y de las instalaciones operativas.

    Monitorear, evaluar y valorar: Evaluacin regular en cuanto a calidad y cumplimiento de los requerimientos de control. Incluye administracin del desempeo, monitoreo del control interno, cumplimiento regulatorio, y aplicacin del gobierno.

    Objetivos de control: Polticas, procedimientos, prcticas y estructuras organizacionales, diseadas para brindar una seguridad razonable de que los objetivos del negocio de alcanzarn, y los eventos y situaciones de riesgo, sern prevenidas, o detectadas y corregidas a tiempo.

    MODELO COBIT (Parte II) En la primera y segunda edicin del modelo COBIT, se establecieron objetivos de control a partir de la recoleccin y anlisis de diversas fuentes internacionales, tales como estndares tcnicos, cdigos de conducta, estndares de calidad, estndares profesionales en la revisin, y prcticas y requisitos de la industria. Para la tercera edicin se desarrollaron pautas de gerencia, y se actualizo el modelo de acuerdo a las referencias internacionales. La cuarta edicin ayud a llevar las directrices de gobierno TI a ms ejecutivos de negocio. Y la ms reciente edicin, COBIT 5 ayuda a las organizaciones a crear un valor ptimo a partir de la TI, debido a que mantiene un equilibrio entre la realizacin de beneficios y la optimizacin de los niveles de riesgo y utilizacin de los recursos.

    INFORMACIN

    RECURSOS TI 4 Dominios

    37 Procesos

  • 5

    www.auditool.org

    Los principios y habilitadores del modelo COBIT 5 son genricos y tiles para las organizaciones de cualquier tamao, bien sean comerciales, sin fines de lucro o en el sector pblico. Adems, COBIT 5 integra los anteriores marcos de referencia desarrollados por ISACA: Val IT, Risk IT, BMIS, ITAF, haciendo ms fcil para los usuarios el entendimiento y uso de este material. 1 El marco de trabajo de COBIT 5 se basa en cinco principios claves que permiten que la empresa construya un gobierno y administracin efectivos, enfocados hacia los 7 habilitadores, que optimizan la inversin en TI y generan beneficios para las partes interesadas.

    COBIT 1 1996 - AUDITORIA COBIT 2 1998 - CONTROL COBIT 3 2000 - ADMINISTRACIN COBIT 4 2005 GOBIERNO DE TI COBIT 5 2012 GOBIERNO CORPORATIVO DE TI

    COBIT

    4.1

    Val IT

    2.0

    Risk IT

    COBIT

    5

    COBIT 5

    VAL IT RISK

    IT

    2

  • 6

    www.auditool.org

    PRINCIPIOS DESCRIPCIN

    Satisfacer las necesidades de las partes interesadas.

    Negociar y decidir entre los diversos intereses de las diferentes partes interesadas, incluyndolas para la toma de decisiones, con el fin de crear valor, representado en beneficios a travs de la optimizacin de recursos y riesgos. Las necesidades de las partes interesadas deben originar la estrategia para la organizacin. As mismo las necesidades permiten establecer metas especficas, prcticas y personalizadas dentro del contexto de la empresa, establecidas a travs del mecanismo de metas en cascada*.

    Cubrir la organizacin de forma integral.

    Gobierno y administracin de la tecnologa de la informacin, desde una perspectiva integral a nivel de toda la organizacin, abarcando todas las funciones y procesos.

    Aplicar un solo marco integrado.

    Uso del modelo COBIT 5 como integrador macro en el marco de gobierno y administracin, alineado con los marcos y normas de alto nivel relevantes usadas por la organizacin: COSO, ISO/IEC 9000, ISO/IEC 31000, entre otros. De esta manera proporciona una referencia integral, base de buenas prcticas.

    Habilitar un enfoque holstico.

    Un gobierno y administracin de TI efectiva y eficiente requiere un enfoque holstico que incluya varios componentes, para lo cual se definen 7 categoras de habilitadores que soportan la implementacin de un sistema de gobierno y administracin de TI completo. Los habilitadores* ayudan a alcanzar los objetivos de la empresa y estn guidados por las metas en cascada, estos son: Principios, polticas, y marcos; procesos, estructuras organizacionales; cultura, tica y comportamiento; informacin; servicios, infraestructura y aplicaciones; personas, habilidades y competencias.

    Separar el gobierno de la administracin.

    Distinguir entre el gobierno y la administracin, debido a que envuelven diferentes actividades, requieren diferentes estructuras organizacionales y definen diferentes propsitos. El gobierno es responsabilidad de la junta directiva y evala las necesidades de las partes interesadas y las condiciones

    Necesidades Estrategia de la organizacin

    Estrategia

    Metas del negocio

    Metas de TI

    Arquitectura empresarial

    Necesidades

    Metas de TI Habilitadores de las metas

    Controladores de las partes interesadas: Medio

    ambiente, nuevas tecnologa, cambios, etc.

    Metas de la organizacin

  • 7

    www.auditool.org

    y opciones para determinar los objetivos corporativos; y la administracin es responsabilidad de la gerencia, y es el rea que debe planificar, construir, ejecutar y monitorear las actividades y procesos, de acuerdo a las directivas fijadas por el gobierno.

    *METAS EN CASCADA

    DIMENSION (BSC)

    METAS DEL NEGOCIO

    Financiera

    1. Valorizacin de las inversiones en el negocio de las partes interesadas.

    2. Portafolio de productos y servicios competitivos.

    3. Administracin de riesgos de negocio (proteccin de los activos).

    4. Cumplimiento de leyes y regulaciones externas.

    5. Transparencia financiera.

    Cliente

    6. Cultura del servicio orientada al cliente.

    7. Continuidad y disponibilidad de los servicios del negocio.

    8. Respuestas agiles frente a los cambios en el ambiente de negocios.

    9. Informacin como base para la toma estratgica de decisiones.

    10. Optimizacin de los costos de la prestacin de servicios.

    Interna

    11. Optimizacin del funcionamiento de los procesos del negocio.

    12. Optimizacin de los costos de los procesos del negocio.

    13. Administracin de los programas de cambio del negocio.

    14. Productividad de las operaciones y del personal.

    15. Cumplimiento de las polticas internas.

    Aprendizaje y crecimiento

    16. Personal capacitado y motivado.

    17. Cultura de innovacin del producto y negocio.

    DIMENSION (BSC)

    METAS DEL NEGOCIO

    Financiera

    1. Alineamiento de la TI con la estrategia del negocio.

    2. Cumplimiento de TI y soporte para el cumplimiento del negocio con las leyes y regulaciones externas.

    3. Cumplimiento de la alta direccin con la toma de decisiones de TI.

    4. Administracin de riesgos de TI del negocio.

    5. Realizacin de beneficios desde la inversin en TI y portafolio de servicios.

    6. Transparencia de costos, beneficios y riesgos de TI.

    Cliente 7. Prestacin de servicios de TI en lnea con los requerimientos del negocio.

    8. Uso adecuado de aplicaciones, informacin y soluciones de tecnologa.

    Gobierno

    Evaluar Dirigir Monitorear

    Administracin

    Planificar Construir Operar Monitorear

  • 8

    www.auditool.org

    Interna

    9. Agilidad de TI.

    10. Seguridad de la informacin, procesamiento de infraestructura y aplicaciones.

    11. Optimizacin de activos, recursos y capacidad de TI.

    12. Habilitacin y soporte de procesos de negocio integrando aplicaciones y tecnologa en los procesos de negocio.

    13. Entrega de programas brindando beneficios en tiempo, presupuesto, y cumplimiento de requerimientos y estndares de calidad.

    14. Disponibilidad de informacin til y confiable para la toma de decisiones.

    15.

    16. Cumplimiento de TI con polticas internas.

    Aprendizaje y crecimiento

    17. Personal de TI competente u motivado.

    18. Conocimiento, experiencia e iniciativa para la innovacin en el negocio.

    *HABILITADORES DESCRIPCIN

    1. Principios, Polticas y

    Marcos

    Medio por el cual se representa el comportamiento deseado en una gua prctica para la gestin del da a da en la empresa. Los principios expresan de forma clara los valores fundamentales de la empresa; las polticas proporcionan una directriz para llevar a la prctica los principios y su influencia en la toma de decisiones; y los marcos proporcionan a la direccin una estructura, directrices y herramientas que permitan una adecuada administracin y gobierno.

    2. Procesos

    Describen un conjunto organizado de prcticas y actividades necesarias para alcanzar los objetivos y producir los resultados, dirigidos a la consecucin de las metas generales relacionadas a TI. Envuelve:

    Actividades

    Entradas y salidas

    Nivel de capacidad del proceso

    Modelo de referencia de procesos

    3. Estructuras organizacionale

    s

    Entidades encargadas de la toma de decisiones en la empresa.

    Matrices RACI

    4. Cultura, tica y Comportamient

    o

    Caractersticas del personal y de la empresa, subestimado como factor de xito de las actividades de gobierno y administracin. Comprende el conjunto de conductas individuales y colectivas dentro de la empresa.

    5. Informacin Es necesaria para el funcionamiento de la empresa y su buen gobierno y direccin; en el nivel operativo es el producto clave para la empresa.

