normas COBIT

8/13/2019 normas COBIT

1/22

ndice

2. COBIT3. Planificacin y Organizacin4. Adquisicin e implementacin5. Prestacin y Soporte

6. Monitoreo7. Aplicacin de las Normas COBIT8. Apndice I9. Apndice II1. IntroduccinEl siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y comprensible. Paraello, adems de realizar un desarrollo terico de las mismas, incluimos un anlisis de la situacin actual delDepartamento de Recursos Humanos de la organizacin INEXEI SCHOOL, explicamos si sus procedimientosrespetan o no la norma, e indicamos qu debera hacerse para que aplique y cumpla con un determinadoproceso de la norma.El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan las Caractersticas y Estructurade COBIT y el Relevamiento y Aplicacin de las Normas COBIT en la Escuela. Adems, incluimos dos

Apndices: en el apndice I indicamos los componentes de COBIT como Producto y en el apndice II

incorporamos la lista completa de Dominios, Procesos y Objetivos de Control.Para Finalizar, adjuntamos con esta monografa un disquette que contiene el Resumen Ejecutivo (2 Edicin)de la norma y las Guas de Auditora de la misma, las cuales pueden ser utilizadas por nuestros compaerossi desean profundizar ms en el estudio de COBIT, y que en este trabajo son desarrolladas brevemente parano hacer tediosa la explicacin de la norma y por razones de espacio obvias.2. COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan losprofesionales de TI. Vinculando tecnologa informtica y prcticas de control, COBIT consolida y armonizaestndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales decontrol y los auditores.COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales,mini computadoras y ambientes distribuidos. Esta basado en la filosofa de que los recursos de TI necesitanser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente

y confiable que requiere una organizacin para lograr sus objetivos.Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos decontrol para tecnologa de informacin que sea de uso cotidiano para gerentes y auditoresUsuarios:

La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas,analizar el costo beneficio del control.

Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos queadquieren interna y externamente.

Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en laorganizacin y determinar el control mnimo requerido.

Los Responsables de TI: para identificar los controles que requieren en sus reas.

Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en suresponsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos conresponsabilidades en el campo de la TI en las empresas.Caractersticas:

Orientado al negocio Alineado con estndares y regulaciones "de facto" Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#cobihttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#cobihttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#plhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#plhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#adhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#adhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#domihttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#domihttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#mohttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#mohttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#aplihttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#aplihttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#aphttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#aphttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#ahttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#ahttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#ahttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#aphttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#aplihttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#mohttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#domihttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#adhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#plhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#cobi


2/22

Principios:El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a losprocesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada derecursos relacionados con las TI que deben ser administrados por procesos de TI.

Requerimientos de la informacin del negocio

Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios:Requerimientos de Calidad: Calidad, Costo y Entrega.Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros yCumplimiento le leyes y regulaciones.

Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe serproporcionada en forma oportuna, correcta, consistente y utilizable.

Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva yeconmica).

Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadaspara manejar la empresa y cumplir con sus responsabilidades.

Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida laempresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada Integridad: Refiere a lo exacto y completo de la informacin as como a su validez de acuerdo con las

expectativas de la empresa. Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la

salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas,

sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y

sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de

datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar

servicios, dar soporte y monitorear los sistemas de Informacin.

o Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los recursos de lasTecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de formanatural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos".

COBIT se divide en tres niveles:DominiosProcesos

ActividadesDominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidadorganizacional.Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.

Actividades: Acciones requeridas para lograr un resultado medible.Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos


3/22

estn agrupados en cuatro grandes dominios que se detallan a continuacin junto con sus procesos yunadescripcingeneral de las actividades de cada uno:3. Dominio: Planificacin y organizacinEste dominio cubre la estrategia y las tcticas y se refiere a la identificacin de la forma en que la tecnologade informacin puede contribuir de la mejor manera al logro de los objetivos de negocio. Adems, laconsecucin de la visin estratgica necesita ser planeada, comunicada y administrada desde diferentes

perspectivas. Finalmente, debern establecerse una organizacin y una infraestructura tecnolgicaapropiadas.Procesos:

PO1 Definicin de un plan Estratgico

Objetivo: Lograr un balance ptimo entre las oportunidades de tecnologa de informacin y los requerimientosde TI de negocio, para asegurar sus logros futuros.Su realizacin se concreta a travs un proceso de planeacin estratgica emprendido en intervalos regularesdando lugar a planes a largo plazo, los que debern ser traducidos peridicamente en planes operacionalesestableciendo metas claras y concretas a corto plazo, teniendo en cuenta:

La definicin de objetivos de negocio y necesidades de TI, la alta gerencia ser la responsable de desarrollare implementar planes a largo y corto plazo que satisfagan la misin y las metas generales de la organizacin.

El inventario de soluciones tecnolgicas e infraestructura actual, se deber evaluar los sistemas existentes en

trminos de: nivel de automatizacin de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas ydebilidades, con el propsito de determinar el nivel de soporte que reciben los requerimientos del negocio delos sistemas existentes.

Los cambios organizacionales, se deber asegurar que se establezca un proceso para modificaroportunamente y con precisin el plan a largo plazo de tecnologa de informacin con el fin de adaptar loscambios al plan a largo plazo de la organizacin y los cambios en las condiciones de la TI

Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos PO2 Definicin de la Arquitectura de Informacin

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemas deinformacin, a travs de la creacin y mantenimiento de un modelo de informacin de negocio, asegurndoseque se definan los sistemas apropiados para optimizar la utilizacin de esta informacin, tomando en

consideracin: La documentacin deber conservar consistencia con las necesidades permitiendo a los responsables llevar a

cabo sus tareas eficiente y oportunamente. El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organizacin y deber ser

continuamente actualizado. La propiedad de la informacin y la clasificacin de severidad con el que se establecer un marco de

referencia de clasificacin general relativo a la ubicacin de datos en clases de informacin. PO3 Determinacin de la direccin tecnolgica

Objetivo: Aprovechar al mximo de la tecnologa disponible o tecnologa emergente, satisfaciendo losrequerimientos de negocio, a travs de la creacin y mantenimiento de un plan de infraestructura tecnolgica,tomando en consideracin:

La capacidad de adecuacin y evolucin de la infraestructura actual, que deber concordar con los planes a

largo y corto plazo de tecnologa de informacin y debiendo abarcar aspectos tales como arquitectura desistemas, direccin tecnolgica y estrategias de migracin.

El monitoreo de desarrollos tecnolgicos que sern tomados en consideracin durante el desarrollo ymantenimiento del plan de infraestructura tecnolgica.

Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuacin y evolucin de lainfraestructura), con lo que se evaluar sistemticamente el plan de infraestructura tecnolgica.

Planes de adquisicin, los cuales debern reflejar las necesidades identificadas en el plan de infraestructuratecnolgica.
http://monografias.com/trabajos10/anali/anali.shtmlhttp://monografias.com/trabajos10/anali/anali.shtmlhttp://monografias.com/trabajos10/anali/anali.shtmlhttp://monografias.com/trabajos10/anali/anali.shtml


4/22

o PO4 Definicin de la organizacin y de las relaciones de TI

Objetivo: Prestacin de servicios de TIEsto se realiza por medio de una organizacin conveniente en nmero y habilidades, con tareas yresponsabilidades definidas y comunicadas, teniendo en cuenta:

El comit de direccin el cual se encargara de vigilar la funcin de servicios de informacin y sus actividades.

Propiedad, custodia, la Gerencia deber crear una estructura para designar formalmente a los propietarios ycustodios de los datos. Sus funciones y responsabilidades debern estar claramente definidas.

