www.monografias.com

Trabajo de Auditoria: Normas COBIT

Índice1. Introducción2. COBIT3. Planificación y Organización4. Adquisición e implementación5. Prestación y Soporte6. Monitoreo7. Aplicación de las Normas COBIT8. Apéndice I9. Apéndice II

1. IntroducciónEl siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y comprensible.Para ello, además de realizar un desarrollo teórico de las mismas, incluimos un análisis de la situaciónactual del Departamento de Recursos Humanos de la organización INEXEI SCHOOL, explicamos si susprocedimientos respetan o no la norma, e indicamos qué debería hacerse para que aplique y cumpla conun determinado proceso de la norma.El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan las Características yEstructura de COBIT y el Relevamiento y Aplicación de las Normas COBIT en la Escuela. Además,incluimos dos Apéndices: en el apéndice I indicamos los componentes de COBIT como Producto y en elapéndice II incorporamos la lista completa de Dominios, Procesos y Objetivos de Control.Para Finalizar, adjuntamos con esta monografía un disquette que contiene el Resumen Ejecutivo (2ªEdición) de la norma y las Guías de Auditoría de la misma, las cuales pueden ser utilizadas por nuestroscompañeros si desean profundizar más en el estudio de COBIT, y que en este trabajo son desarrolladasbrevemente para no hacer tediosa la explicación de la norma y por razones de espacio obvias.

2. COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajanlos profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida yarmoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, losprofesionales de control y los auditores.COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoraspersonales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursosde TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer lainformación pertinente y confiable que requiere una organización para lograr sus objetivos.Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos decontrol para tecnología de información que sea de uso cotidiano para gerentes y auditores

Usuarios:§§ La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de lasmismas, analizar el costo beneficio del control.§§ Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de losproductos que adquieren interna y externamente.§§ Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impactoen la organización y determinar el control mínimo requerido.§§ Los Responsables de TI: para identificar los controles que requieren en sus áreas.También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en suresponsabilidad de controlar los aspectos de información del proceso, y por todos aquellos conresponsabilidades en el campo de la TI en las empresas.

Características:§§ Orientado al negocio§§ Alineado con estándares y regulaciones “de facto”§§ Basado en una revisión crítica y analítica de las tareas y actividades en TI§§ Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

Principios:

El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a losprocesos de negocio y considerando a la información como el resultado de la aplicación combinada derecursos relacionados con las TI que deben ser administrados por procesos de TI.

· Requerimientos de la información del negocioPara alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:Requerimientos de Calidad: Calidad, Costo y Entrega.Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financierosy Cumplimiento le leyes y regulaciones.§§ Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debeser proporcionada en forma oportuna, correcta, consistente y utilizable.§§ Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma másproductiva y económica).§§ Confiabilidad: proveer la información apropiada para que la administración tome las decisionesadecuadas para manejar la empresa y cumplir con sus responsabilidades.§§ Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales estácomprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad§§ Confidencialidad: Protección de la información sensible contra divulgación no autorizada§§ Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo conlas expectativas de la empresa.§§ Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio yla salvaguarda de los recursos y capacidades asociadas a la misma.

COBIT

Requerimientos deInformación

Recursos de TIDatos, aplicaciones,tecnologías,Recursos Humanos

Planeación yOrganización

Adquisiciones eImplementación

Seguimiento

Objetivos delNegocio

Procesos Po1 a Po11

Procesos M1al M4

Procesos deTI

Requerimientosde Informacióndel Negocio

Recursos deTI

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

· Recursos de TIEn COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:§§ Datos: Todos los objetos de información. Considera información interna y externa, estructurada ono, gráficas, sonidos, etc.§§ Aplicaciones: entendido como los sistemas de información, que integran procedimientosmanuales y sistematizados.§§ Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administraciónde bases de datos, de redes, telecomunicaciones, multimedia, etc.§§ Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas deinformación.§§ Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir,prestar servicios, dar soporte y monitorear los sistemas de Información.·· Procesos de TILa estructura de COBIT se define a partir de una premisa simple y pragmática: “Los recursos de lasTecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos agrupados deforma natural para que proporcionen la información que la empresa necesita para alcanzar sus objetivos”.COBIT se divide en tres niveles:

Dominios

Procesos

Actividades

Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o unaresponsabilidad organizacional.Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.Actividades: Acciones requeridas para lograr un resultado medible.Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesosestán agrupados en cuatro grandes dominios que se detallan a continuación junto con sus procesos y unadescripción general de las actividades de cada uno:

3. Dominio: Planificación y organizaciónEste dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que latecnología de información puede contribuir de la mejor manera al logro de los objetivos de negocio.Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desdediferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructuratecnológica apropiadas.

Procesos:· PO1 Definición de un plan Estratégico Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de información y losrequerimientos de TI de negocio, para asegurar sus logros futuros.

Servicios ySoporte Procesos de A11 a

A16

Procesos deDs1 a Ds13

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

Su realización se concreta a través un proceso de planeación estratégica emprendido en intervalosregulares dando lugar a planes a largo plazo, los que deberán ser traducidos periódicamente en planesoperacionales estableciendo metas claras y concretas a corto plazo, teniendo en cuenta:§ La definición de objetivos de negocio y necesidades de TI, la alta gerencia será la responsable dedesarrollar e implementar planes a largo y corto plazo que satisfagan la misión y las metas generales de laorganización.§ El inventario de soluciones tecnológicas e infraestructura actual, se deberá evaluar los sistemasexistentes en términos de: nivel de automatización de negocio, funcionalidad, estabilidad, complejidad,costo y fortalezas y debilidades, con el propósito de determinar el nivel de soporte que reciben losrequerimientos del negocio de los sistemas existentes.§ Los cambios organizacionales, se deberá asegurar que se establezca un proceso para modificaroportunamente y con precisión el plan a largo plazo de tecnología de información con el fin de adaptar loscambios al plan a largo plazo de la organización y los cambios en las condiciones de la TI§ Estudios de factibilidad oportunos, para que se puedan obtener resultados efectivos· PO2 Definición de la Arquitectura de InformaciónObjetivo: Satisfacer los requerimientos de negocio, organizando de la mejor manera posible los sistemasde información, a través de la creación y mantenimiento de un modelo de información de negocio,asegurándose que se definan los sistemas apropiados para optimizar la utilización de esta información,tomando en consideración:§ La documentación deberá conservar consistencia con las necesidades permitiendo a losresponsables llevar a cabo sus tareas eficiente y oportunamente.§ El diccionario de datos, el cual incorporara las reglas de sintaxis de datos de la organización ydeberá ser continuamente actualizado.§ La propiedad de la información y la clasificación de severidad con el que se establecerá un marcode referencia de clasificación general relativo a la ubicación de datos en clases de información.· PO3 Determinación de la dirección tecnológicaObjetivo: Aprovechar al máximo de la tecnología disponible o tecnología emergente, satisfaciendo losrequerimientos de negocio, a través de la creación y mantenimiento de un plan de infraestructuratecnológica, tomando en consideración:§ La capacidad de adecuación y evolución de la infraestructura actual, que deberá concordar conlos planes a largo y corto plazo de tecnología de información y debiendo abarcar aspectos tales comoarquitectura de sistemas, dirección tecnológica y estrategias de migración.§ El monitoreo de desarrollos tecnológicos que serán tomados en consideración durante eldesarrollo y mantenimiento del plan de infraestructura tecnológica.§ Las contingencias (por ejemplo, redundancia, resistencia, capacidad de adecuación y evoluciónde la infraestructura), con lo que se evaluará sistemáticamente el plan de infraestructura tecnológica.§ Planes de adquisición, los cuales deberán reflejar las necesidades identificadas en el plan deinfraestructura tecnológica.· PO4 Definición de la organización y de las relaciones de TIObjetivo: Prestación de servicios de TIEsto se realiza por medio de una organización conveniente en número y habilidades, con tareas yresponsabilidades definidas y comunicadas, teniendo en cuenta:§ El comité de dirección el cual se encargara de vigilar la función de servicios de información y susactividades.§ Propiedad, custodia, la Gerencia deberá crear una estructura para designar formalmente a lospropietarios y custodios de los datos. Sus funciones y responsabilidades deberán estar claramentedefinidas.§ Supervisión, para asegurar que las funciones y responsabilidades sean llevadas a caboapropiadamente§ Segregación de funciones, con la que se evitará la posibilidad de que un solo individuo resuelvaun proceso crítico.§ Los roles y responsabilidades, la gerencia deberá asegurarse de que todo el personal deberáconocer y contar con la autoridad suficiente para llevar a cabo las funciones y responsabilidades que lehayan sido asignadas§ La descripción de puestos, deberá delinear claramente tanto la responsabilidad como laautoridad, incluyendo las definiciones de las habilidades y la experiencia necesarias para el puesto, y seradecuadas para su utilización en evaluaciones de desempeño.