    6. Servicios, Infraestructura y aplicaciones

    Infraestructura, tecnologa y aplicaciones que proporcionan a la empresa informacin, procesos y servicios de tecnologa.

    7. Personas, habilidades y competencias

    Aspectos necesarios para el cumplimiento exitoso de todas las actividades de la empresa, y para tomar las decisiones adecuadas y las acciones correctivas necesarias.

  • 9

    www.auditool.org

    DIMENSIONES Todos los habilitadores tienen 4 dimensiones que permiten una estructura comn y simple para

    cada habilitador, una entidad que administre las interacciones, y facilite el xito de los resultados;

    estas son:

    Stakeholders: Partes que tiene un rol activo o inters en el habilitador, cuyas necesidades o

    intereses son reflejados en las metas y objetivos de la empresa.

    Goals: Resultados esperados para cada habilitador, representando un valor al aplicar u operar el

    habilitador. Las metas pueden ser divididas en:

    Calidad intrnseca: Los habilitadores trabajen con exactitud y apropiadamente, y proporcionen

    resultados exactos, objetivos y calificados.

    Calidad contextual: Medida en que los habilitadores y sus resultados son aptos para los

    propsitos, de acuerdo al contexto en el que operan.

    Acceso y seguridad: Medida en que los habilitadores son accesibles y asegurados.

    Ciclo de vida: Cada habilitador tiene un ciclo de vida, desde su concepcin a travs de una

    operativa o til vida, hasta su eliminacin. Esto incluye la informacin, estructuras, procesos,

    polticas, entre otros. Las fases del ciclo de vida son:

    Planeacin

    Diseo

    Construccin, adquisicin, creacin, implementacin.

    Uso, operacin

    Evaluacin, monitoreo

    Actualizacin, eliminacin

    Buenas prcticas: Las buenas prcticas soportan el logro de las metas de los habilitadores, proporcionan ejemplos o sugerencias de cmo es la mejor implementacin de los habilitadores y que es requerido para esto. El modelo COBIT se enfoca a alinear las metas del negocio de la empresa con las metas de TI, brindando mtricas y modelos de madurez para medir sus logros; una vez identificados los procesos y controles crticos de TI, el modelo de madurez permite identificar y demostrar a la direccin las debilidades en la capacidad, con el fin de crear un plan de accin, y llevar los procesos al nivel de capacidad deseado. COBIT 5, como lo mencionbamos anteriormente incorpora los marcos Val IT y Risk IT, y presenta y consolida un solo marco, e incluye un Modelo de Referencia de Procesos, el cual describe 37 procesos para evaluar los sistemas de informacin, los cuales representan los procesos normales que se llevan a cabo en una empresa, con relacin a TI; e envuelven 271 objetivos de control, divididos, en primera medida en dos grandes dominios, Gobierno y Administracin, donde el dominio de administracin contiene 5 procesos de gobierno, y el dominio de administracin se subdivide en cuatro dominios, Alinear, planear y organizar; construir, adquirir e implementar; entregar, servir y dar soporte; monitorear, evaluar y valorar. Este modelo de referencia es un modelo completo e integral, que le brinda las herramientas necesarias a cada empresa para definir su propio proceso teniendo en cuenta su contexto, cuando as lo desean.

  • 10

    www.auditool.org

    ESTRUCTURA MODELO COBIT 5 El siguiente diagrama representa el modelo COBIT que involucra los recursos de Tecnologa de informacin, que se implementan a lo largo de los procesos del negocio y apoyo, que facilitan la definicin de los criterios o indicadores de gestin de los procesos.

    As mismo, la estructura esencial de COBIT es:

    PROCESOS DEL NEGOCIO: Requerimientos del negocio

    CRITERIOS: Eficiencia, efectividad, confidencialidad, integridad, disponibilidad, confiabilidad, cumplimiento

    Metas de TI y procesos de TI

    Recursos de Tecnologia de Infomacion: Datos, sistemas, Tecnologia, nstalaciones y personal

    Informacion

    PROCESOS

    Objetivos de control

    detallados

    Entradas y salidas, matriz

    RACI

    Metas y mtricas

    Modelos de madurez

  • 11

    www.auditool.org

    ESTRUCTURA DEL MODELO COBIT

    GOBIERNO CORPORATIVO DE TI

    Evaluar, dirigir y monitorear

    Procesos Descripcin Objetivos de Control

    Actividades

    1. Asegurar que se fija el Marco de Gobierno y su mantenimiento.

    Definir, establecer y alinear el marco de gobierno de TI, teniendo en cuenta el entorno de control y Gobierno corporativo. Este marco debe asegurar el cumplimiento de las leyes y regulaciones relacionadas.

    Definir un marco de gobierno de TI.

    Evaluar el uso actual y futuro de TI.

    Preparacin de planes y polticas para garantizar que el uso de TI cumple con los objetivos del negocio.

    Monitorear la conformidad de las polticas y el desempeo de los planes.

    2. Asegurar la entrega de valor.

    La administracin de los programas de inversin en TI debe asegurar el mayor valor para apoyar la estrategia y los objetivos empresariales.

    Optimizacin del valor de las inversiones en TI, estableciendo un marco de buen gobierno, monitoreo y control, direccin estratgica para las inversiones, y definir las caractersticas de la cartera de inversiones.

    Administracin del valor de TI.

    3. Asegurar la optimizacin de los riesgos.

    Un trabajo en conjunto con el consejo directivo, debe permitir la definicin del riesgo aceptable por la empresa, y garantizar que las prcticas de administracin de riesgos de TI son apropiadas.

    Riesgo corporativo y marco de referencia de control interno de TI.

    Desarrollar marco especfico de gestin de riesgos de TI.

    Tolerancia de riesgo de TI.

    Alinear la poltica de riesgos de TI.

    Promover cultura del riesgo.

    Promover una comunicacin efectiva de los riesgos de TI.

    4. Asegurar la optimizacin de los recursos.

    Revisar inversin, uso y asignacin de los activos de TI por medio de evaluaciones peridicas de las iniciativas y operaciones de TI para asegurar recursos y alineamiento apropiados con los objetivos estratgicos del negocio, actuales y futuros.

    Optimizar el entorno de TI, con una infraestructura fcil de usar y actualizar.

    Disminuir errores manuales.

    Responder a actualizaciones y cambios constantes.

    Inversin en TI, buscando una ventaja competitiva.

  • 12

    www.auditool.org

    5. Asegurar la transparencia a las partes interesadas.

    Revelar de forma clara, precisa y completa y en un grado razonable y suficiente la informacin sobre polticas, decisiones y actividades de las que es responsable, incluyendo impactos y consecuencias.

    ADMINISTRACIN DE TI

    Alinear, planear y organizar

    Procesos Descripcin Objetivos de Control

    Actividades

    6. Administrar el Marco de Administracin de TI.

    En la empresa debe existir una organizacin apropiada de TI, la cual se establece teniendo en cuenta los requerimientos del personal, funciones, rendicin de cuentas, autoridad, roles, responsabilidades y supervisin. El comit estratgico debe verificar y vigilar los procesos del consejo directivo de TI, determinando as las prioridades de los recursos de TI. De la misma manera, se deben implementar procesos, polticas de administracin y procedimientos para todas las funciones de la empresa, garantizando as el aseguramiento de la calidad, administracin de riesgos y la seguridad de la informacin.

    Administracin de integridad.

    Establecer estructura organizacional de TI, incluyendo comits y ligas a los interesados y proveedores.

    Estndares tecnolgicos.

    Disear marco de trabajo para el proceso de TI.

    Ambientes de polticas y de control.

    Identificar dueos de sistemas.

    Administracin de polticas para TI.

    Identificar dueos de datos.

    Implementacin de polticas de TI.

    Establecer e implementar roles y responsabilidades de TI, incluida la supervisin segregacin de funciones.

    Comunicacin de los objetivos y la direccin de TI.

    7. Administrar la estrategia.

    La planeacin estratgica gestiona y dirige todos los recursos de TI en lnea con la estrategia y prioridades de la empresa; y permite que las partes interesadas comprendan las oportunidades y limitaciones de la TI, evala el desempeo actual, identifica la capacidad y requerimientos de los recursos humanos, y clarifica los objetivos, planes de accin y tareas.

    Alineacin de TI con el negocio.

    Relacionar las metas del negocio con las de TI.

    Evaluacin del desempeo y capacidad actual.

    Identificar dependencias crticas y desempeo actual.

    Plan estratgico de TI

    Construir un plan estratgico para TI.

    Planes tcticos de TI

    Construir planes tcticos para TI.

    Planeacin de la direccin tecnolgica.

    Planeacin de la infraestructura tecnolgica.

  • 13

    www.auditool.org

    8. Administrar la arquitectura corporativa.

    Creacin y actualizacin continua de un modelo de informacin del negocio, y definicin de los sistemas apropiados para optimizar el uso de la informacin. Este proceso mejora la calidad de la toma de decisiones, asegurando informacin confiable y segura, a travs de la responsabilidad sobre la integridad y seguridad de los datos, efectividad y control de la informacin compartida por medio de las aplicaciones y entidades.

    Modelo de arquitectura de informacin empresarial.

