1. COBIT
Objetivos de Control para tecnología de la información
y relacionada
Elaborado por:
Ayala Padilla Karen
Bautista Márquez Elizabeth
Echevarri Maldonado Stephania
Franco Bernal Elda
Santos Ocaña Carla
Profesora: M. en A. Irma Hernández Balderas
Fundamentos de Gestión de Servicios deTI
Junio 2013
2. RESUMEN
EJECUTIVO
¿COBIT?
¿Qué es eso?
Información y
Tecnología como
capital más valioso de
una organización.
CobiT brinda
buenas prácticas a
través de un marco
de trabajo de 34
procesos genéricos
agrupados en 4
dominios y presenta
las actividades en
una estructura
manejable y lógica
“Buenas prácticas enfocadas más en el control y
menos en la ejecución”
El marco de trabajo de CobiT
contribuye en los siguientes
aspectos:
Estableciendo un vínculo
con los requerimientos del
negocio
Organizando las
actividades de TI en un
modelo de procesos
Identificando los
principales recursos deTI
Definiendo los objetivos
de control gerenciales
3. RESUMEN
EJECUTIVO
COBIT y las
áreas del
gobierno deTI
COBIT da soporte al gobierno deTI al brindar un marco de trabajo que
garantiza que:
•TI está alineada con el negocio
•TI capacita el negocio y maximiza los beneficios
• Los recursos deTI se usen de manera responsable
• Los riesgos deTI se administren apropiadamente
Áreas focales del gobierno deTI
4. RESUMEN
EJECUTIVO
COBIT y las
áreas del
gobierno deTI
• Alineación estratégica: se enfoca en garantizar el vínculo entre los
planes de negocio y de TI; definir, mantener y validar la propuesta de
valor de TI; y en alinear las operaciones de TI con las operaciones de la
empresa.
• Entrega de valor: ejecutar la propuesta de valor a todo lo largo del
ciclo de entrega, asegurando que TI genere los beneficios prometidos
en la estrategia.
• Administración de recursos: inversión y administración adecuada de
los recursos críticos de TI:, aplicaciones, información, infraestructura y
personas.
• Administración de riesgos: conciencia de los riesgos por parte de los
altos ejecutivos de la empresa, comprender los requerimientos de
cumplimiento, transparencia de los riesgos significativos para la empresa,
inclusión de las responsabilidades de administración de riesgos.
• Medición del desempeño: rastrea y monitorea la estrategia de
implementación, la terminación del proyecto, el uso de los recursos, el
desempeño de los procesos y la entrega del servicio
6. MARCO DE
TRABAJO
¿Porquéunmarco de
trabajo?
Porque con la información suministrada por lasTI debe ser posible:
Garantizar el logro de objetivos empresariales
Tener suficiente flexibilidad para aprender y adaptarse
Contar con un manejo juicioso de los riesgos que se enfrentan
Reconocer de forma apropiada las oportunidades y actuar de
acuerdo a ellas
Además, las empresas exitosas entienden sus riesgos y aprovechan los beneficios
de lasTI para:
Alinear la estrategia deTI con la estrategia del negocio
Lograr que toda la estrategia de TI, así como las metas fluyan de forma gradual a
toda la empresa
Proporcionar estructuras organizacionales que faciliten la implementación de
estrategias y metas
Crear relaciones constructivas y comunicaciones efectivas entre el negocio y TI, y
con socios externos
Medir el desempeño deTI
7. MARCO DE
TRABAJO
¿Porquéunmarco de
trabajo?
“El gobierno y los marcos de trabajo de control están siendo parte
de las mejores prácticas de la administración deTI y sirven como
facilitadores para establecer el gobierno deTI”
Las mejores prácticas deTI se han vuelto significativas
debido a diversos factores:
Preocupación por el
creciente nivel de gasto
enTI
Selección de
proveedores de servicio y
el manejo de
Outsourcing y de
Adquisición de servicios
Riesgos crecientemente
complejos de laTI como
la seguridad de redes
Necesidad de las
empresas de valorar
su desempeño en
comparación con
estándares
generalmente
aceptados y con
respecto a su
competencia
8. MARCO DE
TRABAJO
¿Aquién va dirigido?