Supervisin, para asegurar que las funciones y responsabilidades sean llevadas a cabo apropiadamente Segregacin de funciones, con la que se evitar la posibilidad de que un solo individuo resuelva un proceso

crtico. Los roles y responsabilidades, la gerencia deber asegurarse de que todo el personal deber conocer y contar

con la autoridad suficiente para llevar a cabo las funciones y responsabilidades que le hayan sido asignadas La descripcin de puestos, deber delinear claramente tanto la responsabilidad como la autoridad, incluyendo

las definiciones de las habilidades y la experiencia necesarias para el puesto, y ser adecuadas para suutilizacin en evaluaciones de desempeo.

Los niveles de asignacin de personal, debern hacerse evaluaciones de requerimientos regularmente paraasegurar para asegurar una asignacin de personal adecuada en el presente y en el futuro.

El personal clave, la gerencia deber definir e identificar al personal clave de tecnologa de informacin.

o PO5 Manejo de la inversin

Objetivo: tiene como finalidad la satisfaccin de los requerimientos de negocio, asegurando el financiamiento yel control de desembolsos de recursos financieros.Su realizacin se concreta a travs presupuestos peridicos sobre inversiones y operaciones establecidas yaprobados por el negocio, teniendo en cuenta:

Las alternativas de financiamiento, se debern investigar diferentes alternativas de financiamiento. El control del gasto real, se deber tomar como base el sistema de contabilidad de la organizacin, mismo que

deber registrar, procesar y reportar rutinariamente los costos asociados con las actividades de la funcin deservicios de informacin

La justificacin de costos y beneficios, deber establecerse un control gerencial que garantice que la

prestacin de servicios por parte de la funcin de servicios de informacin se justifique en cuanto a costos.Los beneficios derivados de las actividades de TI debern ser analizados en forma similar.

o PO6 Comunicacin de la direccin y aspiraciones de la gerencia

Objetivo: Asegura el conocimiento y comprensin de los usuarios sobre las aspiraciones del alto nivel(gerencia), se concreta a travs de polticas establecidas y transmitidas a la comunidad de usuarios,necesitndose para esto estndares para traducir las opciones estratgicas en reglas de usuario prcticas yutilizables. Toma en cuenta:

Los cdigo de tica / conducta, el cumplimiento de las reglas de tica, conducta, seguridad y estndares decontrol interno deber ser establecido por la Alta Gerencia y promoverse a travs del ejemplo.

Las directrices tecnolgicas El cumplimiento, la Gerencia deber tambin asegurar y monitorear la duracin de la implementacin de sus

polticas. El compromiso con la calidad, la Gerencia de la funcin de servicios de informacin deber definir,

documentar y mantener una filosofa de calidad, debiendo ser comprendidos, implementados y mantenidospor todos los niveles de la funcin de servicios de informacin.

Las polticas de seguridad y control interno, la alta gerencia deber asegurar que esta poltica de seguridad yde control interno especifique el propsito y los objetivos, la estructura gerencial, el alcance dentro de laorganizacin, la definicin y asignacin de responsabilidades para su implementacin a todos los niveles y ladefinicin de multas y de acciones disciplinarias asociadas con la falta de cumplimiento de estas polticas.


5/22

o PO7 Administracin de recursos humanos

Objetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo as los requerimientosde negocio, a travs de tcnicas slidas para administracin de personal, tomando en consideracin:

El reclutamiento y promocin, deber tener como base criterios objetivos, considerando factores como la

educacin, la experiencia y la responsabilidad. Los requerimientos de calificaciones, el personal deber estar calificado, tomando como base una educacin,

entrenamiento y o experiencia apropiados, segn se requiera La capacitacin, los programas de educacin y entrenamiento estarn dirigidos a incrementar los niveles de

habilidad tcnica y administrativa del personal. La evaluacin objetiva y medible del desempeo, se deber asegurar que dichas evaluaciones sean llevada a

cabo regularmente segn los estndares establecidos y las responsabilidades especficas del puesto. Losempleados debern recibir asesora sobre su desempeo o su conducta cuando esto sea apropiado.

o PO8 Asegurar el cumplimiento con los requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales

Para ello se realiza una identificacin y anlisis de los requerimientos externos en cuanto a su impacto en TI,llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en consideracin:

Definicin y mantenimiento de procedimientos para la revisin de requerimientos externos, para lacoordinacin de estas actividades y para el cumplimiento continuo de los mismos.

Leyes, regulaciones y contratos Revisiones regulares en cuanto a cambios Bsqueda de asistencia legal y modificaciones Seguridad y ergonoma con respecto al ambiente de trabajo de los usuarios y el personal de la funcin de

servicios de informacin. Privacidad Propiedad intelectual Flujo de datos externos y criptografa

o PO9 Evaluacin de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisin de serviciosde TIPara ello se logra la participacin de la propia organizacin en la identificacin de riesgos de TI y en el anlisisde impacto, tomando medidas econmicas para mitigar los riesgos y se toma en consideracin:

Identificacin, definicin y actualizacin regular de los diferentes tipos de riesgos de TI (por ej.: tecnolgicos,de seguridad, etc.) de manera de que se pueda determinar la manera en la que los riesgos deben sermanejados a un nivel aceptable.

Definicin de alcances, limites de los riesgos y la metodologa para las evaluaciones de los riesgos. Actualizacin de evaluacin de riesgos

Metodologa de evaluacin de riesgos Medicin de riesgos cualitativos y/o cuantitativos Definicin de un plan de accin contra los riesgos para asegurar que existan controles y medidas de

seguridad econmicas que mitiguen los riesgos en forma continua. Aceptacin de riesgos dependiendo de la identificacin y la medicin del riesgo, de la poltica organizacional,

de la incertidumbre incorporada al enfoque de evaluacin de riesgos y de que tan econmico resulteimplementar protecciones y controles.

o PO10 Administracin de proyectos


6/22

Objetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto de inversinPara ello se realiza una identificacin y priorizacin de los proyectos en lnea con el plan operacional por partede la misma organizacin. Adems, la organizacin deber adoptar y aplicar slidas tcnicas deadministracin de proyectos para cada proyecto emprendido y se toma en consideracin:

Definicin de un marco de referencia general para la administracin de proyectos que defina el alcance y loslmites del mismo, as como la metodologa de administracin de proyectos a ser adoptada y aplicada para

cada proyecto emprendido. La metodologa deber cubrir, como mnimo, la asignacin de responsabilidades,la determinacin de tareas, la realizacin de presupuestos de tiempo y recursos, los avances, los puntos derevisin y las aprobaciones.

El involucramiento de los usuarios en el desarrollo, implementacin o modificacin de los proyectos. Asignacin de responsabilidades y autoridades a los miembros del personal asignados al proyecto. Aprobacin de fases de proyecto por parte de los usuarios antes de pasar a la siguiente fase. Presupuestos de costos y horas hombre Planes y metodologas de aseguramiento de calidad que sean revisados y acordados por las partes

interesadas. Plan de administracin de riesgos para eliminar o minimizar los riesgos. Planes de prueba, entrenamiento, revisin post-implementacin.

o

PO11 Administracin de calidad

Objetivo: Satisfacer los requerimientos del clientePara ello se realiza una planeacin, implementacin y mantenimiento de estndares y sistemas deadministracin de calidad por parte de la organizacin y se toma en consideracin:

Definicin y mantenimiento regular del plan de calidad, el cual deber promover la filosofa de mejora continuay contestar a las preguntas bsicas de qu, quin y cmo.

Responsabilidades de aseguramiento de calidad que determine los tipos de actividades de aseguramiento decalidad tales como revisiones, auditorias, inspecciones, etc. que deben realizarse para alcanzar los objetivosdel plan general de calidad.

Metodologas del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo, adquisicin,implementacin y mantenimiento de sistemas de informacin.