    Crear y mantener modelo de informacin corporativo / empresarial.

    Diccionario de datos corporativo y reglas de sintaxis para los datos.

    Crear y mantener diccionario de datos corporativo.

    Esquema de clasificacin de datos.

    Establecer y mantener esquema de clasificacin de datos.

    Consejo de arquitectura de TI

    Brindar a los dueos procedimientos y herramientas para clasificar los sistemas de informacin.

    Usar el modelo de informacin, el diccionario de datos y el esquema de clasificacin para planear los sistemas optimizados de negocio.

    9. Administrar la innovacin.

    Establecer un proceso para monitorear las tendencias ambientales del sector, tecnolgicas, de infraestructura, legales y regulatorias; con el fin de analizar las consecuencias de estas tendencias en el desarrollo del plan de infraestructura tecnolgica de TI.

    Monitorear las tendencias y regulaciones del futuro.

    Monitorear la evolucin tecnolgica.

    Definir el uso futuro estratgico de la nueva tecnologa.

    10. Administrar el portafolio.

    Administracin activa del portafolio de programas de inversin de TI, de tal manera que se pueda garantizar la consecucin de los objetivos de negocio estratgicos especficos. Este proceso incluye entender el alcance del esfuerzo requerido para lograr los resultados, definir rendicin de cuentas, definir proyectos dentro del programa, asignar recursos y financiamiento y delegar autoridad.

    Administracin del portafolio de TI.

    Analizar portafolios de programas y portafolios de servicios y proyectos.

  • 14

    www.auditool.org

    11. Administrar el presupuesto y los costos.

    Determinar un marco de trabajo para administrar los programas de inversin en TI que incluya costos, beneficios, prioridades dentro del presupuesto, proceso presupuestal, y administracin.

    Marco de trabajo para la administracin financiera.

    Dar mantenimiento al portafolio de programas de inversin.

    Prioridades dentro del presupuesto de TI.

    Dar mantenimiento al portafolio de proyectos.

    Proceso presupuestal.

    Dar mantenimiento al portafolio de servicios.

    Administracin de costos de TI.

    Establecer y mantener proceso presupuestal de TI.

    Administracin de beneficios.

    Identificar, comunicar y monitorear la inversin, costo y valor de TI para la empresa.

    Definicin de servicios.

    Contabilizacin de TI.

    Modelacin de costos y cargos.

    Mantenimiento del modelo de costos.

    12. Administrar el recurso humano.

    Adquirir, mantener y motivar un ambiente de trabajo para la creacin y entrega de servicios de TI para el negocio, a travs de buenas prcticas en la contratacin, capacitacin, evaluacin del desempeo, promocin y terminacin. Este proceso es vital, debido a que la competencia y motivacin del personal influyen en el ambiente de gobierno y control interno en la empresa.

    Reclutamiento y retencin del personal.

    Identificar las habilidades de TI, benchmarks sobre descripciones de puesto, rango de salarios y desempeo del personal.

    Competencias del personal.

    Ejecutar las polticas y procedimientos relevantes de Recursos Humanos para TI, contratar, investigar, compensar, entrenar, evaluar, promover y terminar.

    Asignacin de roles.

    Entrenamiento del personal de TI.

    Dependencia sobre los individuos.

    Procedimientos de investigacin de personal.

    Evaluacin del desempeo del personal.

    Cambios y terminacin de trabajo.

    Identificacin de necesidades de entrenamiento y educacin.

    Imparticin de entrenamiento y educacin.

    Evaluacin del entrenamiento

  • 15

    www.auditool.org

    recibido.

    13. Administrar las relaciones.

    Organizacin de TI teniendo en cuenta los requerimientos de personal, funciones, rendicin de cuentas, autoridades, roles y responsabilidades. Adems, debe envolver la transparencia y control de los altos ejecutivos. Se debe establecer una estructura ptima de enlace, comunicacin y coordinacin entre la funcin de TI y otros interesados.

    Marco de trabajo de procesos de TI

    Definicin de u marco de trabajo de procesos de TI.

    Comit estratgico de TI

    Establecimiento de un cuerpo y una estructura organizacional apropiada.

    Comit directivo de TI

    Definicin de roles y responsabilidades.

    Ubicacin organizacional de la funcin de TI

    Estructura organizacional.

    Establecimiento de roles y responsabilidades.

    Responsabilidades de aseguramiento de calidad de TI, Quality Assurance.

    Responsabilidad sobre el riesgo, seguridad y el cumplimiento.

    Propiedad de datos y de sistemas.

    Supervisin

    Segregacin de funciones

    Personal de tecnologa de informacin.

    Personal clave de tecnologa de informacin.

    Polticas y procedimientos para el personal contratado.

    Relaciones entre partes interesadas con la funcin de tecnologa de informacin.

    14. Administrar los contratos de servicios.

    Definicin documentada y acuerdo de servicios de TI y niveles de servicio, para una comunicacin efectiva entre la gerencia de TI y los clientes del negocio; garantizando la alineacin entre los servicios de TI y los requerimientos del

    Marco de trabajo de la administracin de los niveles de servicio.

    Crear un marco de trabajo para los servicios de TI.

    Definicin de servicios.

    Construir un catlogo de servicios de TI.

    Acuerdos de niveles de servicios.

    Definir los convenios de niveles de servicio para los servicios crticos de TI.

  • 16

    www.auditool.org

    negocio. Acuerdos de niveles de operacin.

    Definir los convenios de niveles de operacin para soportar los niveles de servicio.

    Monitoreo y reporte del cumplimiento de los niveles de servicio.

    Monitorear y reportar el desempeo del servicio de punta a punta.

    Revisin de los acuerdos de niveles de servicio y de los contratos.

    Revisar los niveles de servicio y los contratos de apoyo.

    Revisar y actualizar el catlogo de servicios de Ti.

    Crear un plan de mejora de servicios.

    15. Administrar los proveedores.

    Administracin efectiva de los servicios provistos por terceros, por medio de la definicin de roles, responsabilidades y expectativas, en relacin a los acuerdos con terceros. Adems, es importante la revisin y monitoreo de la efectividad y cumplimiento de los acuerdos establecidos, minimizando as los riesgos relacionados.

    Administracin de contratos con proveedores.

    Identificar y categorizar las relaciones de los servicios de terceros.

    Seleccin de proveedores.

    Definir y documentar los procesos de administracin del proveedor.

    Identificacin de todas las relaciones con terceros.

    Establecer polticas y procedimientos de evaluacin y suspensin de proveedores.

    Gestin de relaciones con proveedores.

    Identificar, valorar y mitigar los riesgos del proveedor.

    Administracin de riesgos del proveedor.

    Monitorear la prestacin del servicio del proveedor.

    Monitoreo del desempeo del proveedor.

    Evaluar las metas de largo plazo de la relacin del servicio para todos los interesados.

    16. Administrar la calidad.

    Se debe desarrollar un sistema de administracin de calidad, que incluya procesos y estndares de desarrollo y adquisicin; a travs de requerimientos, procedimientos y polticas claras de calidad, manifestados con indicadores cuantificables y alcanzables. Adems, es necesario un constante monitoreo, correccin de desviaciones, y comunicacin oportuna de resultados; generando valor al negocio, mejora

    Sistemas de administracin de calidad.

    Definir un sistema de administracin de calidad.

    Estndares y prcticas de calidad.

    Establecer y mantener un sistema de administracin de calidad.

    Estndares de desarrollo y de adquisicin.

    Crear y comunicar estndares de calidad a toda la organizacin.

    Enfoque en el cliente de TI.

    Crear y administrar el plan de calidad para la mejora continua.

    Mejora continua. Medir, monitorear y revisar el cumplimiento de las metas de calidad.

    Medicin, monitoreo y revisin de la calidad.

  • 17

    www.auditool.org

    continua y transparencia.

    17. Administrar los riesgos.

    Marco de trabajo de administracin de riesgos, que determine un nivel comn y acordado de riesgos de TI, estrategias de mitigacin y riesgos residuales. El marco de trabajo, tambin debe permitir identificar, analizar y evaluar cualquier impacto potencial que se presente.

    Marco de trabajo de administracin de riesgos.

    Determinar la alineacin de la administracin de riesgos.

    Establecimiento del contexto del riesgo.

    Entender los objetivos de negocio estratgicos relevantes.

    Identificacin de eventos.

    Entender los objetivos de los procesos de negocio relevantes.

    Evaluacin de riesgos de TI.

    Identificar los objetivos internos de TI y establecer el contexto del riesgo.

    Respuesta a los riesgos.

    Identificar eventos asociados con objetivos.

    Mantenimiento y monitoreo de un plan de accin de riesgos.

    Asesorar el riesgo con los eventos.

    Evaluar y seleccionar respuestas a riesgos.

    Priorizar y planear actividades de control.

    Aprobar y asegurar fondos para planes de accin de riesgos.

    Mantener y monitorear un plan de accin de riesgos.

    18. Administrar la seguridad.

    Es importante establecer un proceso de administracin de la seguridad, que garantice la integridad de la informacin y la proteccin de los activos de TI. Este proceso incluye establecimiento de roles y responsabilidades de seguridad, polticas, estndares y procedimientos de TI. De la misma manera, se deben realizar acciones monitoreo y pruebas de seguridad, acciones correctivas sobre las debilidades o incidentes detectados.