“Un marco de referencia de gobierno y de control requiere servir
a interesados internos y externos, cada uno con necesidades
específicas”
Interesados dentro de la empresa que tengan un interés en generar
valor de las inversiones enTI:
Aquellos que tomen decisiones de inversiones
Aquellos que deciden respecto a los requerimientos
Aquellos que utilicen los servicios deTI
Interesados internos y externos que proporcionen servicios deTI:
Aquellos que administren la organización y los procesos deTI
Aquellos que desarrollen capacidades
Aquellos que operen los servicios
Interesados internos y externos con responsabilidades de
control/riesgo:
Aquellos con responsabilidades de seguridad, privacidad y/o riesgo
Aquellos que realicen funciones de cumplimiento
Aquellos que requieran o proporcionen servicios de aseguramiento
9. MARCO DE
TRABAJO
¿Para qué?
Un marco
de
referencia
para el
gobierno
y el
control de
TI deben
satisfacer
las
siguientes
especifica
ciones
generales
Brindar un
enfoque de
negocios que
permita la
alineación entre
los objetivos de
negocio y deTI. Proporcionar un
lenguaje común,
con un juego de
términos y
definiciones
comprensibles
para todos los
Interesados.
Ser consistente
con las mejores
prácticas y
estándares deTI
aceptados
10. MARCO DE
TRABAJO
Principio básico de
CobiT
“Proporcionar la información que la empresa requiere para lograr sus
objetivos, la empresa necesita administrar y controlar los recursos de
TI usando un conjunto estructurado de procesos que ofrezcan los
servicios requeridos de información.”
11. MARCO DE
TRABAJO
7CRITERIOS DE
INFORMACIÓN DE
COBIT
La efectividad: información relevante y pertinente a los procesos
del negocio, proporcionada de forma oportuna, correcta,
consistente y utilizable.
La eficiencia: información generada optimizando los recursos (más
productivo y económico).
La confidencialidad: protección de información sensitiva contra
revelación no autorizada.
La integridad: precisión y completitud de la información, así como
con su validez de acuerdo a los valores y expectativas del negocio.
La disponibilidad: información disponible cuando sea requerida
por los procesos del negocio.
Cumplimiento: acatar aquellas leyes y reglamentos empresariales.
Confiabilidad: información apropiada para que la gerencia
administre la entidad
13. MARCO DE
TRABAJO
ProcesosOrientados
El marco de trabajo de COBIT proporciona un modelo de
procesos de referencia y un lenguaje común para que
cada uno en la empresa visualice y administre las
actividades deTI.
PLANEARY
ORGANIZAR (PO)
MONITOREARY
EVALUAR (ME)
ENTREGARY DAR
SOPORTE (DS)
ADQUIRIR E
IMPLEMENTAR (AI)
14. MARCO DE
TRABAJO
COBIT: procesos
basadosen controles
Cuando un proceso se ajusta a un objetivo,
estándar o norma, se comparará de forma
constante la información de control y se
actuará con el fin de mejorar, mantener o
corregir dicho proceso.
MODELO DE
CONTROL
15. MARCO DE
TRABAJO
¿Qué tan lejos
debemos ir?
Midiendo el
desempeño: Modelos
de Madurez
Representación gráfica de los modelos de madurez
17. Primer
dominio:
PLANEARY
ORGANIZAR
(PO)
PLANEACIONY
ORGANIZACION
PO1 Definir un plan
Estratégico
PO2 Definir la
Arquitectura de
Información.
PO3 Determinar la
Dirección tecnológica
PO4 Definir los procesos
Organización y relaciones
DeTI
PO5 Administrar los
Recursos deTI
PO6 Comunicar las
Aspiraciones y la dirección
De la gerencia
PO7 Administrar los
Recurso humanos de
TI
PO8 Administrar la
Calidad
PO9 Evaluar y
Administrar los
Riesgos deTI
PO10 Administrar
Proyectos
18. Primer
dominio:
PLANEARY
ORGANIZAR
(PO)
PO1: Definir un plan
estratégicodeTI
PLAN
ESTRATÉGICO
DETI
Es necesaria para
Gestionar y dirigir todos
los
Recursos deTI en línea
con la estrategia y
prioridades del negocio.
Administración del valor deTI
Alineación deTI con el negocio
Evaluación del desempeño y la
capacidad actual.