Documentacin de pruebas de sistemas y programas Revisiones y reportes de aseguramiento de calidad

4. Dominio: Adquisicin e implementacinPara llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas,asi como implementadas e integradas dentro del proceso del negocio. Adems, este dominio cubre loscambios y el mantenimiento realizados a sistemas existentes.Procesos:

AI1 Identificacin de Soluciones Automatizadas

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuarioPara ello se realiza un anlisis claro de las oportunidades alternativas comparadas contra los requerimientosde los usuarios y toma en consideracin:

Definicin de requerimientos de informacin para poder aprobar un proyecto de desarrollo. Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el

desarrollo de un proyecto. Arquitectura de informacin para tener en consideracin el modelo de datos al definir soluciones y analizar la

factibilidad de las mismas. Seguridad con relacin de costo-beneficio favorable para controlar que los costos no excedan los beneficios. Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos mecanismos deben proporcionar la

capacidad de proteger datos sensitivos (ej. Identificacin de usuarios contra divulgacin o mal uso) Contratacin de terceros con el objeto de adquirir productos con buena calidad y excelente estado.


7/22

Aceptacin de instalaciones y tecnologa a travs del contrato con el Proveedor donde se acuerda un plan deaceptacin para las instalaciones y tecnologa especifica a ser proporcionada.

AI2 Adquisicin y mantenimiento del software aplicativo

Objetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.Para ello se definen declaraciones especficas sobre requerimientos funcionales y operacionales y una

implementacin estructurada con entregables claros y se toma en consideracin: Requerimientos de usuarios, para realizar un correcto anlisis y obtener un software claro y fcil de usar. Requerimientos de archivo, entrada, proceso y salida. Interfase usuario-maquina asegurando que el software sea fcil de utilizar y que sea capaz de auto

documentarse. Personalizacin de paquetes Realizar pruebas funcionales (unitarias, de aplicacin, de integracin y de carga y estrs), de acuerdo con el

plan de prueba del proyecto y con los estndares establecidos antes de ser aprobado por los usuarios. Controles de aplicacin y requerimientos funcionales Documentacin (materiales de consulta y soporte para usuarios) con el objeto de que los usuarios puedan

aprender a utilizar el sistema o puedan sacarse todas aquellas inquietudes que se les puedan presentar. AI3 Adquisicin y mantenimiento de la infraestructura tecnolgica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negociosPara ello se realizara una evaluacin del desempeo del hardware y software, la provisin de mantenimientopreventivo de hardware y la instalacin, seguridad y control del software del sistema y toma en consideracin:

Evaluacin de tecnologa para identificar el impacto del nuevo hardware o software sobre el rendimiento delsistema general.

Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el impacto de fallas derendimiento.

Seguridad del software de sistema, instalacin y mantenimiento para no arriesgar la seguridad de los datos yprogramas ya almacenados en el mismo.

o AI4 Desarrollo y mantenimiento de procedimientos

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnolgicas establecidas.Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos de operacionespara usuarios, requerimientos de servicio y material de entrenamiento y toma en consideracin:

Manuales de procedimientos de usuarios y controles, de manera que los mismos permanezcan enpermanente actualizacin para el mejor desempeo y control de los usuarios.

Manuales de Operaciones y controles, de manera que estn en permanente actualizacin. Materiales de entrenamiento enfocados al uso del sistema en la prctica diaria.

o AI5 Instalacin y aceptacin de los sistemas

Objetivo: Verificar y confirmar que la solucin sea adecuada para el propsito deseadoPara ello se realiza una migracin de instalacin, conversin y plan de aceptaciones adecuadamenteformalizadas y toma en consideracin:

Capacitacin del personal de acuerdo al plan de entrenamiento definido y los materiales relacionados. Conversin / carga de datos, de manera que los elementos necesarios del sistema anterior sean convertidos

al sistema nuevo. Pruebas especficas (cambios, desempeo, aceptacin final, operacional) con el objeto de obtener un

producto satisfactorio. Acreditacin de manera que la Gerencia de operaciones y usuaria acepten los resultados de las pruebas y el

nivel de seguridad para los sistemas, junto con el riesgo residual existente.


8/22

Revisiones post implementacin con el objeto de reportar si el sistema proporciono los beneficios esperadosde la manera mas econmica.

o AI6 Administracin de los cambios

Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.Esto se hace posible a travs de un sistema de administracin que permita el anlisis, implementacin yseguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma enconsideracin:

Identificacin de cambios tanto internos como por parte de proveedores Procedimientos de categorizacin, priorizacin y emergencia de solicitudes de cambios. Evaluacin del impacto que provocaran los cambios. Autorizacin de cambios Manejo de liberacin de manera que la liberacin de so ftware este regida por procedimientos formales

asegurando aprobacin, empaque, pruebas de regresin, entrega, etc. Distribucin de software, estableciendo medidas de control especificas para asegurar la distribucin de

software correcto al lugar correcto, con integridad y de manera oportuna.

5. Dominio: Prestacin y soporteEn este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde lasoperaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con elfin de proveer servicios, debern establecerse los procesos de soporte necesarios. Este dominio incluye elprocesamiento de los datos por sistemas de aplicacin, frecuentemente clasificados como controles deaplicacin.Procesos

Ds1 Definicin de niveles de servicio

Objetivo: Establecer una comprensin comn del nivel de servicio requeridoPara ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo contra loscuales se medir la cantidad y la calidad del servicio y se toma en consideracin:

Convenios formales que determinen la disponibilidad, confiabilidad, desempeo, capacidad de crecimiento,niveles de soporte proporcionados al usuario, plan de contingencia / recuperacin, nivel mnimo aceptable defuncionalidad del sistema satisfactoriamente liberado, restricciones (lmites en la cantidad de trabajo), cargospor servicio, instalaciones de impresin central (disponibilidad), distribucin de impresin central yprocedimientos de cambio.

Definicin de las responsabilidades de los usuarios y de la funcin de servicios de informacin Procedimientos de desempeo que aseguren que la manera y las responsabilidades sobre las relaciones que

rigen el desempeo entre todas las partes involucradas sean establecidas, coordinadas, mantenidas ycomunicadas a todos los departamentos afectados.

Definicin de dependencias asignando un Gerente de nivel de Servicio que sea responsable de monitorear yreportar los alcances de los criterios de desempeo del servicio especificado y todos los problemasencontrados durante el procesamiento.

Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio para hacer posibles

comparaciones y decisiones de niveles de servicios contra su costo. Garantas de integridad Convenios de confidencialidad Implementacin de un programa de mejoramiento del servicio.

o Ds2 Administracin de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes estn claramente definidas, quecumplan y continen satisfaciendo los requerimientos


9/22

Para ello se establecen medidas de control dirigidas a la revisin y monitoreo de contratos y procedimientosexistentes, en cuanto a su efectividad y suficiencia, con respecto a las polticas de la organizacin y toma enconsideracin:

Acuerdos de servicios con terceras partes a travs de contratos entre la organizacin y el proveedor de laadministracin de instalaciones este basado en niveles de procesamiento requeridos, seguridad, monitoreo yrequerimientos de contingencia, as como en otras estipulaciones segn sea apropiado.

Acuerdos de confidencialidad. Adems, se deber calificar a los terceros y el contrato deber definirse yacordarse para cada relacin de servicio con un proveedor. Requerimientos legales regulatorios de manera de asegurar que estos concuerde con los acuerdos de

seguridad identificados, declarados y acordados. Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos del contrato.

o Ds3 Administracin de desempeo y capacidad

Objetivo: Asegurar que la capacidad adecuada est disponible y que se est haciendo el mejor uso de ellapara alcanzar el desempeo deseado.Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten acercadel manejo de cargas de trabajo, tamao de aplicaciones, manejo y demanda de recursos y toma en

consideracin: Requerimientos de disponibilidad y desempeo de los servicios de sistemas de informacin Monitoreo y reporte de los recursos de tecnologa de informacin Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual para apoyar el

pronstico de los requerimientos de capacidad, confiabilidad de configuracin, desempeo y disponibilidad. Administracin de capacidad estableciendo un proceso de planeacin para la revisin del desempeo y

capacidad de hardware con el fin de asegurar que siempre exista una capacidad justificable econmicamentepara procesar cargas de trabajo con cantidad y calidad de desempeo

Prevenir que se pierda la disponibilidad de recursos mediante la implementacin de mecanismos de toleranciade fallas, de asignacin equitativos de recursos y de prioridad de tareas.