    Administracin de la seguridad de TI.

    Definir y mantener un plan de seguridad de TI.

    Plan de seguridad de TI.

    Definir, establecer y operar un proceso de administracin de identidad.

    Monitorear incidentes de seguridad.

    Realizar evaluaciones de vulnerabilidad peridicamente.

    Construir, adquirir e implementar

    Procesos Descripcin Objetivos de Control

    Actividades

    Determinar un marco de trabajo para la administracin de

    Marco de trabajo para la administracin de

    Definir un marco de administracin de programas, portafolio para

  • 18

    www.auditool.org

    19. Administrar programas

    y proyectos.

    programas y proyectos de TI, que permita garantizar la asignacin correcta de prioridades y coordinacin de proyectos, Este marco debe incluir un plan maestro, asignacin de recursos, definicin de entregables, aprobacin de usuarios, entrega por fases, aseguramiento de la calidad, plan de pruebas, revisin de pruebas, post-implantacin, que garantice la administracin de los riesgos del proyecto y la entrega del valor para el negocio.

    programas. inversiones en TI.

    Marco de trabajo para la administracin de proyectos.

    Establecer y mantener un marco de trabajo para la administracin de proyectos de TI.

    Enfoque de administracin de proyectos.

    Establecer y mantener un sistema de monitoreo, medicin y administracin de sistemas.

    Compromiso de los interesados.

    Elaborar estatutos, calendarios, planes de calidad, presupuestos, planes de comunicacin y de administracin de riesgos.

    Declaracin del alcance del proyecto.

    Asegurar la participacin y compromiso de los interesados en el proyecto.

    Inicio de las fases del proyecto.

    Asegurar el control efectivo de los proyectos y de los cambios a proyectos.

    Plan integrado del proyecto.

    Definir e implementar mtodos de aseguramiento y revisin de proyectos. Recursos del

    proyecto.

    Administracin de riesgos del proyecto.

    Plan de aseguramiento de calidad (Q.A) del proyecto.

    Control de cambios del proyecto.

    Planeacin del proyecto y mtodos de aseguramiento.

    Medicin del desempeo, reporte y monitoreo del proyecto.

    Cierre del proyecto.

    20. Administrar la definicin de requerimientos.

    Los requisitos y necesidades de la empresa se deben satisfacer con un enfoque efectivo y eficiente. Para esto, es necesario identificar las necesidades, considerar fuentes alternativas, revisin de la factibilidad tecnolgica y econmica, anlisis de riesgos y de costo-beneficios, para

    Definicin y mantenimiento de los requerimientos tcnicos y funcionales del negocio.

    Definir los requerimientos funcionales y tcnicos del negocio.

    Reporte de anlisis de riesgos.

    Establecer procesos para la integridad y validez de los requerimientos.

    Estudio de factibilidad y formulacin de

    Identificar, documentar y analizar el riesgo del proceso de negocio.

  • 19

    www.auditool.org

    tomar una decisin final, ya sea desarrollar o comprar.

    cursos de accin alternativos.

    Requerimientos, decisin de factibilidad y aprobacin.

    Conducir un estudio de factibilidad, evaluacin de impacto con respecto a la implantacin de los requerimientos del negocio propuestos.

    Evaluar los beneficios operativos de TI para las soluciones propuestas.

    Evaluar los beneficios de negocio de las soluciones propuestas.

    Elaborar un proceso de aprobacin de requerimientos.

    Aprobar y autorizar soluciones propuestas.

    21. Administrar la identificacin y construccin de soluciones.

    Diseo de las aplicaciones, inclusin apropiada de controles aplicativos y requerimientos de seguridad, desarrollo y configuracin, de acuerdo a los estndares. Esto proceso debe garantizar que las aplicaciones estn de acuerdo con los requerimientos del negocio.

    Diseo de alto nivel.

    Traducir los requerimientos del negocio en especificaciones de diseo de alto nivel.

    Diseo detallado.

    Preparar diseo detallado y los requerimientos tcnicos del software aplicativo.

    Control y posibilidad de auditar las aplicaciones.

    Especificar los controles de aplicacin dentro del diseo.

    Seguridad y disponibilidad de las aplicaciones.

    Personalizar e implementar la funcionalidad automatizada adquirida.

    Configuracin e implantacin de software aplicativo adquirido.

    Desarrollar las metodologas y procesos formales para administrar el proceso de desarrollo de la aplicacin.

    Actualizaciones importantes en sistemas existentes.

    Crear un plan de aseguramiento de la calidad de software para el proyecto.

    Desarrollo del software aplicativo.

    Dar seguimiento y administrar los requerimientos de la aplicacin.

    Aseguramiento de la calidad del software.

    Desarrollar un plan para el mantenimiento de aplicaciones de software.

    Administracin de los requerimientos

  • 20

    www.auditool.org

    de aplicaciones.

    Mantenimiento de software aplicativo.

    Plan de adquisicin de infraestructura tecnolgica.

    Proteccin y disponibilidad de recurso de infraestructura.

    Mantenimiento de la infraestructura.

    Ambiente de prueba de factibilidad.

    Control de adquisicin.

    Adquisicin de recursos de TI

    22. Administrar la disponibilidad y capacidad.

    Revisin y verificacin peridica del desempeo y la capacidad de los recursos de TI, para determinar las necesidades futuras, de acuerdo a aspectos como carga de trabajo, almacenamiento, y contingencias. Este proceso permite asegurar que los recursos de informacin estn disponibles de manera continua, y optimiza el desempeo de la infraestructura, los recursos y las capacidades de TI, en respuesta a las necesidades del negocio.

    Planeacin del desempeo y la capacidad.

    Establecer un proceso de planeacin para la revisin del desempeo y la capacidad de los recursos de TI.

    Capacidad y desempeo actual.

    Revisar el desempeo y la capacidad actual de los recursos de TI.

    Capacidad y desempeo futuros.

    Realizar pronsticos de desempeo y capacidad de los recursos de TI.

    Disponibilidad de recursos de TI

    Realizar anlisis de brecha para identificar incompatibilidad de los recursos de TI.

    Monitoreo y reporte.

    Realizar un plan de contingencia respecto a una falta potencial de disponibilidad de recursos de TI.

    Monitorear y reportar continuamente la disponibilidad, desempeo y capacidad de los recursos de TI.

    23. Administrar la habilitacin del cambio.

    Definicin y ejecucin de procedimientos de adquisicin, seleccin de proveedores, y ajuste de arreglos contractuales.

    Control de adquisicin.

    Desarrollar polticas y procedimientos de adquisicin de TI de acuerdo con las polticas de adquisicin a nivel corporativo.

    Administracin de contratos con proveedores.

    Establecer y mantener una lista de proveedores acreditados.

  • 21

    www.auditool.org

    Seleccin de proveedores.

    Desarrollar contratos que protejan los intereses de la organizacin.

    Adquisicin de recursos de TI.

    Realizar adquisiciones de conformidad con los procedimientos establecidos.

    24. Administrar cambios

    Administrar todos los cambios de una manera organizada, incluyendo los cambios de estndares y el mantenimiento de emergencia relacionados a los procesos del negocio, aplicaciones e infraestructura. Este proceso incluye cambiar estndares y procedimientos, evaluacin de impacto, priorizacin y autorizacin, cambios de emergencia, seguimiento, reporte, cierre y documentacin. Los cambios deben ser registrados, evaluados y autorizados, antes de su implantacin, y revisados despus de la misma. De esta manera, se garantiza la reduccin de riesgos que puedan impactar negativamente la estabilidad o integridad del sistema de produccin.

    Estndares y procedimientos para cambios.

    Desarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma consistente a las soluciones de cambio.

    Evaluacin de impacto, priorizacin y autorizacin.

    Evaluar impacto y dar prioridad en cambios en base a las necesidades del negocio.

    Cambios de emergencia.

    Garantizar que cualquier cambio crtico y de emergencia, sigue el proceso aprobado.

    Seguimiento y reporte del estatus del cambio.

    Autorizar Cambios.

    Cierre y documentacin del cambio.

    Administrar y diseminar la informacin relevante referente a cambios.

    25. Administrar la aceptacin de cambios y transiciones.

    Desarrollo de las pruebas adecuadas, definicin de la transicin e instrucciones de migracin, planeacin de liberacin y transicin al ambiente de produccin, y revisin de post-implantacin. Este proceso garantiza que los sistemas estn en lnea de acuerdo a las caractersticas y resultados esperados.

    Entrenamiento Construir y revisar planes de investigacin.

    Plan de prueba.

    Definir y revisar una estrategia de prueba y una metodologa de plan de prueba operacional.

    Plan de implantacin.

    Construir y mantener un repositorio de requerimientos de negocio y tcnicos, y casos de prueba para sistemas acreditados.

    Ambiente de prueba.

    Ejecutar la conversin del sistema y las pruebas de integracin en ambiente de prueba.

    Conversin de sistemas y datos.

    Establecer ambientes de prueba y conducir pruebas de aceptacin finales.

  • 22

    www.auditool.org

    Pruebas de cambios.