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

§ Los niveles de asignación de personal, deberán hacerse evaluaciones de requerimientosregularmente para asegurar para asegurar una asignación de personal adecuada en el presente y en elfuturo.§ El personal clave, la gerencia deberá definir e identificar al personal clave de tecnología deinformación.· PO5 Manejo de la inversiónObjetivo: tiene como finalidad la satisfacción de los requerimientos de negocio, asegurando elfinanciamiento y el control de desembolsos de recursos financieros.Su realización se concreta a través presupuestos periódicos sobre inversiones y operaciones establecidasy aprobados por el negocio, teniendo en cuenta:§ Las alternativas de financiamiento, se deberán investigar diferentes alternativas definanciamiento.§ El control del gasto real, se deberá tomar como base el sistema de contabilidad de laorganización, mismo que deberá registrar, procesar y reportar rutinariamente los costos asociados con lasactividades de la función de servicios de información§ La justificación de costos y beneficios, deberá establecerse un control gerencial que garantice quela prestación de servicios por parte de la función de servicios de información se justifique en cuanto acostos. Los beneficios derivados de las actividades de TI deberán ser analizados en forma similar.· PO6 Comunicación de la dirección y aspiraciones de la gerenciaObjetivo: Asegura el conocimiento y comprensión de los usuarios sobre las aspiraciones del alto nivel(gerencia), se concreta a través de políticas establecidas y transmitidas a la comunidad de usuarios,necesitándose para esto estándares para traducir las opciones estratégicas en reglas de usuario prácticasy utilizables. Toma en cuenta:§ Los código de ética / conducta, el cumplimiento de las reglas de ética, conducta, seguridad yestándares de control interno deberá ser establecido por la Alta Gerencia y promoverse a través delejemplo.§ Las directrices tecnológicas§ El cumplimiento, la Gerencia deberá también asegurar y monitorear la duración de laimplementación de sus políticas.§ El compromiso con la calidad, la Gerencia de la función de servicios de información deberá definir,documentar y mantener una filosofía de calidad, debiendo ser comprendidos, implementados ymantenidos por todos los niveles de la función de servicios de información.§ Las políticas de seguridad y control interno, la alta gerencia deberá asegurar que esta política deseguridad y de control interno especifique el propósito y los objetivos, la estructura gerencial, el alcancedentro de la organización, la definición y asignación de responsabilidades para su implementación a todoslos niveles y la definición de multas y de acciones disciplinarias asociadas con la falta de cumplimiento deestas políticas.· PO7 Administración de recursos humanosObjetivo: Maximizar las contribuciones del personal a los procesos de TI, satisfaciendo así losrequerimientos de negocio, a través de técnicas sólidas para administración de personal, tomando enconsideración:§ El reclutamiento y promoción, deberá tener como base criterios objetivos, considerando factorescomo la educación, la experiencia y la responsabilidad.§ Los requerimientos de calificaciones, el personal deberá estar calificado, tomando como base unaeducación, entrenamiento y o experiencia apropiados, según se requiera§ La capacitación, los programas de educación y entrenamiento estarán dirigidos a incrementar losniveles de habilidad técnica y administrativa del personal.§ La evaluación objetiva y medible del desempeño, se deberá asegurar que dichas evaluacionessean llevada a cabo regularmente según los estándares establecidos y las responsabilidades específicasdel puesto. Los empleados deberán recibir asesoría sobre su desempeño o su conducta cuando esto seaapropiado.· PO8 Asegurar el cumplimiento con los requerimientos ExternosObjetivo: Cumplir con obligaciones legales, regulatorias y contractualesPara ello se realiza una identificación y análisis de los requerimientos externos en cuanto a su impacto enTI, llevando a cabo las medidas apropiadas para cumplir con ellos y se toma en consideración:§ Definición y mantenimiento de procedimientos para la revisión de requerimientos externos, parala coordinación de estas actividades y para el cumplimiento continuo de los mismos.§ Leyes, regulaciones y contratos§ Revisiones regulares en cuanto a cambios