Monitoreo Ds4 Asegurar el Servicio Continuo

Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisin en casode interrupcionesPara ello se tiene un plan de continuidad probado y funcional, que est alineado con el plan de continuidad delnegocio y relacionado con los requerimientos de negocio y toma en consideracin:

Planificacin de Severidad Plan Documentado Procedimientos Alternativos Respaldo y Recuperacin Pruebas y entrenamiento sistemtico y singulares

o Ds5 Garantizar la seguridad de sistemas

Objetivo: salvaguardar la informacin contra uso no autorizados, divulgacin, modificacin, dao o prdidaPara ello se realizan controles de acceso lgico que aseguren que el acceso a sistemas, datos y programasest restringido a usuarios autorizados y toma en consideracin:

Autorizacin,autenticacin y el acceso lgico junto con el uso de los recursos de TI deber restringirse atravs de la instrumentacin de mecanismos de autenticacin de usuarios identificados y recursos asociadoscon las reglas de acceso

Perfiles e identificacin de usuarios estableciendo procedimientos para asegurar acciones oportunasrelacionadas con la requisicin, establecimiento, emisin, suspensin y suspensin de cuentas de usuario


10/22

Administracin de llaves criptogrficas definiendo implementando procedimientos y protocolos a ser utilizadosen la generacin, distribucin, certificacin, almacenamiento, entrada, utilizacin y archivo de llavescriptogrficas con el fin de asegurar la proteccin de las mismas

Manejo, reporte y seguimiento de incidentes implementado capacidad para la atencin de los mismos Prevencin y deteccin de virus tales como Caballos de Troya, estableciendo adecuadas medidas de control

preventivas, detectivas y correctivas.

Utilizacin

de Firewalls si existe una conexin con Internet u otras redes pblicas en la organizacin

Monitoreo Ds6 Educacin y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estn haciendo un uso efectivo de la tecnologa y estn conscientes delos riesgos y responsabilidades involucradosPara ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideracin:

Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar y documentar lasnecesidades de entrenamiento de todo el personal que haga uso de los servicios de informacin

Campaas de concientizacin, definiendo los grupos objetivos, identificar y asignar entrenadores y organizaroportunamente las sesiones de entrenamiento

Tcnicas de concientizacin proporcionando un programa de educacin y entrenamiento que incluya conductatica de la funcin de servicios de informacin

o Ds7 Identificacin y asignacin de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TIPara ello se realiza un sistema de contabilidad de costos que asegure que stos sean registrados, calculadosy asignados a los niveles de detalle requeridos y toma en consideracin:

Los elementos sujetos a cargo deben ser recursos identificables, medibles y predecibles para los usuarios Procedimientos y polticas de cargo que fomenten el uso apropiado de los recursos de computo y aseguren el

trato justo de los departamentos usuarios y sus necesidades Tarifas definiendo e implementando procedimientos de costeo de prestar servicios, para ser analizados,

monitoreados, evaluados asegurando al mismo tiempo la economa

Monitoreo Ds8 Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamentePara ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea y toma enconsideracin:

Consultas de usuarios y respuesta a problemas estableciendo un soporte de una funcin de bur de ayuda Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las preguntas de los

clientes que pueden ser resueltas sean reasignadas al nivel adecuado para atenderlas Anlisis y reporte de tendencias adecuado de las preguntas de los clientes y su solucin, de los tiempos de

respuesta y la identificacin de tendencias

o Ds9 Administracin de la configuracin

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar laexistencia fsica y proporcionar una base para el sano manejo de cambiosPara ello se realizan controles que identifiquen y registren todos los activos de TI as como su localizacinfsica y un programa regular de verificacin que confirme su existencia y toma en consideracin:


11/22

Registro de activos estableciendo procedimientos para asegurar que sean registrados nicamente elementosde configuracin autorizados e identificables en el inventario, al momento de adquisicin

Administracin de cambios en la configuracin asegurando que los registros de configuracin reflejen el statusreal de todos los elementos de la configuracin

Chequeo de software no autorizado revisando peridicamente las computadoras personales de laorganizacin

Controles de almacenamiento de software definiendo un rea de almacenamiento de archivos para todos loselementos de software vlidos en las fases del ciclo de vida de desarrollo de sistemas

o Ds10 Administracin de Problemas

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas paraprevenir que vuelvan a suceder.Para ello se necesita un sistema de manejo de problemas que registre y d seguimiento a todos losincidentes, adems de un conjunto de procedimientos de escalamiento de problemas para resolver de lamanera ms eficiente los problemas identificados. Este sistema de administracin de problemas debertambin realizar un seguimiento de las causas a partir de un incidente dado.

Ds11 Administracin de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada,actualizacin, salida y almacenamiento.Lo cual se logra a travs de una combinacin efectiva de controles generales y de aplicacin sobre lasoperaciones de TI. Para tal fin, la gerencia deber disear formatos de entrada de datos para los usuarios demanera que se minimicen lo errores y las omisiones durante la creacin de los datos.Este proceso deber controlar los documentos fuentes (de donde se extraen los datos), de manera que estncompletos, sean precisos y se registren apropiadamente. Se debern crear tambin procedimientos quevaliden los datos de entrada y corrijan o detecten los datos errneos, como as tambin procedimientos devalidacin para transacciones errneas, de manera que stas no sean procesadas. Cabe destacar laimportancia de crear procedimientos para el almacenamiento, respaldo y recuperacin de datos, teniendo unregistro fsico (discos, disquetes, CDs y cintas magnticas) de todas las transacciones y datos manejados porla organizacin, albergados tanto dentro como fuera de la empresa.

La gerencia deber asegurar tambin la integridad, autenticidad y confidencialidad de los datos almacenados,definiendo e implementando procedimientos para tal fin.

Ds12 Administracin de las instalaciones

Objetivo: Proporcionar un ambiente fsico conveniente que proteja al equipo y al personal de TI contra peligrosnaturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalacin decontroles fsicos y ambientales adecuados que sean revisados regularmente para su funcionamientoapropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones ycontemplen su seguridad fsica.

Ds13 Administracin de la operacin

Objetivo: Asegurar que las funciones importantes de soporte de TI estn siendo llevadas a cabo regularmente

y de una manera ordenadaEsto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y completada encuanto al logro de todas las actividades. Para ello, la gerencia deber establecer y documentarprocedimientos para las operaciones de tecnologa de informacin (incluyendo operaciones de red), los cualesdebern ser revisados peridicamente para garantizar su eficiencia y cumplimiento.6. Dominio: MonitoreoTodos los procesos de una organizacin necesitan ser evaluados regularmente a travs del tiempo paraverificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad. Estees, precisamente, el mbito de este dominio.


12/22

Procesos M1 Monitoreo del Proceso

Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logra definiendopor parte de la gerencia reportes e indicadores de desempeo gerenciales y la implementacin de sistemasde soporte as como la atencin regular a los reportes emitidos.

Para ello la gerencia podr definir indicadores claves de desempeo y/o factores crticos de xito ycompararlos con los niveles objetivos propuestos para evaluar el desempeo de los procesos de laorganizacin. La gerencia deber tambin medir el grado de satisfaccin del los clientes con respecto a losservicios de informacin proporcionados para identificar deficiencias en los niveles de servicio y establecerobjetivos de mejoramiento, confeccionando informes que indiquen el avance de la organizacin hacia losobjetivos propuestos.

M2 Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a travs deactividades administrativas y de supervisin, comparaciones, reconciliaciones y otras acciones rutinarias.,evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de monitoreo continuopor parte de la Gerencia debern revisar la existencia de puntos vulnerables y problemas de seguridad.