    Recomendar la liberacin a produccin con base en los criterios de acreditacin convenidos.

    Prueba de aceptacin final.

    Promocin a produccin.

    Revisin posterior a implantacin.

    26. Administrar el conocimiento.

    Generacin y documentacin de manuales para usuarios y para TI, capacitacin y entrenamiento para garantizar el correcto uso y operacin de las aplicaciones y la infraestructura.

    Plan para soluciones de operacin.

    Desarrollar estrategia para que la solucin sea operativa.

    Transferencia de conocimiento a la gerencia del negocio.

    Desarrollar metodologa de transferencia de conocimiento.

    Transferencia de conocimiento a usuarios finales.

    Desarrollar manuales de procedimiento del usuario final.

    Transferencia de conocimiento al personal de operaciones y soporte.

    Desarrollar documentacin de soporte tcnica para operaciones y personal de soporte.

    Desarrollar y dar entrenamiento.

    Evaluar los resultados del entrenamiento y ampliar la documentacin, cuando sea necesario.

    27. Administrar los activos.

    Administracin adecuada de los activos en TI durante su ciclo de vida, eliminando as costos innecesarios.

    Monitoreo y disposicin de los activos de TI.

    28. Administrar la

    configuracin.

    Recoleccin de informacin de la configuracin inicial, establecimiento de normas, verificacin y auditoria de la informacin de la configuracin y actualizacin del repositorio de configuracin, de acuerdo a las necesidades. Este proceso facilita una mayor disponibilidad, minimiza los problemas de produccin y resuelve los problemas a tiempo. As mismo, este proceso incluye la optimizacin de la infraestructura, recursos y capacidades de TI, y el

    Repositorio y lnea base de configuracin.

    Desarrollar procedimientos de planeacin de administracin de la configuracin.

    Identificacin y mantenimiento de elementos de configuracin.

    Recopilar informacin sobre la configuracin inicial y establecer lneas de base.

    Revisin de integridad de la configuracin.

    Verificar y auditar la informacin de la configuracin.

    Actualizar el repositorio de configuracin.

  • 23

    www.auditool.org

    registro de los activos de TI.

    Entregar, servir y dar soporte

    Procesos Descripcin Objetivos de Control

    Actividades

    29. Administrar las operaciones

    Definicin de los requerimientos fsicos del centro de datos, seleccin de instalaciones apropiadas, y diseo de procesos efectivos para monitorear factores ambientales y administrar el acceso. Este proceso puede reducir las interrupciones de las operaciones, por daos a los equipos y al personal. As mismo incluye la definicin de polticas y procedimientos de operacin para una administracin efectiva del procesamiento programado, proteccin de datos, monitoreo de infraestructura y mantenimiento preventivo del hardware. Estas actividades ayudan a mantener la integridad de los datos, y reduce los retrasos en el trabajo y los costos operativos en TI.

    Procedimientos e instrucciones de operacin.

    Definir el nivel requerido de proteccin fsica.

    Requerimientos del negocio para administracin de datos.

    Seleccionar y comisionar el sitio.

    Programacin de tareas.

    Implementar medidas de ambiente fsico.

    Monitoreo de la infraestructura de TI.

    Administrar el ambiente fsico.

    Documentos sensitivos y dispositivos de salida.

    Definir e implementar procesos para mantenimiento y autorizacin de acceso fsico.

    Mantenimiento preventivo del hardware.

    Crear o modificar procedimientos de operacin.

    Seleccin y diseo del centro de datos.

    Programacin de cargas de trabajo y de programas en lote.

    Administracin de instalaciones fsicas.

    Monitorear la infraestructura y procesar y resolver problemas.

    Administrar y asegurar la salida fsica de informacin.

    Aplicar cambios o arreglos al programa y a la infraestructura.

    Implementar y establecer un proceso para salvaguardar los dispositivos de autenticacin contra interferencia, prdida o robo.

    Programar y llevar a cabo mantenimiento preventivo.

    30. Administrar las solicitudes de servicios

    Creacin de una funcin de mesa de servicio con registro, escalamiento de incidentes, anlisis de

    Mesa de servicios. Crear procedimientos de clasificacin y de escalamiento.

    Registro de Detectar y registrar

  • 24

    www.auditool.org

    y los incidentes.

    tendencia, anlisis de causa-raz y solucin. Este proceso, permite responder de manera oportuna a las consultas y problemas de los usuarios de TI.

    consultas de clientes.

    incidentes, solicitudes de servicio y de informacin.

    Escalamiento de incidentes.

    Clasificar, investigar y diagnosticar consultas.

    Cierre de incidentes.

    Resolver, recuperar y cerrar incidentes.

    Anlisis de tendencias.

    Informar a usuarios.

    Hacer reportes para la gerencia.

    31. Administrar problemas.

    Identificacin y clasificacin de problemas, anlisis de causas desde la raz, y resolucin de problemas. Este proceso tambin incluye, la identificacin de recomendaciones para la mejora, mantenimiento de registro de problemas, y revisin de las acciones correctivas. Adems, este proceso garantiza la satisfaccin de los usuarios finales.

    Administracin y clasificacin de problemas.

    Identificar y clasificar problemas.

    Rastreo y resolucin de problemas.

    Realizar anlisis de causa raz.

    Cierre de problemas.

    Resolver problemas.

    Integracin de las administraciones de cambios, configuracin y problemas.

    Revisar el estatus de problemas.

    Emitir recomendaciones para mejorar y crear una solicitud de cambio relacionada.

    Mantener registros de los problemas.

    32. Administrar la continuidad.

    Garantizar la continuidad del servicio, a travs del desarrollo, mantenimiento y prueba de planes de continuidad de TI, almacenar respaldos fuera de las instalaciones, y entrenar de forma peridica sobre los planes de continuidad. Este proceso minimiza la probabilidad y el impacto de interrupciones mayores en los servicios de TI, sobre las funciones y procesos importantes de la empresa.

    Marco de trabajo de continuidad de TI.

    Desarrollar un marco de trabajo de continuidad de TI.

    Planes de continuidad de TI.

    Realizar un anlisis de impacto al negocio y valoracin de riesgo.

    Recursos crticos de TI.

    Desarrollar y mantener planes de continuidad de TI.

    Mantenimiento del plan de continuidad de TI

    Identificar y categorizar los recursos de TI con base en los objetivos de recuperacin.

    Pruebas del plan de continuidad de TI

    Definir y ejecutar procedimientos de control de cambios para asegurar que el plan de continuidad sea vigente.

    Entrenamiento del plan de continuidad de TI

    Probar regularmente el plan de continuidad de TI.

    Distribucin del plan de continuidad de TI

    Desarrollar un plan de accin a seguir con base en los resultados de las pruebas.

    Recuperacin y reanudacin de los

    Planear y llevar a cabo capacitacin sobre los

  • 25

    www.auditool.org

    servicios de TI. planes de continuidad de TI.

    Almacenamiento de respaldos fuera de las instalaciones.

    Planear la recuperacin y reanudacin de los servicios de TI.

    Revisin post-reanudacin.

    Planear e implementar el almacenamiento y la proteccin de respaldos.

    Eliminacin. Establecer los procedimientos para llevar a cabo revisiones post-reanudacin.

    Respaldo y restauracin.

    33. Administrar los servicios de seguridad

    Proceso de administracin de la seguridad, necesario para mantener la integridad de la informacin y proteger los activos de TI. Esto se realiza a travs del establecimiento y mantenimiento de roles y responsabilidades de seguridad, polticas, estndares y procedimientos de TI, monitoreo de seguridad y pruebas peridicas, y acciones correctivas. Este proceso minimiza el impacto en la empresa causado por vulnerabilidades o incidentes de seguridad.

    Administracin de identidad.

    Definir y mantener un plan de seguridad de TI.

    Administracin de cuentas del usuario.

    Definir, establecer y operar un proceso de administracin de identidad.

    Pruebas, vigilancia y monitoreo de la seguridad.

    Monitorear incidentes de seguridad, reales y potenciales.

    Definicin de incidente de seguridad.

    Revisar y validar peridicamente los privilegios y derechos de acceso de los usuarios.

    Proteccin de la tecnologa de seguridad.

    Establecer y mantener procedimientos para mantener y salvaguardar las llaves criptogrficas.

    Administracin de llaves criptogrficas.

    Implementar y mantener controles tcnicos y de procedimientos para proteger el flujo de informacin a travs de la red.

    Prevencin, deteccin y correccin de software malicioso.

    Realizar evaluaciones de vulnerabilidad de manera regular.

    Seguridad de la red.

    Intercambio de datos sensitivos.

    Acuerdos de almacenamiento y conservacin.

    Sistema de administracin de libreras de medios.

    Medidas de seguridad fsica.

    Acceso fsico.

  • 26

    www.auditool.org

    Requerimientos de seguridad para la administracin de datos.

    Proteccin contra factores ambientales.

    34. Administrar los controles en los procesos de negocio.

    Definir un marco de trabajo para los procesos de TI, proporcionando integracin entre los procesos, administracin del portafolio de la empresa, procesos del negocio y procesos de cambio.

    Definicin de procesos para satisfacer requerimientos del negocio de TI.