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

§ Búsqueda de asistencia legal y modificaciones§ Seguridad y ergonomía con respecto al ambiente de trabajo de los usuarios y el personal de lafunción de servicios de información.§ Privacidad§ Propiedad intelectual§ Flujo de datos externos y criptografía· PO9 Evaluación de riesgosObjetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas hacia la provisión deservicios de TIPara ello se logra la participación de la propia organización en la identificación de riesgos de TI y en elanálisis de impacto, tomando medidas económicas para mitigar los riesgos y se toma en consideración:§ Identificación, definición y actualización regular de los diferentes tipos de riesgos de TI (por ej.:tecnológicos, de seguridad, etc.) de manera de que se pueda determinar la manera en la que los riesgosdeben ser manejados a un nivel aceptable.§ Definición de alcances, limites de los riesgos y la metodología para las evaluaciones de losriesgos.§ Actualización de evaluación de riesgos§ Metodología de evaluación de riesgos§ Medición de riesgos cualitativos y/o cuantitativos§ Definición de un plan de acción contra los riesgos para asegurar que existan controles y medidasde seguridad económicas que mitiguen los riesgos en forma continua.§ Aceptación de riesgos dependiendo de la identificación y la medición del riesgo, de la políticaorganizacional, de la incertidumbre incorporada al enfoque de evaluación de riesgos y de que taneconómico resulte implementar protecciones y controles.· PO10 Administración de proyectosObjetivo: Establecer prioridades y entregar servicios oportunamente y de acuerdo al presupuesto deinversiónPara ello se realiza una identificación y priorización de los proyectos en línea con el plan operacional porparte de la misma organización. Además, la organización deberá adoptar y aplicar sólidas técnicas deadministración de proyectos para cada proyecto emprendido y se toma en consideración:§ Definición de un marco de referencia general para la administración de proyectos que defina elalcance y los límites del mismo, así como la metodología de administración de proyectos a ser adoptada yaplicada para cada proyecto emprendido. La metodología deberá cubrir, como mínimo, la asignación deresponsabilidades, la determinación de tareas, la realización de presupuestos de tiempo y recursos, losavances, los puntos de revisión y las aprobaciones.§ El involucramiento de los usuarios en el desarrollo, implementación o modificación de losproyectos.§ Asignación de responsabilidades y autoridades a los miembros del personal asignados alproyecto.§ Aprobación de fases de proyecto por parte de los usuarios antes de pasar a la siguiente fase.§ Presupuestos de costos y horas hombre§ Planes y metodologías de aseguramiento de calidad que sean revisados y acordados por laspartes interesadas.§ Plan de administración de riesgos para eliminar o minimizar los riesgos.§ Planes de prueba, entrenamiento, revisión post-implementación.· PO11 Administración de calidadObjetivo: Satisfacer los requerimientos del clientePara ello se realiza una planeación, implementación y mantenimiento de estándares y sistemas deadministración de calidad por parte de la organización y se toma en consideración:§ Definición y mantenimiento regular del plan de calidad, el cual deberá promover la filosofía demejora continua y contestar a las preguntas básicas de qué, quién y cómo.§ Responsabilidades de aseguramiento de calidad que determine los tipos de actividades deaseguramiento de calidad tales como revisiones, auditorias, inspecciones, etc. que deben realizarse paraalcanzar los objetivos del plan general de calidad.§ Metodologías del ciclo de vida de desarrollo de sistemas que rija el proceso de desarrollo,adquisición, implementación y mantenimiento de sistemas de información.§ Documentación de pruebas de sistemas y programas§ Revisiones y reportes de aseguramiento de calidad