Plan estratégico
Planes tácticos
Administración del portafolio de
TI
Definición Objetivos
Táctica: Método o sistema para ejecutar o conseguir algo.
Estrategia: Arte, traza para dirigir un asunto.
19. Primer
dominio:
PLANEARY
ORGANIZAR
(PO)
PO1: Definir un plan
estratégicodeTI
MODELO DE MADUREZ PO1
Cuando se conoce la necesidad de una
planeación estratégica.
Cuando ocurren respuestas a las solicitudes
de la información.
Cuando se sigue un enfoque que garantiza la
facilidad de la planeación.
Se define con responsabilidades de alto
nivel.
Se toma en cuenta el establecimiento de las
metas del negocio.
Inicial
Repetible
Definido
Administrado
Optimizado
21. Primer dominio:
PLANEARY
ORGANIZAR
(PO)
PO2 Definir la
arquitectura de la
información
MODELO DE MADUREZ PO2
Cuando se reconoce la necesidad de una
arquitectura de información
Cuando existen procedimientos similares
que siguen los individuos.
Se acepta la responsabilidad en la aplicación
en la cual se comunicara
Se otorga el soporte completo al desarrollo
de implantación por medio de técnicas.
El personal de TI tiene la experiencia y
habilidades necesarias para desarrollar
Inicial
Repetible
Definido
Administrado
Optimizado
22. Primer
dominio:
PLANEARY
ORGANIZAR
(PO)
PO3- Determinar la
dirección tecnológica
Creación de un
plan de
infraestructura
tecnológica
Actualizar Arquitectura de
Sistemas
Dirección
tecnológica.
Planes de
adquisición.
Estándares.
Estrategias de
migración.
Contingencias
Comité de
Arquitectura.
Establecer y
administrar lo que la
tecnología puede
ofrecer en términos
de productos,
servicios y
mecanismos de
aplicación.
23. Primer
dominio:
PLANEARY
ORGANIZAR
(PO)
PO3- Determinar la
dirección tecnológica
Objetivos
de
Control
Plan de infraestructura
tecnológica.
Monitoreo de tendencias y
regulaciones futuras.
Estándares tecnológicos.
Consejo de arquitectura deTI
Planeación de la dirección
tecnológica
24. Primer
dominio:
PLANEARY
ORGANIZAR
(PO)
PO4-Definirlos
Procesos,
Organizacióny
relacionesTI
PO4 Agiliza la respuesta a las estrategias del negocio
mientras se cumplan los requerimientos del gobierno
Se enfoca en el
establecimiento de
estructuras organizacionales
deTI transparentes, flexibles
y responsables y en la
definición e implementación
de procesos deTI.
Se logra con el
establecimiento de un
cuerpo y una estructura
organizacional apropiada.
La definición de roles y
responsabilidades
Se mide a través del número
de procesos de negocio que
no reciben soporte de TI y
que deberían de recibirlo.
25. Primer
dominio:
PLANEARY
ORGANIZAR
(PO)
PO5: Administrarla
inversiónenTI
PO5 Establece y
mantiene un marco de
trabajo Para administrar
los programas de
inversion enTI
El pronóstico de
presupuestos
Definición de criterios
formales
Medición del valor del
negocio
A través
de
Objetivos de
Control
Marco de trabajo para
la administracion
financiera
Prioridades dentro del
presupuesto deTI
Proceso presupuestal
Administración de
costos deTI
Administracion de
beneficios
26. Primer
dominio:
PLANEARY
ORGANIZAR
(PO)
PO6,PO7,PO8
PO6.COMUNICAR
LAS
ASPIRACIONESY
LA DIRECCION DE
LA GERENCIA
Objetivos de control
Ambiente de
politicas y de
control
Riesgo
corporativo
Administration de
politicas paraTI
Implantación de
políticas deTI
Comunicación de
los objetivos
PO7 ADMINISTRAR
LOS RECURSOS
HUMANOS DETI
Objetivos de control
Reclutamiento y
Retención
Asignación de
Roles
Dependencia
sobre individuos
Evaluación del
Desempeño
Cambios y
Terminación del
trabajo
Procedimientos
de investigación
del personal
PO8
ADMINISTRAR LA
CALIDAD
Objetivos de Control
Sistema de
Administración
de Calidad
Estándares y
practices de
calidad
Estándares de
desarrollo y
adquisición
Enfoque en el
cliente deTI
Mejora Continua
Medición,
monitoreo y
control de
calidad
27. Primer
dominio:
PLANEARY
ORGANIZAR
(PO)
PO9,PO10
PO9. EVALUARY ADMINISTRAR LOS
RIESGOS DETI
Objetivos de Control
Marco deTrabajo de administración de riesgos.