    Disear marco de trabajo para el proceso de TI.

    Monitorear, evaluar y valorar

    Procesos Descripcin Objetivos de Control

    Actividades

    35. Monitorear, evaluar y valorar el desempeo y cumplimiento

    Definicin de indicadores de desempeo relevantes, reportes sistemticos y oportunos de desempeo, y tomar medidas cuando existan desviaciones. Un monitoreo adecuado garantiza que los procedimientos se hagan correctamente y de acuerdo a las direcciones y polticas de la empresa.

    Enfoque del monitoreo.

    Establecer el enfoque de monitoreo.

    Definicin y recoleccin de datos del monitoreo.

    Identificar y recolectar objetivos medibles que apoyan a los objetivos del negocio.

    Mtodo de monitoreo.

    Crear cuadro de mandos.

    Evaluacin del desempeo.

    Evaluar el desempeo.

    Reportes al consejo directivo y a ejecutivos.

    Reportar el desempeo.

    Acciones correctivas.

    Identificar y monitorear las medidas de mejora del desempeo.

    36. Monitorear, evaluar y valorar el sistema de control interno

    Monitoreo y reporte de las excepciones de control interno, resultados de las auto-evaluaciones y revisiones por parte de terceros. Este proceso permite proporcionar seguridad de las operaciones eficientes y efectivas, cumplimiento de las leyes y regulaciones pertinentes.

    Monitoreo del marco de trabajo de control interno.

    Monitorear y controlar las actividades de control interno de TI.

    Revisiones de auditoria.

    Monitorear el proceso de auto-evaluacin.

    Excepciones de control.

    Crear cuadro de mandos.

    Auto evaluacin del control.

    Monitorear el proceso para obtener aseguramiento sobre los controles operados por terceros.

    Aseguramiento del control interno.

    Monitorear el proceso para identificar y evaluar las excepciones de control.

    Control interno para terceros.

    Monitorear el proceso para identificar y evaluar y

  • 27

    www.auditool.org

    remediar las excepciones de control.

    Acciones correctivas

    Reportar a los interesados clave.

    37. Monitorear, evaluar y valorar el cumplimiento con requisitos externos.

    Identificacin de requerimientos de cumplimiento, optimizando y evaluando la respuesta, asegurando que los requerimientos se han cumplido, e integrando los reportes de cumplimiento de TI, con el resto de la empresa.

    Identificar los requerimientos de las leyes, regulaciones y cumplimientos contractuales.

    Definir y ejecutar un proceso para identificar los requerimientos legales, contractuales de polticas y regulatorios.

    Optimizar la respuesta a requerimientos externos.

    Evaluar cumplimiento de actividades de TI con polticas, estndares y procedimientos de TI.

    Evaluacin del cumplimiento con requerimientos externos.

    Reportar aseguramiento positivo del cumplimiento de las actividades de TI con las polticas, planes y procedimientos de TI.

    Aseguramiento positivo del cumplimiento.

    Brindar retroalimentacin para alinear las polticas, estndares y procedimientos de TI con los requerimientos de cumplimiento.

    Reportes integrados.

    Integrar los reportes de TI sobre requerimientos regulatorios con similares provenientes de otras funciones del negocio.

    Revisin de requerimientos externos.

    Prcticas y procedimientos para cumplimiento de los requerimientos externos.

    Cumplimiento de estndares ergonmicos y de seguridad.

    Privacidad y flujo de datos.

    Comercio electrnico

    Cumplimiento contrato de seguros.

  • 28

    www.auditool.org

    Modelo de capacidad de procesos ISO/IEC 15504 Las empresas deben estar evaluando constantemente su administracin de TI, a travs del desarrollo de un plan de negocio para mejorar y alcanzar el nivel apropiado de administracin, y control sobre la infraestructura de informacin, y considerando el equilibrio del costo beneficio. El modelo COBIT 5, sugiere un modelo de capacidad de procesos para la administracin y control de los procesos de TI, mediante un mtodo de evaluacin de la organizacin, que permita identificar los problemas o fallas, y fijar las mejoras. Adems, este modelo permite que la empresa conozca su desempeo real, estatus actual de la industria, objetivo de mejora de la empresa, y crecimiento requerido. El modelo de capacidad de procesos en COBIT 5 es soportado por el Modelo de Procesos ISO/IEC 15504, y contiene los siguientes niveles de capacidad que un proceso puede alcanzar:

    0 Incompleto - Nivel 0 de Madurez (organizacin Inmadura): En este nivel de madurez es evidente que no se implementan de manera efectiva los procesos para el desarrollo de software, es decir que no se alcanzan los propsitos u objetivos de la organizacin, de la misma manera que no se identifican productos o salidas de proceso, por lo tanto se determina que no hay atributos a evaluar en dicho nivel.

    1 Alcanzado - Nivel 1 de Madurez (organizacin Bsica): para este nivel de madurez se determina que la entidad u organizacin se remite de manera simple a la implementacin y por tal motivo alcanza de forma bsica los objetivos de dicho proceso, por lo tanto alcanzando los resultados propuestos supone que es posible la identificacin propicia a las salidas o resultados del proceso evaluado.

    2 Gestionado - Nivel 2 de Madurez (organizacin Gestionada): Se realizan los mismos procesos del nivel anterior a diferencia que en este nivel, la entidad u organizacin evidencia una planificacin, un seguimiento y control de los procesos como del trabajo relacionado

    .

    3 Establecido - Nivel 3 de Madurez (organizacin Establecida): para llegar a este nivel de madurez es necesario implementar los procesos y requerimientos demandados en los niveles anteriores adems de los procesos definidos basados en estndares para toda la organizacin los cuales son:

    Anlisis de requisitos del software Diseo de la arquitectura del software Diseo de la arquitectura del sistema Gestin de infraestructuras Gestin de recursos humanos Gestin de riesgos Gestin de la decisin Integracin del software Integracin del sistema Verificacin del software Validacin del software

    4 Predecible - Nivel 4 de Madurez (organizacin predecible): Para acceder a este nivel es necesario haber cumplido con los procesos de los niveles anteriores, ya que en este nivel la organizacin debe medir y analizar el tiempo de realizacin de los procesos, una gestin cuantitativa de los mismos, a diferencia de los niveles anteriores este nivel vela porque el proceso se lleve a trmino de forma consistente dentro de unos parmetros descritos.

  • 29

    www.auditool.org

    5 Optimizado - Nivel 5 de madurez (organizacin Optimizada): Este ltimo nivel responde bsicamente al adecuado engranaje de los procesos abordados en los niveles anteriores, buscando de estos un mejoramiento continuo, logrando as un aporte al alcance de los objetivos de negocio de la entidad. Adems de esto es preciso llevar a cabo una continua monitorizacin de los procesos y un respectivo anlisis de los datos adquiridos, permitiendo que los procesos estandarizados definidos en la entidad cambien activamente adaptndose de manera eficiente a los objetivos actualmente desarrollados y a los proyectados a futuro por la entidad.

    Cada nivel es alcanzado una vez se cumpla con el anterior, estableciendo as una escala de mejoramiento continuo. Este estndar internacional en Tecnologas de Informacin Evaluacin de procesos (Software Process Improvement Capability Determination, Determinacin de la Capacidad de Mejora del Proceso de Software), se public por primera vez en 1998; y se define como un marco para la evaluacin, mejora de la capacidad y madurez de los procesos; y establece los requisitos mnimos de las distintas fases (desarrollo, mantenimiento y operacin) que se presentan en el ciclo de vida de software. Su estructura se divide en siete momentos, y dos fases, la primer fase considerada como normativa, consiste en definir los requerimientos mnimos para la realizacin de mejoras de procesos de desarrollo y as mismo sirve para evaluar el nivel de madurez de la entidad con relacin al desarrollo de software, una segunda parte denominada como no normativa la cual presentan las guas de interpretacin de los requerimientos mnimos de la norma. Los siete momentos o partes de la norma ISO/IEC 15504 son:

    1. Conceptos y vocabularios. (normativa) 2. Realizacin de la evaluacin. (normativa) 3. Gua para la realizacin de la evaluacin. (no normativa) 4. Gua sobre el uso para la mejora y determinacin de calidad del proceso. (no normativa) 5. Un ejemplo de modelo de evaluacin de proceso. (normativa) 6. Conceptos y vocabulario. (normativa) 7. Evaluacin de la madurez de una entidad u organizacin. (no normativa)

    ISO/IEC 15504 permite realizar las evaluaciones usando niveles de madurez, definidos como conjuntos de procesos que ayudan a una organizacin a mejorar en el desarrollo de software, evolucionando por los niveles. Entonces, se definen los seis niveles de capacidad, mencionados anteriormente, a los cuales se puede demandar dependiendo la calidad y la utilizacin de los procesos de desarrollo, mantenimiento y operacin de software dentro de organizacin. Cada proceso se describe de acuerdo a sus propsitos y resultados, incluyendo los pasos necesarios para alcanzar los propsitos y metas actuales del proceso. El modelo de capacidad de procesos basado en la norma ISO/IEC 15504 envuelve los siguientes objetivos:

    Habilitar el cuerpo de gobierno y administracin para establecer un punto de referencia para la evaluacin de la capacidad.