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

4. Dominio: Adquisición e implementaciónPara llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas oadquiridas, asi como implementadas e integradas dentro del proceso del negocio. Además, este dominiocubre los cambios y el mantenimiento realizados a sistemas existentes.

Procesos:· AI1 Identificación de Soluciones AutomatizadasObjetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del usuarioPara ello se realiza un análisis claro de las oportunidades alternativas comparadas contra losrequerimientos de los usuarios y toma en consideración:§ Definición de requerimientos de información para poder aprobar un proyecto de desarrollo.§ Estudios de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidospara el desarrollo de un proyecto.§ Arquitectura de información para tener en consideración el modelo de datos al definir soluciones yanalizar la factibilidad de las mismas.§ Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan losbeneficios.§ Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos mecanismos debenproporcionar la capacidad de proteger datos sensitivos (ej. Identificación de usuarios contra divulgación omal uso)§ Contratación de terceros con el objeto de adquirir productos con buena calidad y excelenteestado.§ Aceptación de instalaciones y tecnología a través del contrato con el Proveedor donde se acuerdaun plan de aceptación para las instalaciones y tecnología especifica a ser proporcionada.· AI2 Adquisición y mantenimiento del software aplicativoObjetivo: Proporciona funciones automatizadas que soporten efectivamente al negocio.Para ello se definen declaraciones específicas sobre requerimientos funcionales y operacionales y unaimplementación estructurada con entregables claros y se toma en consideración:§ Requerimientos de usuarios, para realizar un correcto análisis y obtener un software claro y fácilde usar.§ Requerimientos de archivo, entrada, proceso y salida.§ Interfase usuario-maquina asegurando que el software sea fácil de utilizar y que sea capaz deauto documentarse.§ Personalización de paquetes§ Realizar pruebas funcionales (unitarias, de aplicación, de integración y de carga y estrés), deacuerdo con el plan de prueba del proyecto y con los estándares establecidos antes de ser aprobado porlos usuarios.§ Controles de aplicación y requerimientos funcionales§ Documentación (materiales de consulta y soporte para usuarios) con el objeto de que los usuariospuedan aprender a utilizar el sistema o puedan sacarse todas aquellas inquietudes que se les puedanpresentar.· AI3 Adquisición y mantenimiento de la infraestructura tecnológicaObjetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones de negociosPara ello se realizara una evaluación del desempeño del hardware y software, la provisión demantenimiento preventivo de hardware y la instalación, seguridad y control del software del sistema ytoma en consideración:§ Evaluación de tecnología para identificar el impacto del nuevo hardware o software sobre elrendimiento del sistema general.§ Mantenimiento preventivo del hardware con el objeto de reducir la frecuencia y el impacto de fallasde rendimiento.§ Seguridad del software de sistema, instalación y mantenimiento para no arriesgar la seguridad delos datos y programas ya almacenados en el mismo.· AI4 Desarrollo y mantenimiento de procedimientosObjetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.Para ello se realiza un enfoque estructurado del desarrollo de manuales de procedimientos deoperaciones para usuarios, requerimientos de servicio y material de entrenamiento y toma enconsideración:§ Manuales de procedimientos de usuarios y controles, de manera que los mismos permanezcan enpermanente actualización para el mejor desempeño y control de los usuarios.