Identificación de eventos.
Respuesta a los riesgos
Mantenimiento y monitoreo.
PO10 ADMINISTRACIÓN DE PROYECTOS
Objetivos de Control
Coordinación de todos los proyectos y programas
deTI que se han establecido.
Incluir un Plan Maestro de recursos, asegurar y
garantizar la calidad y definición de un plan formal.
Garantiza a laAdministración de los posibles
Riesgos del Proyecto
28. Segundo
Dominio:
ADQUIRIR E
IMPLANTAR
(AI)
ADQUIRIR E
IMPLANTAR
AI1 Identificar
soluciones
automatizadas
AI2 Adquirir y
mantener
software
AI3 Adquirir y
mantener
infraestructura
AI4 Facilitar
operación y uso
AI5 Adquirir
recursos deTI
AI6 Administrar
cambios
AI7 Instalar y
acreditar
soluciones y
cambios
29. Segundo
Dominio:
ADQUIRIR E
IMPLANTAR
(AI)
AI1: Identificar
soluciones
automatizadas
La necesidad de una nueva aplicación o función requiere de un
análisis antes de la compra o desarrollo para garantizar que
los requisitos del negocio se satisfacen eficazmente.
¿Para qué?
Actividades:
AI1.1 Definición y mantenimiento de
los requerimientos técnicos y
funcionales del negocio
AI1.2 Reporte de análisis de riesgos
AI1.3Estudio de factibilidad y
formulación de cursos de acción
alternativos
AI1.4 Requerimientos, decisión de
factibilidad y aprobación
30. Segundo
Dominio:
ADQUIRIR E
IMPLANTAR
(AI)
AI2:Adquirir y
mantenersoftware
Este proceso cubre el diseño de las aplicaciones,
la inclusión apropiada de controles aplicativos y
requerimientos de seguridad, y el desarrollo y la
configuración en sí de acuerdo a los estándares.
¿Para qué?
Actividades:
AI2.1 Diseño de alto nivel
AI2.2 Diseño detallado
AI2.3 Control y posibilidad de auditar las aplicaciones
AI2.4 Seguridad y disponibilidad de las aplicaciones
AI2.5 Configuración e implementación de software
adquirido
AI2.6 Actualizaciones de sistemas
AI2.7 Desarrollo de software
AI2.8 Aseguramiento de la calidad
AI2.9 Administración de los requerimientos
AI2.10 Mantenimiento de software
31. Segundo
Dominio:
ADQUIRIR E
IMPLANTAR
(AI)
AI3:Adquirirymantener
infraestructura
tecnológica
¿Para qué?
Para proporcionar las plataformas apropiadas para soportar
aplicaciones de negocios. Esto garantiza que exista un
soporte tecnológico continuo para las aplicaciones.
Actividades
AI3.1 Plan de adquisición de
infraestructura tecnológica
AI3.2 Protección y disponibilidad
del recurso de infraestructura
AI3.3 Mantenimiento de la
infraestructura
AI3.4 Ambiente de prueba de
factibilidad
32. Segundo
Dominio:
ADQUIRIR E
IMPLANTAR
(AI)
AI4: Facilitar la
operación y el uso
Este proceso
requiere la
generación de
documentación y
manuales para
usuarios de TI, y
proporcionar
entrenamiento para
garantizar el uso y la
operación correcta
de las aplicaciones y
la infraestructura
Actividades:
AI4.1 Plan para soluciones
de operación
AI4.2 Transferencia de
conocimiento a la
gerencia del negocio
AI4.3 Transferencia de
conocimiento a usuarios
finales
AI4.4 Transferencia de
conocimiento a personal
de operaciones y soporte
33. Segundo
Dominio:
ADQUIRIR E
IMPLANTAR
(AI)
AI5:Adquirir recursos
deTI
Se deben suministrar
recursos de TI. Esto requiere
la definición y ejecución de
los procedimientos de
adquisición, elección de
proveedores, etc. El hacerlo
así, garantiza que la
organización tenga todos los
recursos necesarios de forma
oportuna y rentable.