    Habilitar la revisin sobre el estado en que se encuentran y el estado objetivo de alto nivel de los procesos, para asistir al gobierno y a la administracin de la empresa en cuanto a la toma de decisiones relacionadas con la mejora de los procesos.

    Realizar anlisis de carencias y planificar las mejoras.

    Proporcionar a la empresa indicadores de evaluacin para medir y monitorear la capacidad actual de los procesos.

    Matriz RACI Para cada proceso se establece una Matriz RACI, la cual presenta la asignacin de responsabilidades y roles con respecto a las actividades que envuelven cada proceso. De esta manera segn las siglas se establece:

  • 30

    www.auditool.org

    R Responsible Responsable

    A Accountable Quien aprueba

    C Consulted A quien se consulta

    I Informed A quien se informa

    En COBIT 5 los roles estn clasificados de la siguiente manera:

    Matriz RACI

    Actividades Junta

    directiva

    Directo

    r E

    jecu

    tivo (

    CE

    O)

    Directo

    r F

    inancie

    ro (

    CF

    O)

    Directo

    r o

    pera

    tivo (

    CO

    O)

    Eje

    cu

    tivos d

    el neg

    ocio

    Due

    os d

    el pro

    ceso d

    el N

    egocio

    Com

    it E

    jecutivo d

    e la E

    str

    ate

    gia

    Com

    it d

    irectivo

    Oficin

    a A

    dm

    inis

    trativa d

    e p

    royecto

    s

    Oficin

    a A

    dm

    inis

    trativa d

    el V

    alo

    r

    Directo

    r d

    e R

    iesgos

    Directo

    r d

    e S

    eguri

    da

    d d

    e la

    Info

    rmaci

    n

    Directo

    r d

    e a

    rquitectu

    ra

    Com

    it d

    e R

    iesgo

    Em

    pre

    sa

    rial

    Jefe

    de

    Recurs

    os h

    um

    anos

    Cum

    plim

    iento

    Aud

    itori

    a

    Directo

    r d

    e Info

    rmaci

    n

    Jefe

    Arq

    uitecto

    Jefe

    de

    desarr

    ollo

    Jefe

    de

    Opera

    cio

    nes d

    e T

    I

    Jefe

    de

    Ad

    min

    istr

    aci

    n d

    e T

    I

    Adm

    inis

    trador

    del serv

    icio

    A

    dm

    inis

    trador

    de la S

    eg

    uri

    dad d

    e la

    info

    rmaci

    n

    Adm

    inis

    trador

    de la c

    ontinu

    ida

    d d

    el n

    egocio

    Directo

    r d

    e p

    rivacid

    ad

    Implementacin Un valor ptimo puede ser alcanzado si se adapta efectivamente el modelo COBIT a la organizacin, teniendo en cuenta su ambiente. La Gua de implementacin del Modelo COBIT se desarrolla en un mejoramiento continuo del ciclo de vida, teniendo en cuenta los siguientes aspectos:

    Contexto de la empresa: Cada empresa debe disear su propio plan de implementacin de acuerdo a factores especficos internos y externos:

    tica y cultura Leyes, regulaciones y polticas pertinentes Misin, visin y valores Polticas de gobierno y practicas Plan de negocios e intenciones estratgicas Modelo operativo y nivel de madurez Estilo de administracin Apetito de Riesgo Capacidades y recursos disponibles Practicas industriales

    Creacin de un ambiente apropiado: Soporte y direccin de la las partes interesadas es fundamental para un mejoramiento continuo, dirigiendo adecuadamente las necesidades y problemas reales del negocio. A travs de diagnsticos y evaluaciones de COBIT, se puede lograr conciencia, consenso y compromiso de actuar y generar cambio. Este compromiso debe establecerse desde el principio, lo que permitir determinar objetivos y beneficios claros, as como recursos, roles, responsabilidades, estructuras y procesos.

  • 31

    www.auditool.org

    Reconocimiento de puntos dbiles y eventos desencadenantes: Una variedad de factores pueden indicar la necesidad de mejorar el gobierno y administracin de TI en una empresa, algunos pueden ser:

    Frustracin en el negocio con iniciativas fallidas, incremento de costos en TI, y percepcin de un bajo valor del negocio.

    Incidentes significativos relacionados a los riesgos de TI. Fallas en el cumplimiento regulatorio o contractual. Recursos de TI insuficientes, personal desmotivado y sin las capacidades y experiencia

    necesaria. Modelos operativos de TI complejos.

    Permitir cambio: Implementacin de los cambios apropiados y de la manera adecuada, teniendo en cuenta aspectos tan importantes como el compromiso de las partes interesadas y el personal.

    Enfoque del ciclo de vida: Este enfoque ayuda a las empresas a utilizar COBIT para manejar la complejidad y desafos que se pueden presentar durante la implementacin. Los componentes del ciclo de vida son:

    Contino mejoramiento en el ciclo de vida. Habilitacin del cambio, dirigido a aspectos culturales y de comportamiento. Administracin del programa.

    Introduccin, Caso de negocio: Necesidad de actuar para lograr el valor de negocio, teniendo en

    cuentas aspectos como:

    Beneficios Cambios necesarios Inversin necesaria Costos de TI Beneficios esperados Riesgo inherente Roles y responsabilidades Mtricas de evaluacin y monitoreo

    Iniciacin del

    programa

    Definir problemas y

    oportunidades

    Definir plan de accin

    Programa del plan

    Ejucutar el plan

    Beneficios

    Revisar efectividad

  • 32

    www.auditool.org

    Risk IT Marco de trabajo basado en un conjunto de principios rectores, guas y procesos de negocio para la identificacin, gobernabilidad y administracin eficaz de riesgo de tecnologa de informacin en una entidad. Risk IT establece buenas prcticas y posibilita una mirada integral para la deteccin de riesgos relacionados con el uso, propiedad, operacin, participacin, influencia y adopcin de las tecnologas de informacin; facilita la integracin de la administracin del riesgo de TI con las actividades de gestin de riesgo de la entidad (ERM), permitiendo as que la entidad tome mejores decisiones con relacin a aspectos sobre riesgo, evitando perdidas y obteniendo beneficios. El uso de TI puede generar importantes beneficios para una organizacin, pero a la vez implica un sin nmero de riesgos. De esta manera es importante que la toma de decisiones est sustentada en los alcances del riesgo y manteniendo siempre la relacin riesgo/beneficio, debido a que de esta manera se seguirn las medidas necesarias para responder a este, y se alcanzaran las metas del negocio. Una adecuada gestin de riesgos de TI, a los que puede estar expuesta cualquier organizacin, es esencial para una correcta administracin y gobierno. Los riesgos de TI pueden clasificarse de la siguiente manera:

    CATEGORIA DESCRIPCIN RIESGOS

    Beneficios / riesgos de TI

    Riesgos asociados a la ausencia de oportunidades para utilizar la tecnologa, con el fin de mejorar la eficiencia o efectividad de los procesos de negocio o como un facilitador para nuevas iniciativas organizacionales.

    Riesgos estratgicos

    Riesgos ambientales

    Riesgos de mercado

    Riesgos de crdito

    Riesgos operacionales

    Riesgos de cumplimiento

    Programa de TI y riesgo de ejecucin

    de proyectos

    Riesgos relacionados a la contribucin de TI para soluciones de negocios nuevos o mejorados y gestin de las inversiones de cartera.

    Operaciones de TI y el riesgo de la prestacin de

    servicios

    Riesgos asociados a todos los aspectos del desempeo de TI y servicios del sistema, que pueden ocasionar la destruccin o la reduccin de valor para la organizacin.

    El marco de trabajo Risk IT se desarrolla con base en los principios de gestin de riesgos organizacionales (ERM), COSO ERM, y dems normas y principios relacionados; por esta razn se fundamenta en los siguientes principios:

    Alineacin con los objetivos organizacionales.

    Alinear la gestin de TI con el riesgo organizacional relacionado con el total de ERM.

    Balance de costos y beneficios de la gestin de riesgos de TI.

    Promover la comunicacin abierta y equitativa de los riesgos de TI.

    Hacer cumplir la responsabilidad del personal con los niveles de tolerancia aceptables y bien definidos.

    Funcionar como parte de las actividades diarias.

    Alrededor de estos objetivos se genera un modelo de procesos, que incluye las actividades clave de cada proceso, responsabilidades, flujos de informacin y gestin del rendimiento. Risk IT est enfocado a 3 dominios, cada uno con tres procesos:

    Gobernabilidad del riesgo: Consiste en garantizar que las prcticas de administracin de riesgo de tecnologas de informacin estn integradas a la entidad, es decir involucrar el riesgo en la toma de decisiones de negocio, posibilitando as un retorno o resultado eficiente de las actividades de gestin de riesgos, adems de tener una visin comn del mismo. Los procesos relacionados son:

  • 33

    www.auditool.org

    Establecer y mantener una vista de riesgo comn. Integrar con ERM. Tomar decisiones conscientes de los riesgos del negocio.

    Existen algunos factores claves para la gobernabilidad del riesgo entre las que se encuentran:

    Desarrollar un marco de trabajo de administracin de riesgos de TI especfico a la entidad.