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

§ Manuales de Operaciones y controles, de manera que estén en permanente actualización.§ Materiales de entrenamiento enfocados al uso del sistema en la práctica diaria.· AI5 Instalación y aceptación de los sistemasObjetivo: Verificar y confirmar que la solución sea adecuada para el propósito deseadoPara ello se realiza una migración de instalación, conversión y plan de aceptaciones adecuadamenteformalizadas y toma en consideración:§ Capacitación del personal de acuerdo al plan de entrenamiento definido y los materialesrelacionados.§ Conversión / carga de datos, de manera que los elementos necesarios del sistema anterior seanconvertidos al sistema nuevo.§ Pruebas específicas (cambios, desempeño, aceptación final, operacional) con el objeto deobtener un producto satisfactorio.§ Acreditación de manera que la Gerencia de operaciones y usuaria acepten los resultados de laspruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.§ Revisiones post implementación con el objeto de reportar si el sistema proporciono los beneficiosesperados de la manera mas económica.· AI6 Administración de los cambiosObjetivo: Minimizar la probabilidad de interrupciones, alteraciones no autorizadas y errores.Esto se hace posible a través de un sistema de administración que permita el análisis, implementación yseguimiento de todos los cambios requeridos y llevados a cabo a la infraestructura de TI actual y toma enconsideración:§ Identificación de cambios tanto internos como por parte de proveedores§ Procedimientos de categorización, priorización y emergencia de solicitudes de cambios.§ Evaluación del impacto que provocaran los cambios.§ Autorización de cambios§ Manejo de liberación de manera que la liberación de software este regida por procedimientosformales asegurando aprobación, empaque, pruebas de regresión, entrega, etc.§ Distribución de software, estableciendo medidas de control especificas para asegurar ladistribución de software correcto al lugar correcto, con integridad y de manera oportuna.

5. Dominio: Prestación y soporteEn este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde lasoperaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Conel fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluyeel procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles deaplicación.

Procesos· Ds1 Definición de niveles de servicioObjetivo: Establecer una comprensión común del nivel de servicio requeridoPara ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeño contralos cuales se medirá la cantidad y la calidad del servicio y se toma en consideración:§ Convenios formales que determinen la disponibilidad, confiabilidad, desempeño, capacidad decrecimiento, niveles de soporte proporcionados al usuario, plan de contingencia / recuperación, nivelmínimo aceptable de funcionalidad del sistema satisfactoriamente liberado, restricciones (límites en lacantidad de trabajo), cargos por servicio, instalaciones de impresión central (disponibilidad), distribuciónde impresión central y procedimientos de cambio.§ Definición de las responsabilidades de los usuarios y de la función de servicios de información§ Procedimientos de desempeño que aseguren que la manera y las responsabilidades sobre lasrelaciones que rigen el desempeño entre todas las partes involucradas sean establecidas, coordinadas,mantenidas y comunicadas a todos los departamentos afectados.§ Definición de dependencias asignando un Gerente de nivel de Servicio que sea responsable demonitorear y reportar los alcances de los criterios de desempeño del servicio especificado y todos losproblemas encontrados durante el procesamiento.§ Provisiones para elementos sujetos a cargos en los acuerdos de niveles de servicio para hacerposibles comparaciones y decisiones de niveles de servicios contra su costo.§ Garantías de integridad§ Convenios de confidencialidad§ Implementación de un programa de mejoramiento del servicio.