Actividades:
AI5.1 Control de adquisición
AI5.2 Administración de contratos con
proveedores
AI5.3 Selección de proveedores
AI5.4 Adquisición de recursos deTI
34. Segundo
Dominio:
ADQUIRIR E
IMPLANTAR
(AI)
AI6:Administrar
cambios
Todos los cambios, incluyendo el
mantenimiento de emergencias y parches,
relacionados con la infraestructura y las
aplicaciones dentro del ambiente de producción,
deben ser registrados, evaluado y autorizados.
Esto garantiza la reducción de riesgos negativos
para la organización.
Actividades:
AI6.1 Estándares y procedimientos para
cambios
AI6.2 Evaluación de impacto
AI6.3 Cambios de emergencia
AI6.4 Seguimiento y reporte de estado de
cambio
AI6.5 Cierre y documentación del cambio
35. Segundo
Dominio:
ADQUIRIR E
IMPLANTAR
(AI)
AI7:Instalary
acreditar soluciones y
cambios
Los nuevos
sistemas necesitan
estar funcionales
una vez que su
desarrollo termina.
Esto requiere
pruebas
adecuadas. Se
debe planear la
liberación y
transición al
ambiente de
producción.
Actividades
AI7.1 Entrenamiento
AI7.2 Plan de prueba
AI7.3 Plan de implementación
AI7.4 Ambiente de prueba
AI7.5 Conversión de sistemas y
datos
AI7.6 Pruebas de cambios
AI7.7 Prueba de aceptación final
AI7.8 Promoción a producción
AI7.9 Revisión posterior a
implantación
36. Tercer
dominio:
ENTREGARY
DAR
SOPORTE
(DS)
Entregar
y dar
soporte
DS1 Definir y administrar los niveles de
servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la
capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8Administrar la mesa de servicio y los
incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11Administrar los datos
DS12 Administrar el ambiente físico
DS13Administrar las operaciones
37. Tercer
dominio:
ENTREGARY
DAR
SOPORTE
(DS)
Ds1:definir y
administrarniveles de
servicio
Este domino se refiere a la comunicación efectiva entre
la gerencia de TI y los clientes de negocio respecto de los
servicios requeridos. También incluye el monitoreo y la
notificación oportuna a los participantes sobre el
cumplimiento de los niveles de servicio.
Actividades:
DS1.1 Marco de trabajo de la administración de los
niveles de servicio
DS1.2 Definición de servicios
DS1.3 Acuerdo de niveles de servicio
DS1.4 Acuerdos de niveles de operación
DS1.5 Monitoreo y reporte del cumplimiento de los
niveles de servicio
DS1.6 Revisión de los acuerdos de niveles de servicio y
de los contratos
38. Tercer
dominio:
ENTREGARY
DAR
SOPORTE
(DS)
DS2:Administrar
los servicios de
terceros
Clara definición
de roles,
responsabilidades
y expectativas en
los acuerdos con
los terceros, así
como con la
revisión y
monitoreo de la
efectividad y
cumplimiento de
dichos acuerdos.
Actividades:
DS2.1 Identificación de todas
las relaciones con proveedores
DS2.2 Gestión de relaciones
con proveedores
DS2.3 Administración de
riesgos del proveedor
DS2.4 Monitoreo del
desempeño del proveedor
39. Tercer
dominio:
ENTREGARY
DAR
SOPORTE
(DS)
DS3:Administración
de desempeño y
capacidad
Este proceso incluye el pronóstico de las necesidades futuras,
basadas en los requerimientos de carga de trabajo,
almacenamiento y contingencias. Brinda la seguridad de que
los recursos de información que soportan los requerimientos
del negocio están disponibles de manera continua.
Actividades:
DS3.1 Planeación del desempeño y la capacidad
DS3.2 Capacidad y desempeño actual
DS3.3 Capacidad y desempeño futuros
DS3.4 Disponibilidad de recursos deTI
DS3.5 Monitoreo y reporte
40. Tercer
dominio:
ENTREGARY
DAR
SOPORTE
(DS)
DS4:Garantizar la
continuidaddelservicio
Desarrollar, mantener y probar planes de continuidad de TI,
almacenar respaldos fuera de las instalaciones y entrenar de
forma periódica sobre los planes de continuidad. Un proceso
efectivo de continuidad de servicios, minimiza la probabilidad
y el impacto de interrupciones mayores en los servicios deTI.