M3 Obtencin de Aseguramiento Independiente

Objetivo: Incrementar los niveles de confianza entre la organizacin, clientes y proveedores externos. Esteproceso se lleva a cabo a intervalos regulares de tiempo.Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y controlinterno antes de implementar nuevos servicios de tecnologa de informacin que resulten crticos, como astambin para trabajar con nuevos proveedores de servicios de tecnologa de informacin. Luego la gerenciadeber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los serviciosde tecnologa de informacin y de los proveedores de estos servicios como as tambin asegurarse elcumplimiento de los compromisos contractuales de los servicios de tecnologa de informacin y de losproveedores de estos servicios.

M4 Proveer Auditoria Independiente

Objetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejoresprcticas de su implementacin, lo que se logra con el uso de auditorias independientes desarrolladas aintervalos regulares de tiempo. Para ello la gerencia deber establecer los estatutos para la funcin deauditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria. Elauditor deber ser independiente del auditado, esto significa que los auditores no debern estar relacionadoscon la seccin o departamento que est siendo auditado y en lo posible deber ser independiente de la propiaempresa. Esta auditoria deber respetar la tica y los estndares profesionales, seleccionando para elloauditores que sean tcnicamente competentes, es decir que cuenten con habilidades y conocimientos queaseguren tareas efectivas y eficientes de auditoria.La funcin de auditoria deber proporcionar un reporte que muestre los objetivos de la auditoria, perodo decobertura, naturaleza y trabajo de auditoria realizado, como as tambin la organizacin, conclusin yrecomendaciones relacionadas con el trabajo de auditoria llevado a cabo.

Los 34 procesos propuestos se concretan en 32 objetivos de control detallados anteriormente.Un Control se define como "las normas, estndares, procedimientos, usos y costumbres y las estructurasorganizativas, diseadas para proporcionar garanta razonable de que los objetivos empresariales sealcanzaran y que los eventos no deseados se prevern o se detectaran, y corregirn"Un Objetivo de Control se define como "la declaracin del resultado deseado o propuesto que se ha dealcanzar mediante la aplicacin de procedimientos de control en cualquier actividad de TI"En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista:-Los recursos de las TI


13/22

-Los criterios empresariales que deben satisfacer la informacin-Los procesos de TI

Las tres dimensiones condeptuales de COBIT7. Aplicacin de las Normas COBIT

A continuacin, analizaremos como se deberan aplicar las Normas COBIT en una Organizacin, utilizandopara ello la Gua de Auditoria presentada en la pagina Webwww.isaca.org,la misma indica los pasos a seguirpara auditar cada uno de los procesos de TI de la norma. Este reporte lo confeccionamos dndole el formatode un informe de auditora:

Informe de AuditoriaEntidad Auditada: ARCO IRIS SCHOOL

Alcance de la auditora: Esta auditora comprende solamente al rea de Recursos Humanos de la Arco IrisSchool, con respecto al cumplimiento del proceso "Administracin de Recursos Humanos" de la normaCOBIT.Norma Aplicada: COBIT, especficamente el proceso de TI Po7 "Administracin de Recursos Humanos"Relevamiento:

Organizacin: Colegio Privado que brinda un servicio de educacin a nios de nivel inicial y primario.Objetivos de la Organizacin:Ofrecer el servicio de una excelente educacin con orientacin bilinge (Espaol - Ingles), artstica, deportivay ecolgica en forma personalizada a los nios de nivel inicial y primario, y obtener por el servicio un beneficiomonetario acorde a las ofertas educativa que brinda la Institucin (segn si el inscripto participa deescolaridad simple o doble)Incrementar cada ao el nmero de inscriptos para obtener mayor rentabilidad y ampliar la comunidadeducativa.Transmitir a la comunidad en general el perfil institucional y los beneficios que los alumnos obtienen por unaeducacin personalizada.

Departamento de administracin de personal: Comprende todo lo relacionado con el desarrollo yadministracin de polticas y programas que provean una estructura organizativa eficiente, empleados

calificados, tratamiento equitativo, oportunidades de progreso, satisfaccin en el trabajo y adecuada seguridadde empleo.Depende de la Gerencia de Administracin.Polticas y estrategias del Departamento de Administracin de personalPolticasEstrategiasPara con elPersonalObjetivo: perfeccionar al personal con el perfil Institucional
http://www.isaca.org/http://www.isaca.org/http://www.isaca.org/http://www.isaca.org/


14/22

Seleccionar docentes que respondan a los requerimientos del proyecto educativo institucionalRealizar durante la seleccin de personal talleres de capacitacin y evaluacin de inteligencia emocional ydesarrollo de la persona.Seleccionar docentes con muy buenas referenciasLos docentes de asignaturas especiales (plstica, msica, deportes, etc.) deben tener experiencias mnimasen mas de una escuela y estar abalados con referencias por escrito

Respetar las decisiones personales de los docentes y no docentes.Antes de que un personal forme parte de la institucin debe conocer y firmar las Normativas Institucionalesdonde se especifican todas las medidas, deberes y derechos de todo el personal docente y no docenteLa direccin general realiza peridicamente evaluaciones del rendimiento de trabajo individual y grupalmediante entrevistas. (grupales y personales)EducativasObjetivo: Lograr una excelencia educativaBrindar una educacin excelente y personalizadaConfeccionar un PEI (Proy. Educ. Inst.) con los objetivos que cubran las orientaciones Bilinge, deportiva,ecolgica y artstica.Realizar peridicamente talleres de capacitacin docente a nivel institucional donde se promueve lainteligencia emocional y el desarrollo personal.La Direccin acadmica debe evaluar constantemente el trabajo de los docentes y elevar los informes a la

direccin general.Funciones Subfunsiones - Tareas:1-Realizar el reclutamiento: lograr que todos los puestos estn cubiertos por personal competente que cubranel perfil institucional por un costo razonable.a. Buscar los postulantes (docentes y no docentes)

Anlisis de las necesidades del cargoDesarrollo de especificaciones de trabajo

Anlisis de las fuentes de empleados potencialesAtraccin de los posibles postulantes

a. Realizar el proceso de seleccin: Anlisis de la capacidad de los aspirantes para decidir cual tiene

mayores posibilidades.

Entrevistar los postulantesRealizar talleres de Pruebas de inteligencia emocional.Evaluacin de los postulantes en base a los resultados de los talleres.Confeccin y entrega de los diferentes tipos de contratos de trabajo (contratos temporales, a plazo fijo,contratos de prueba, pasantas, etc.)

a. Instruccin y entrega de materiales: Entrenamiento, informacin y entrega de materiales necesarios a losempleados contratados (o nuevos) para que cumplan sus obligaciones eficientemente.

Orientacin de los nuevos empleados mediante talleres de capacitacin y entrega de documentacin con las

normativas (reglas con las que se rige la institucin)Seguimiento de la actuacin de los empleados (y empleados nuevos tambin).Compra de materiales didcticos u otros servicios para entregar a los docentes y as los mismos puedan dictarsus clases eficientemente.

a. Despidos: Terminacin legal de las relaciones con los empleados en la forma mas beneficiosa para ellosy el colegio.

Realizacin de la entrevista de egreso


15/22

Anlisis de las bajas

a. Determinar los servicios sociales para los empleados.

Determinacin de servicio mdicos y otros para los empleados (y alumnos) que cubran la seguridad eintegridad fsica del personal dentro de la organizacin.

Prepara la documentacin para la gestin de obras sociales del personal.

2-Administrar sueldos y jornales: lograr que todos los empleados estn remunerados adecuada,equitativamente y en tiempo.a. Clasificar la posicin, responsabilidades y requerimientos de los empleados

Preparacin de las normativas institucionales donde estn las especificaciones de trabajoRevisin peridica y correccin de las normativas.Fijar los valores monetarios de los puestos en forma justa y equitativa, respecto a otros puestos en el colegio ya puestos similares en el mercado de trabajo.Efectuar los pagos correspondientes a los sueldos mensuales (el pago y entrega de recibos de sueldo seefecta en la propia institucin)

a. Control de Horarios: Fijacin de horas de trabajo y periodos de inasistencia con goce de haberes o sin el,que sean justos tanto para el empleado como para el colegio.