    Desarrollar mtodos de administracin de riesgos de tecnologas de informacin. Realizar una valoracin de riesgos de tecnologa de informacin a nivel empresarial. Proponer umbrales para la tolerancia al riesgo de tecnologas de informacin. Aprobar la tolerancia al riesgo de tecnologa de informacin. Alinear las declaraciones de polticas y estndares con la tolerancia al riesgo de

    tecnologas de informacin. Promover una cultura a la concientizacin de riesgos de tecnologas de informacin. Promover una comunicacin efectiva de riesgos de tecnologas de informacin. Establecer responsabilidad a nivel empresarial para la administracin del riesgo de

    tecnologas de informacin. Suministrar adecuados recursos, personas, procesos, sistemas de informacin,

    presupuestos, expectativas de reguladores y auditores externos. Incluir los riesgos de tecnologas de informacin en la toma de decisiones estratgicas. Aceptar el riesgo de tecnologas de informacin. Priorizar las actividades de respuesta a los riesgos de tecnologas de informacin.

    Este dominio envuelve los siguientes componentes:

    Apetito del riesgo y tolerancia al riesgo: El apetito del riesgo es la cantidad de riesgo que una organizacin est dispuesta a aceptar en el cumplimiento de su misin. La tolerancia al riesgo es la variacin aceptable en relacin a la consecucin de un objetivo.

    Responsabilidades y rendicin de cuentas sobre la gestin de riesgos de TI: Determinacin de las responsabilidades de las actividades en cada proceso.

    Sensibilizacin y comunicacin: Concienciacin de los riesgos, como parte integral de la organizacin.

    Cultura del riesgo: Asumir mayores riesgos en la bsqueda de la rentabilidad, lo cual ofrece un entorno que permite discutir los componentes del riesgo, entendiendo los niveles de riesgo aceptables.

    Evaluacin del riesgo: Garantizar que los riesgos y oportunidades de tecnologa de informacin sean identificadas, analizadas y presentadas en trminos de negocio para mantener el perfil del riesgo. Los procesos relacionados son:

    Recoger datos. Analizar los riesgos. Mantener perfil de riesgo.

    Entre las actividades claves de la evaluacin del riesgo estn:

    Definir el alcance del anlisis de riesgo de tecnologas de informacin. Estimar el riesgo de tecnologas de informacin, frecuencia y magnitud. Identificar opciones de respuesta al riesgo, aceptar, explotar, mitigar, transferir y evitar. Implementar una revisin grupal de los resultados de anlisis de riesgos de tecnologas

    de informacin. Esquematizar los recursos de tecnologas de informacin hacia los procesos del negocio. Determinar crticamente en el negocio los recursos de tecnologas de informacin.

  • 34

    www.auditool.org

    Entender las capacidades de las tecnologas de informacin. Mantener el registro de riesgos de tecnologas de informacin y el mapa de riesgos de

    tecnologas de informacin. Disear y comunicar los indicadores de riesgo de tecnologas de informacin. Conectar los tipos de amenazas y las categoras de impacto para el negocio. Establecer y mantener un modelo para la obtencin de datos internos y externos; factores

    de riesgo, eventos, problemas, amenazas, vulnerabilidades y prdidas. Recoleccin de informacin en ambiente operativo. Recoleccin de informacin en eventos de riesgo. Identificacin de factores de riesgo.

    Componentes:

    Descripcin del impacto de la organizacin: Comprensin de los eventos adversos y como estos pueden afectar los objetivos del negocio.

    Escenarios de riesgos: Identificacin de los riesgos importantes y relevantes dentro de los diferentes escenarios relacionados a las TI, y que pueden causar un impacto en el negocio.

    Respuesta al riesgo: Cerciorarse que los eventos, incidencias y oportunidades de riesgos de tecnologas de informacin sean atendidos de una manera eficaz, sin costos excesivos y de acuerdo a las necesidades y determinaciones del negocio. Es decir que se articule y administre el riesgo para reaccionar a eventos. Los procesos relacionados son:

    Riesgo articulado. Manejar riesgos. Reaccionar a acontecimientos.

    Las actividades claves de respuesta al riesgo son:

    Determinar controles. Implementar controles. Monitorear el alineamiento operacional con la tolerancia al riesgo. Reportar los resultados del anlisis de riesgos de tecnologas de informacin, riesgos y

    oportunidades. Reportar el progreso del plan de accin del riesgo de tecnologas de informacin. Comunicar los resultados de anlisis de riesgo de tecnologas de informacin. Reportar las actividades de administracin de riesgos y el estado del cumplimiento de

    tecnologas de informacin. Mantener los planes de respuesta a incidentes. Conducir revisiones post-mortem de los incidentes relacionados con tecnologas de

    informacin.

    Componentes:

    Riesgo: Definicin de principales indicadores de riesgo, teniendo en cuenta los diferentes factores relacionado a la organizacin as como sus caractersticas.

    Definicin de respuesta de riesgo y priorizacin: Llevar el riesgo al nivel de apetito de riesgo definido para la empresa.

  • 35

    www.auditool.org

    o Evitar riesgos o Reduccin de riesgos/mitigacin o Riesgo compartido/transferencia o Aceptacin del riesgo

    Risk IT complementa a COBIT, debido a que proporciona un marco general para el buen desempeo en los servicios de informacin de alta calidad en las distintas entidades u organizaciones, de manera que facilita obtener una visin exacta de los riesgos relacionados a tecnologas de informacin; ofrece guas sobre cmo administrar los riesgos de tecnologas de informacin desde el principio hasta el fin, se integra con las estructuras de riesgo y de cumplimiento dentro de la entidad, promueve la propiedad de los riesgos en la entidad u organizacin, facilita obtener el perfil de riesgo para entenderlo mejor, permite tomar decisiones bien informadas sobre la extensin, el apetito y la tolerancia al riesgo y permite entender cmo responder al riesgo. Adems de esto, Risk IT provee de una gran variedad de beneficios a la entidad porque establece una organizacin ms segura y consiente de sus riesgos, facilita la consecucin de los objetivos, genera mayor estabilidad ante cambios del entorno, fortalece la cultura del autocontrol, aprovecha oportunidades del negocio, optimiza la asignacin de recursos y promueve una mejora continua del sistema de control interno. Val IT Marco de gobierno que contiene un conjunto de principios rectores y una serie de procesos y prcticas de gestin claves para el apoyo a la gerencia ejecutiva y juntas a nivel empresarial. El marco Val IT proporciona a las organizaciones la estructura adecuada para medir, monitorear y optimizar la realizacin del valor del negocio desde la inversin en TI, con un costo adecuado y un aceptable nivel de riesgo. Adems, Val IT es apoyado por publicaciones y herramientas operativas y proporciona orientacin a:

    Definir la relacin entre TI y el negocio y las funciones de la organizacin con responsabilidades de gobierno.

    Administrar la cartera de una organizacin de TI habilitados para las inversiones empresariales.

    Maximizar la calidad de los anlisis de rentabilidad para las inversiones de negocios posibilitados con especial nfasis en la definicin de los principales indicadores financieros, la cuantificacin de los "blandos" beneficios y la valoracin global del riesgo a la baja.

    Val IT aborda supuestos, costos, riesgos y resultados relacionados con una cartera equilibrada de inversiones empresariales en TI. Tambin proporciona la capacidad de evaluacin comparativa y permite a las empresas intercambiar experiencias sobre las mejores prcticas para la gestin del valor. La inversin en TI puede traer grandes beneficios, siempre y cuando las organizaciones la entiendan no como un fin, sino como un medio para lograr los resultados esperados del negocio, no solo es la implementacin de las nuevas tecnologas, si no la obtencin de valor a travs del cambio en la organizacin con la TI. Es importante establecer un gobierno integral y con capacidad de TI, que pueda asegurar el valor a travs de la inversin en TI. El valor del negocio es definido como los beneficios totales netos del ciclo de vida, costos relacionados, ajustado por los riesgos y por el valor del dinero en el tiempo, es decir el resultado final esperado de una inversin en TI, los cuales pueden ser financieros o no. Los principios es que se fundamenta VAL IT son:

    La inversin en TI ser administrada como un portafolio de inversiones.

    La inversin en TI incluir el alcance real de las actividades necesarias para alcanzar el valor del negocio.

    La inversin en TI ser administrada a travs de todo el ciclo de vida econmico.

    Las prcticas de entrega de valor reconocern que hay diferentes categoras de inversiones que sern evaluadas y administradas diferentemente.

    Las prcticas de entrega de valor definirn y monitorearan las mtricas claves y respondern rpidamente a cualquier cambio o desviacin.

  • 36

    www.auditool.org

    Las prcticas de entrega de valor comprometern a todas las partes interesadas y asignaran la responsabilidad apropiada para la entrega de capacidades y la realizacin de los beneficios del negocio.

    Las prcticas de entrega de valor sern continuamente monitoreadas, evaluadas y mejoradas.

    Los principios son aplicados en cada uno de los procesos de VAL IT, los cuales estn divididos en tres dominios:

    Valor del gobierno: Optimizacin del valor de las inversiones en TI. Para esto se debe establecer un marco de buen gobierno, monitoreo y control, dire