Actividades:
DS4.1 Marco de trabajo de
continuidad deTI
DS4.2 Planes de continuidad
deTI
DS4.3 Recursos críticos deTI
DS4.4 Mantenimiento del
plan de continuidad deTI
DS4.5 Pruebas del plan de
continuidad deTI
41. Tercer
dominio:
ENTREGARY
DAR
SOPORTE
(DS)
DS5:Garantizarla
seguridadde los
sistemas
Salvaguardar la información contra uso no autorizado,
divulgación, modificación, daño o pérdida.
Actividades:
DS5.1
Administración de la
seguridad deTI
DS5.2 Plan de
seguridad deTI
DS5.3
Administración de
identidad
DS5.4
Administración de
cuentas de usuario
DS5.5 Pruebas,
vigilancia y
monitoreo.
Actividades:
DS5.6 Definición de
incidente de
seguridad
DS5.7 Protección de
la tecnología de
seguridad
DS5.8
Administración de
las llaves
criptográficas
DS5.9 Detección de
software malicioso
DS5.10 Seguridad
de la red
42. Tercer
dominio:
ENTREGARY
DAR
SOPORTE
(DS)
DS6:Identificar y
asignarcostos
Asegurar un conocimiento correcto de los costos
atribuibles a los servicios de TI. Permite al negocio
tomar decisiones más informadas respectos al uso de
los servicios deTI.
Actividades:
DS6.1 Definición de servicios
DS6.2 Contabilización deTI
DS6.3 Modelación de costos y cargos
DS6.4 Mantenimiento del modelo de
costos
43. Tercer
dominio:
ENTREGARY
DAR
SOPORTE
(DS)
DS7:Educar y
entrenara los usuarios
Asegurar que los usuarios estén haciendo un uso
efectivo de la tecnología y estén conscientes de
los riesgos y responsabilidades involucrados
Actividades:
DS7.1 Identificación de
necesidades de
entrenamiento y educación
DS7.2 Impartición de
entrenamiento y educación
DS7.3 Evaluación del
entrenamiento recibido
44. Tercer dominio:
ENTREGARY
DARSOPORTE
(DS)
DS8:Administrar la
mesa de servicio y los
incidentes
Asegurar que se
responda de manera
oportuna y efectiva a
las consultas y
problemas de los
usuarios deTI
Actividades:
DS8.1 Mesa de
servicios
DS8.2 Registro de
consultas de
clientes
DS8.3
Escalamiento de
incidentes
DS8.4 Cierre de
incidentes
DS8.5 Análisis de
tendencias
45. Tercer dominio:
ENTREGARY
DARSOPORTE
(DS)
DS9:Administración
de configuración
Dar cuenta de todos los componentes de TI,
prevenir alteraciones no autorizadas,
verificar la existencia física y proporcionar
una base para el sano manejo de cambios
Actividades:
DS9.1 Repositorio y línea base de configuración
DS9.2 Identificación y mantenimiento de
elementos de configuración
DS9.3 Revisión de integridad de la configuración
46. Tercer dominio:
ENTREGARY
DARSOPORTE
(DS)
DS10:Administración
de problemas
Este proceso incluye la identificación y clasificación de
problemas, el análisis de las causas desde su raíz, y la
resolución de los mismos. Un efectivo proceso de
administración de problemas mejora los niveles de
servicio, reduce costos y mejora la conveniencia y
satisfacción del usuario.
Actividades:
DS10.1 Identificación y clasificación de
problemas
DS10.2 Rastreo y resolución de problemas
DS10.3 Cierre de problemas
DS10.4 Integración de las administraciones de
cambios, configuración y problemas
47. Tercer dominio:
ENTREGARY
DARSOPORTE
(DS)
DS11:Administración
de datos
Asegurar que los
datos estén
completos,
precisos y válidos
durante su entrada,
actualización,
salida y
almacenamiento
Actividades:
DS11.1 Requerimientos del
negocio para la
administración de datos
DS11.2 Acuerdos de
almacenamiento y
conservación
DS11.3 Administración de
librerías de medios
DS11.4 Eliminación
DS11.5 Respaldo y
restauración
DS11.6 Requerimientos de
seguridad para la
administración de datos
48. Tercer dominio:
ENTREGARY
DARSOPORTE
(DS)
DS12:Administración
del ambiente físico
Proporcionar un ambiente físico conveniente que
proteja al equipo y al personal de TI contra peligros
naturales (polvo, fuego, calor excesivo) o fallas
humanas.