Planificacin y administracin de polticas sobre horarios de trabajos o inasistencias.Planificacin y administracin de planes de vacaciones.

3- Promocionar las Relaciones institucionales: Asegurar que las relaciones de trabajo entre la direccingeneral y los empleados al igual que la satisfaccin en el trabajo y oportunidad de progreso del personal, seandesarrollados y mantenidos siguiendo los mejores intereses del colegio y de los empleados. Tambin sufuncin es la de desarrollar proyectos de Relaciones Institucionales con el medio externo (otras institucionesescolares, clubes, etc.)

a. Realizar negociaciones colectivas: Lograr concordancia con las organizaciones de empleadosreconocidas oficialmente y establecidas legalmente, de la manera que mejor contemple los intereses de laescuela y los docentes.

Negociacin de conveniosInterpretacin y administracin de estos

a. Controlar la disciplina del personal

Fijar reglas de conducta y disposiciones mediante las normativas institucionalesEstablecer y administrar las medidas disciplinarias con respecto a inasistencias injustificadas.

a. Investigacin de Personal:

Investigacin de referencias de trabajos anteriores.Confirmar las referencias y otras documentaciones a la administracin general.Investigar y verificar la documentacin presentada por los empleados que luego conformaran el legajo de losmismos (DNI, ttulos oficiales, registracin en la Junta de clasificaciones, etc.)

5-Generar InformesConfeccionar todos los informes mensuales, semestrales y anuales con las estadsticas, resmenes, etc. de


16/22

las gestiones administrativas del personal.Diagnstico:

De acuerdo con el Dominio "Planificacin y Organizacin" y el Proceso "Administracin de RecursosHumanos", nosotros hemos desarrollado un anlisis, donde identificamos con que normas esta cumpliendo laorganizacin y con cuales no, a partir de all definiremos que es lo que la escuela debera hacer para cumplir

con las normas COBIT.La organizacin ARCO IRIS SCHOOL, segn nuestro parecer y de acuerdo a lo relevado, creemos que seajusta bastante bien a las normas COBIT en cuanto al proceso en cuestin, puesto que la misma cumple conlas siguientes actividades o tareas del mismo:Reclutamiento y Promocin personal, ya que la Direccin evala regularmente los procesos necesarios paraasegurar que las practicas de reclutamiento y promocin de personal tengan excelentes resultados,considerando factores como la educacin del personal, la experiencia y la responsabilidad.Personal Calificado, puesto que se verifica que el personal que lleva tareas especificas este capacitado y paraello se realizan Talleres Docentes.Entrenamiento de Personal, ya que en cuanto ingresa el personal y durante su permanencia en elestablecimiento tiene a su disposicin toda la informacin que necesite, as como tambin la permanentecapacitacin. Aunque es importante destacar que no hay un manual de Funciones, ni de Procedimientos, porlo cual los empleados pueden tener dudas con respecto a sus funciones.Evaluacin de Desempeo de los Empleados, ya que el establecimiento implementa un proceso deevaluacin de desempeo de los empleados y asesora a los mismos sobre su desempeo o conducta demanera apropiada. Aunque las evaluaciones de rendimiento no estn definidas formalmente y por ende sepuede llegar a tener problemas por la subjetividad de la persona que esta evaluando el desempeo.Cambios de puestos y Despidos, puesto que cuando se toman tales acciones se trata de que sean oportunasy apropiadas, de tal manera que los controles internos y la seguridad no se vean perjudicados por estoseventos.s importante destacar que ARCO IRIS SCHOOL tienes dificultados en cuanto a:Respaldo de Personal, puesto que no cuenta con suficiente personal de respaldo para solucionar posiblesausencias. Tampoco el personal encargado de puestos delicados como ser el Tesorero toma vacacionesinterrumpidas con duracin suficiente como para probar la habilidad de la organizacin para manejar casos deausencia y detectar actividades fraudulentas.

Procedimientos de Acreditacin de Personal, puesto que las investigaciones de seguridad asociada a lacontratacin no son llevadas a cabo.Conclusiones:

Por lo tanto, podemos especificar que para que la escuela cumpla con las normas COBIT en cuanto alproceso "Administracin de Recursos Humanos" deber:Realizar manuales de funciones, de manera que estn definidos todos los puestos de trabajo y suscorrespondientes funciones.Realizar manuales de Procedimientos, de manera que los empleados puedan identificar cuales son las tareasque deben realizar de acuerdo a su puesto y funciones.Establecer Procedimientos de Acreditacin, ya que de lo contrario se pueden tener serios problemas por nohaber realizado correctamente las investigaciones de seguridad.Proporcionar un entrenamiento "cruzado" de manera de tener personal de respaldo con la finalidad de

solucionar posibles ausencias, ya que la escuela no puede contar con suficiente personal por su economaactual.Definir y publicar formalmente las evaluaciones de rendimiento, de manera de aplicarlas a la hora de hacer laevaluacin de desempeo para evitar problemas con el personal docente y no docente.

8. Apndice ICOBIT como Producto, incluye:


17/22

Resumen Ejecutivo: es un documento dirigido a la alta gerencia presentando los antecedentes y la estructurabsica de COBIT Adems, describe de manera general los procesos, los recursos y los criterios deinformacin, los cuales conforman la "Columna Vertebral" de COBIT.

Marco de Referencia (Framework): Incluye la introduccin contenida en el resumen ejecutivo y presenta lasguas de navegacin para que los lectores se orienten en la exploracin del material de COBIT haciendo unapresentacin detallada de los 34 procesos contenidos en los cuatro dominios.

Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco dereferencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.

En total se describen 302 objetivos de control detallados (de 3 a 30 objetivos por cada uno de los procesos) Guas de Auditoria: Se hace una presentacin del proceso de auditoria generalmente aceptado (relevamiento

de informacin, evaluacin de control, evaluacin de cumplimiento y evidenciacin de los riesgos).

Este documento incluye guas detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los302 objetivos de control detallados.

Guas de Administracin: Se enfoca de manera similar a los otros productos e integra los principios delBalance Business Scorecard.

Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptos de:Modelo de madurez CMM (prcticas de Control)Indicadores claves de Desempeo de los procesos de TIFactores Crticos de xito a tener en cuenta para mantener bajo control los procesos de TI.

Guas Gerenciales: Incluidas en la Tercera Edicin, las mismas proveen modelos de madurez, factorescrticos de xito, indicadores claves de objetivos e indicadores claves de desempeo para los 34 procesos deTI de COBIT. Estas guas proveen a la gerencia herramientas que permiten la auto evaluacin y poderseleccionar opciones para implementacin de controles y mejoras sobre la informacin y la tecnologarelacionada. Las guas fueron desarrolladas por un panel de 40 expertos en seguridad y control, profesionalesde administracin de TI y de administracin de desempeo, analistas de la industria y acadmicos de todo elmundo.

Herramientas de implementacin: Muestra algunas de las lecciones aprendidas por aquellas organizacionesque han aplicado COBIT e incluye una gua de implementacin con dos herramientas: Diagnstico de

conciencia Administrativa y Diagnstico de Control en TI

Como con cualquier investigacin amplia e innovadora, COBIT ser actualizado cada tres aos. Estoasegurara que el modelo y la estructura permanezcan vigentes. La validacin tambin permite asegurar quelos 41 materiales de referencia primarios no hayan cambiado, y, si hubieran cambiado, reflejas eso en eldocumento9. Apndice IIRelaciones de Objetivo de Control, Dominios, Procesos y Objetivos de Control

PLANEACIN Y ORGANIZACIN1.0 Definicin de un Plan Estratgico de Tecnologade Informacin1.1 Tecnologa de Informacin como parte del Plan dela Organizacin a corto y largo plazo1.2 Plan a largo plazo de Tecnologa de Informacin1.3 Plan a largo plazo de Tecnologa de Informacin -Enfoque y Estructura1.4 Cambios al Plan a largo plazo de Tecnologa deInformacin1.5 Planeacin a corto plazo para la funcin deServicios de Informacin1.6 Evaluacin de sistemas existentes2.0 Definicin de la Arquitectura de Informacin

4.15 Relaciones5.0 Manejo de la Inversin en Tecnologa deInformacin5.1 Presupuesto Operativo Anual para la Funcin deServicio de informacin5.2 Monitoreo de Costo - Beneficio5.3 Justificacin de Costo - Beneficio6.0 Comunicacin de la direccin y aspiraciones de lagerencia6.1 Ambiente positivo de control de la informacin6.2 Responsabilidad de la Gerencia en cuanto aPolticas6.3 Comunicacin de las Polticas de la Organizacin6.4 Recursos para la implementacin de Polticas


18/22

2.1 Modelo de la Arquitectura de Informacin2.2 Diccionario de Datos y Reglas de cinta de datosde la corporacin2.3 Esquema de Clasificacin de Datos2.4 Niveles de Seguridad3.0 Determinacin de la direccin tecnolgica

3.1 Planeacin de la Infraestructura Tecnolgica3.2 Monitoreo de Tendencias y Regulaciones Futuras3.3 Contingencias en la Infraestructura Tecnolgica3.4 Planes de Adquisicin de Hardware y Software3.5 Estndares de Tecnologa4.0 Definicin de la Organizacin y de las Relacionesde TI4.1 Comit de planeacin o direccin de la funcin deservicios de informacin4.2 Ubicacin de los servicios de informacin en laorganizacin4.3 Revisin de Logros Organizacionales4.4 Funciones y Responsabilidades

4.5 Responsabilidad del aseguramiento de calidad4.6 Responsabilidad de la seguridad lgica y fsica4.7 Propiedad y Custodia4.8 Propiedad de Datos y Sistemas4.9 Supervisin4.10 Segregacin de Funciones4.11 Asignacin de Personal para Tecnologa deInformacin4.12 Descripcin de Puestos para el Personal de laFuncin de TI4.13 Personal clave de TI4.14 Procedimientos para personal por contrato

6.5 Mantenimiento de Polticas6.6 Cumplimiento de Polticas, Procedimientos yEstndares6.7 Compromiso con la Calidad6.8 Poltica sobre el Marco de Referencia para laSeguridad y el Control Interno

6.9 Derechos de propiedad intelectual6.10 Polticas Especficas6.11 Comunicacin de Conciencia de Seguridad en TI7.0 Administracin de Recursos Humanos7.1 Reclutamiento y Promocin de Personal7.2 Personal Calificado7.3 Entrenamiento de Personal7.4 Entrenamiento Cruzado o Respaldo de Personal7.5 Procedimientos de Acreditacin de Personal7.6 Evaluacin de Desempeo de los Empleados7.7 Cambios de Puesto y Despidos8.0 Aseguramiento del Cumplimiento deRequerimientos Externos

8.1 Revisin de Requerimientos Externos8.2 Prcticas y Procedimientos para el Cumplimientode Requerimientos Externos8.3 Cumplimiento de los Estndares de Seguridad yErgonoma8.4 Privacidad, Propiedad Intelectual y Flujo de Datos8.5 Comercio Electrnico8.6 Cumplimiento con Contratos de Seguros9.0 Evaluacin de Riesgos9.1 Evaluacin de Riesgos del Negocio9.2 Enfoque de Evaluacin de Riesgos9.3 Identificacin de Riesgos9.4 Medicin de Riesgos9.5 Plan de Accin contra Riesgos

9.6 Aceptacin de Riesgos10.0 Administracin de proyectos10.1 Marco de Referencia para la Administracin deProyectos10.2 Participacin del Departamento Usuario en laIniciacin de Proyectos10.3 Miembros y Responsabilidades del Equipo delProyecto10.4 Definicin del Proyecto10.5 Aprobacin del Proyecto10.6 Aprobacin de las Fases del Proyecto

10.7 Plan Maestro del Proyecto10.8 Plan de Aseguramiento de la Calidad deSistemas10.9 Planeacin de Mtodos de Aseguramiento10.10 Administracin Formal de Riesgos de Proyectos10.11 Plan de Prueba10.12 Plan de Entrenamiento10.13 Plan de Revisin Post Implementacin11.0 Administracin de Calidad

ADQUISICIN E IMPLEMENTACIN1.0 Identificacin de Soluciones1.1 Definicin de Requerimientos de Informacin1.2 Formulacin de Acciones Alternativas1.3 Formulacin de Estrategias de Adquisicin.1.4 Requerimientos de Servicios de Terceros1.5 Estudio de Factibilidad Tecnolgica1.6 Estudio de Factibilidad Econmica1.7 Arquitectura de Informacin1.8 Reporte de Anlisis de Riesgos1.9 Controles de Seguridad Econmicos

1.10 Diseo de Pistas de Auditora1.11 Ergonoma1.12 Seleccin de Software de Sistema1.13 Control de Abastecimiento1.14 Adquisicin de Productos de Software1.15 Mantenimiento de Software de Terceras Partes1.16 Contratos de Programacin de Aplicaciones1.17 Aceptacin de Instalaciones1.18 Aceptacin de Tecnologa


19/22

11.1 Plan General de Calidad11.2 Enfoque de Aseguramiento de Calidad11.3 Planeacin del Aseguramiento de Calidad11.4 Revisin de Aseguramiento de Calidad sobre elCumplimiento de Estndares y Procedimientos de laFuncin de Servicios de Informacin

11.5 Metodologa del Ciclo de Vida de Desarrollo deSistemas11.6 Metodologa del Ciclo de Vida de Desarrollo deSistemas para Cambios Mayores a la Tecnologa

Actual11.7 Actualizacin de la Metodologa del Ciclo de Vidade Desarrollo de Sistemas11.8 Coordinacin y Comunicacin11.9 Marco de Referencia de Adquisicin yMantenimiento para la Infraestructura de Tecnologa11.10 Relaciones con Terceras Partes comoImplementadores11.11 Estndares para la Documentacin de

Programas11.12 Estndares para Pruebas de Programas11.13 Estndares para Pruebas de Sistemas11.14 Pruebas Piloto/En Paralelo11.15 Documentacin de las Pruebas del Sistema11.16 Evaluacin del Aseguramiento de la Calidadsobre el Cumplimiento de Estndar de Desarrollo11.17 Revisin del Aseguramiento de Calidad sobre elLogro de los Objetivos de la Funcin de Servicios deInformacin11.18 Mtricas de Calidad11.19 Reportes de Revisiones de Aseguramiento de laCalidad

2.0 Adquisicin y Mantenimiento de Software deAplicacin2.1 Mtodos de Diseo2.2 Cambios Significativos a Sistemas Actuales2.3 Aprobacin del Diseo2.4 Definicin y Documentacin de Requerimientos de

Archivos2.5 Especificaciones de Programas2.6 Diseo para la Recopilacin de Datos Fuente2.7 Definicin y Documentacin de Requerimientos deEntrada de Datos2.8 Definicin de Interfases2.9 Interfases Usuario-Mquina2.10 Definicin y Documentacin de Requerimientosde Procesamiento2.11 Definicin y Documentacin de Requerimientosde Salida de Datos2.12 Controlabilidad2.13 Disponibilidad como Factor Clave de Diseo

2.14 Estipulacin de Integridad de TI en programas desoftware de aplicaciones2.15 Pruebas de Software de Aplicacin2.16 Materiales de Consulta y Soporte para Usuario2.17 Reevaluacin del Diseo del Sistema3.0 Adquisicin y Mantenimiento de Arquitectura deTecnologa3.1 Evaluacin de Nuevo Hardware y Software3.2 Mantenimiento Preventivo para Hardware3.3 Seguridad del Software del Sistema3.4 Instalacin del Software del Sistema3.5 Mantenimiento del Software del Sistema3.6 Controles para Cambios del Sofware del Sistema