Actividades:
DS12.1 Selección y
diseño del centro de
datos
DS12.2 Medidas de
seguridad física
DS12.3 Acceso físico
DS12.4 Protección
contra factores
ambientales
DS12.5 Administración
de instalaciones físicas
49. Tercer dominio:
ENTREGARY
DARSOPORTE
(DS)
DS13:Administración
de operaciones
Este proceso incluye la
definición de políticas y
procedimientos de
operación para una
administración efectiva
del procesamiento
programado, protección
de datos de salida
sensitivos, monitoreo
de infraestructura y
mantenimiento
preventivo de hardware
Actividades:
DS13.1
Procedimientos e
instrucciones de
operación
DS13.2
Programación de
tareas
DS13.3 Monitoreo
de la infraestructura
DS13.4 Documentos
sensitivos y
dispositivos de salida
DS13.5
Mantenimiento
preventivo de
hardware
50. Cuarto
dominio:
Monitorear y
Evaluar (ME)
Evaluar regularmente todos los procesos de TI para
determinar su calidad y el cumplimiento de los
requerimientos de control
¿Se mide el desempeño deTI para
detectar los problemas antes de
que sea demasiado tarde?
¿La gerencia garantiza que los
controles internos son efectivos y
eficientes?
¿Se miden y reportan los riesgos,
el control, el cumplimiento y el
desempeño?
52. Cuarto
dominio:
Monitorear y
Evaluar (ME)
ME2: Monitorear y
evaluarel desempeño
deTI
Transparencia y entendimiento de los costos, beneficios,
estrategia, políticas y niveles de servicio deTI de acuerdo
con los requisitos de gobierno.
Actividades:
Acciones
correctivas
Evaluación
del
desempeño
Reportes al
consejo
directivo
Enfoque del
monitoreo
53. Cuarto
dominio:
Monitorear y
Evaluar (ME)
ME2: Monitorear y
evaluarel control
interno
Proteger el logro de los objetivos de TI y cumplir las
leyes y reglamentos relacionados
ME2.1 Monitoreo del marco de trabajo de control
interno
ME2.2 Revisiones de auditoria
ME2.3 Excepciones de control
ME2.4Auto evaluación del control
ME2.5Aseguramiento del control interno
ME2.6 Control interno para terceros
ME2.7Acciones correctivas
54. Cuarto
dominio:
Monitorear y
Evaluar (ME)
ME2: Monitorear y
evaluarel control
interno
Las “situaciones a informar” son asuntos que llaman la
atención del auditor, pues representan deficiencias
importantes en el diseño y operación de la estructura del
control interno, y que a su juicio afectan negativamente
a la organización.
Por ejemplo:
Ausencia de adecuada segregación de funciones
Falta de revisión y aprobación de transacciones
Fallas en el suministro de información completa y
correcta de acuerdo con los objetivos de la
organización
Violación intencional de los controles
establecidos
Fallas en la protección de los activos
55. Cuarto
dominio:
Monitorear y
Evaluar (ME)
ME3:Garantizarel
cumplimiento
regulatorio
Cumplir las leyes y regulaciones deTI.
ME3.1: Identificar las leyes y
regulaciones con impacto
potencial enTI
ME3.2Optimizar la respuesta a
requerimientos regulatorios
ME3.3 Evaluación del
cumplimiento con
requerimientos regulatorios
ME3.4Aseguramiento positivo
del cumplimiento
ME3.5 Reportes integrados
56. Cuarto
dominio:
Monitorear y
Evaluar (ME)
ME4: Proporcionar
gobiernodeTI
La integración de un
gobierno de TI con
objetivos de
gobierno
corporativo y el
cumplimiento con
las leyes y
regulaciones
Establecer un
marco de
trabajo de
gobierno para
TI
Alineamiento
estratégico
Entrega de
valor
Administración
de recursos
Administración
de riesgos
Medición del
desempeño