4.0 Desarrollo y Mantenimiento de Procedimientosrelacionados con Tecnologa de Informacin4.1 Futuros Requerimientos y Niveles de ServiciosOperacionales4.2 Manual de Procedimientos para Usuario4.3 Manual de Operacin4.4 Material de Entrenamiento5.0 Instalacin y Acreditacin de Sistemas5.1 Entrenamiento5.2 Adecuacin del Desempeo del Software de

Aplicacin5.3 Conversin

5.4 Pruebas de Cambios5.5 Criterios y Desempeo de Pruebas enParalelo/Piloto5.6 Prueba de Aceptacin Final5.7 Pruebas y Acreditacin de Seguridad5.8 Prueba Operacional5.9 Promocin a Produccin 5.10 Evaluacin de laSatisfaccin de los Requerimientos del Usuario5.11Revisin Gerencial Post - Implementacin

3.2 Plan de Disponibilidad3.3 Monitoreo y Reporte3.4 Herramientas de Modelado3.5 Manejo de Desempeo Proactivo3.6 Pronstico de Carga de Trabajo3.7 Administracin de Capacidad de Recursos3.8 Disponibilidad de Recursos3.9 Calendarizacin de recursos4.0 Aseguramiento de Servicio Continuo4.1 Marco de Referencia de Continuidad deTecnologa de Informacin4.2 Estrategia y Filosofa de Continuidad de

Tecnologa de Informacin4.3 Contenido del Plan de Continuidad de Tecnologade Informacin4.4 Minimizacin de requerimientos de Continuidad deTecnologa de Informacin4.5 Mantenimiento del Plan de Continuidad deTecnologa de Informacin4.6 Pruebas del Plan de Continuidad de Tecnologa deInformacin


20/22

6.0 Administracin de Cambios6.1 Inicio y Control de Requisiciones de Cambio6.2 Evaluacin del Impacto6.3 Control de Cambios6.4 Documentacin y Procedimientos6.5 Mantenimiento Autorizado

6.6 Poltica de Liberacin de Software6.7 Distribucin de SoftwareENTREGA DE SERVICIOS Y SOPORTE1.0 Definicin de Niveles de Servicio1.1 Marco de Referencia para el Convenio de Nivel deServicio1.2 Aspectos sobre los Acuerdos de Nivel de Servicio1.3 Procedimientos de Ejecucin1.4 Monitoreo y Reporte1.5 Revisin de Convenios y Contratos de Nivel deServicio1.6 Elementos sujetos a Cargo1.7 Programa de Mejoramiento del Servicio

2.0 Administracin de Servicios prestados porTerceros2.1 Interfases con Proveedores2.2 Relaciones de Dueos2.3 Contratos con Terceros2.4 Calificaciones de terceros2.5 Contratos con Outsourcing2.6 Continuidad de Servicios2.7 Relaciones de Seguridad2.8 Monitoreo3.0 Administracin de Desempeo y Capacidad3.1 Requerimientos de Disponibilidad y Desempeo

4.7 Capacitacin sobre el Plan de Continuidad deTecnologa de Informacin4.8 Distribucin del Plan de Continuidad deTecnologa de Informacin4.9 Procedimientos de Respaldo de Procesamientopara Departamentos Usuarios

4.10 Recursos crticos de Tecnologa de Informacin4.11 Centro de Cmputo y Hardware de respaldo4.12 Procedimientos de Refinamiento del Plan deContinuidad de TI5.0 Garantizar la Seguridad de Sistemas5.1 Administrar Medidas de Seguridad5.2 Identificacin, Autenticacin y Acceso5.3 Seguridad de Acceso a Datos en Lnea5.4 Administracin de Cuentas de Usuario5.5 Revisin Gerencial de Cuentas de Usuario5.6 Control de Usuarios sobre Cuentas de Usuario5.7 Vigilancia de Seguridad5.8 Clasificacin de Datos

5.9 Administracin Centralizada de Identificacin yDerechos de Acceso5.10 Reportes de Violacin y de Actividades deSeguridad5.11 Manejo de Incidentes5.12 Re-acreditacin5.13 Confianza en Contrapartes5.14 Autorizacin de Transacciones5.15 No Rechazo5.16 Sendero Seguro5.17 Proteccin de funciones de seguridad5.18 Administracin de Llave Criptogrfica5.19 Prevencin, Deteccin y Correccin de Software"Malicioso"5.20 Arquitecturas de FireWalls y conexin a redespblicas5.21 Proteccin de Valores Electrnicos

6.0 Identificacin y Asignacin de Costos6.1 Elementos Sujetos a Cargo6.2 Procedimientos de Costeo6.3 Procedimientos de Cargo y Facturacin a Usuarios7.0 Educacin y Entrenamiento de Usuarios7.1 Identificacin de Necesidades de Entrenamiento7.2 Organizacin de Entrenamiento7.3 Entrenamiento sobre Principios y Conciencia de

Seguridad8.0 Apoyo y Asistencia a los Clientes de Tecnologade Informacin8.1 Bur de Ayuda8.2 Registro de Preguntas del Usuario8.3 Escalamiento de Preguntas del Cliente8.4 Monitoreo de Atencin a Clientes8.5 Anlisis y Reporte de Tendencias9.0 Administracin de la Configuracin


21/22

9.1 Registro de la Configuracin9.2 Base de la Configuracin9.3 Registro de Estatus9.4 Control de la Configuracin9.5 Software no Autorizado9.6 Almacenamiento de Software

10.0 Administracin de Problemas e Incidentes10.1 Sistema de Administracin de Problemas10.2 Escalamiento de Problemas10.3 Seguimiento de Problemas y Pistas de Auditora11.0 Administracin de Datos11.1 Procedimientos de Preparacin de Datos11.2 Procedimientos de Autorizacin de DocumentosFuente11.3 Recopilacin de Datos de Documentos Fuente11.4 Manejo de Errores de Documentos Fuente11.5 Retencin de Documentos Fuente11.6 Procedimientos de Autorizacin de Entrada deDatos

11.7 Chequeos de Exactitud, Suficiencia yAutorizacin11.8 Manejo de Errores en la Entrada de Datos11.9 Integridad de Procesamiento de Datos11.10 Validacin y Edicin de Procesamiento deDatos11.11 Manejo de Error en el Procesamiento de Datos11.12 Manejo y Retencin de Salida de Datos11.13 Distribucin de Salida de Datos11.14 Balanceo y Conciliacin de Datos de Salida11.15 Revisin de Salida de Datos y Manejo deErrores11.16 Provisiones de Seguridad para Reportes deSalida11.17 Proteccin de Informacin Sensible durantetransmisin y transporte11.18 Proteccin de Informacin Crtica ade los Servicios de TI3.4 Evaluacin Independiente de la Efectividad deproveedores externos de servicios3.5 Aseguramiento Independiente del Cumplimientode leyes y requerimientos regulatorios y compromisoscontractuales3.6 Aseguramiento Independiente del Cumplimientode leyes y requerimientos regulatorios y compromisos

contractuales3.7 Competencia de la Funcin de AseguramientoIndependiente3.8 Participacin Proactiva de Auditora4.0 Proveer Auditora Independiente4.1 Estatutos de Auditora4.2 Independencia4.3 tica y Estndares Profesionales4.4 Competencia


22/22

4.5 Planeacin4.6 Desempeo del Trabajo de Auditora4.7 Reporte4.8 Actividades de Seguimiento

Leer ms:http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#ixzz2kTvFT1wJ
http://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#ixzz2kTvFT1wJhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#ixzz2kTvFT1wJhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#ixzz2kTvFT1wJhttp://www.monografias.com/trabajos14/auditoriasistemas/auditoriasistemas.shtml#ixzz2kTvFT1wJ

normas COBIT

Documents

Transcript of normas COBIT