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

· Ds2 Administración de servicios prestados por tercerosObjetivo: Asegurar que las tareas y responsabilidades de las terceras partes estén claramente definidas,que cumplan y continúen satisfaciendo los requerimientosPara ello se establecen medidas de control dirigidas a la revisión y monitoreo de contratos yprocedimientos existentes, en cuanto a su efectividad y suficiencia, con respecto a las políticas de laorganización y toma en consideración:§ Acuerdos de servicios con terceras partes a través de contratos entre la organización y elproveedor de la administración de instalaciones este basado en niveles de procesamiento requeridos,seguridad, monitoreo y requerimientos de contingencia, así como en otras estipulaciones según seaapropiado.§ Acuerdos de confidencialidad. Además, se deberá calificar a los terceros y el contrato deberádefinirse y acordarse para cada relación de servicio con un proveedor.§ Requerimientos legales regulatorios de manera de asegurar que estos concuerde con losacuerdos de seguridad identificados, declarados y acordados.§ Monitoreo de la entrega de servicio con el fin de asegurar el cumplimiento de los acuerdos delcontrato.· Ds3 Administración de desempeño y capacidadObjetivo: Asegurar que la capacidad adecuada está disponible y que se esté haciendo el mejor uso de ellapara alcanzar el desempeño deseado.Para ello se realizan controles de manejo de capacidad y desempeño que recopilen datos y reportenacerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos y tomaen consideración:§ Requerimientos de disponibilidad y desempeño de los servicios de sistemas de información§ Monitoreo y reporte de los recursos de tecnología de información§ Utilizar herramientas de modelado apropiadas para producir un modelo del sistema actual paraapoyar el pronóstico de los requerimientos de capacidad, confiabilidad de configuración, desempeño ydisponibilidad.§ Administración de capacidad estableciendo un proceso de planeación para la revisión deldesempeño y capacidad de hardware con el fin de asegurar que siempre exista una capacidad justificableeconómicamente para procesar cargas de trabajo con cantidad y calidad de desempeño§ Prevenir que se pierda la disponibilidad de recursos mediante la implementación de mecanismosde tolerancia de fallas, de asignación equitativos de recursos y de prioridad de tareas.

Monitoreo· Ds4 Asegurar el Servicio ContinuoObjetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión encaso de interrupcionesPara ello se tiene un plan de continuidad probado y funcional, que esté alineado con el plan de continuidaddel negocio y relacionado con los requerimientos de negocio y toma en consideración:§ Planificación de Severidad§ Plan Documentado§ Procedimientos Alternativos§ Respaldo y Recuperación§ Pruebas y entrenamiento sistemático y singulares· Ds5 Garantizar la seguridad de sistemasObjetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdidaPara ello se realizan controles de acceso lógico que aseguren que el acceso a sistemas, datos yprogramas está restringido a usuarios autorizados y toma en consideración:§ Autorización,autenticación y el acceso lógico junto con el uso de los recursos de TI deberárestringirse a través de la instrumentación de mecanismos de autenticación de usuarios identificados yrecursos asociados con las reglas de acceso§ Perfiles e identificación de usuarios estableciendo procedimientos para asegurar accionesoportunas relacionadas con la requisición, establecimiento, emisión, suspensión y suspensión de cuentasde usuario§ Administración de llaves criptográficas definiendo implementando procedimientos y protocolos aser utilizados en la generación, distribución, certificación, almacenamiento, entrada, utilización y archivode llaves criptográficas con el fin de asegurar la protección de las mismas§ Manejo, reporte y seguimiento de incidentes implementado capacidad para la atención de losmismos

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

§ Prevención y detección de virus tales como Caballos de Troya, estableciendo adecuadas medidasde control preventivas, detectivas y correctivas.§ Utilizaciónde Firewalls si existe una conexión con Internet u otras redes públicas en laorganización

Monitoreo· Ds6 Educación y entrenamiento de usuariosObjetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientesde los riesgos y responsabilidades involucradosPara ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideración:§ Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar ydocumentar las necesidades de entrenamiento de todo el personal que haga uso de los servicios deinformación§ Campañas de concientización, definiendo los grupos objetivos, identificar y asignar entrenadoresy organizar oportunamente las sesiones de entrenamiento§ Técnicas de concientización proporcionando un programa de educación y entrenamiento queincluya conducta ética de la función de servicios de información· Ds7 Identificación y asignación de costosObjetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TIPara ello se realiza un sistema de contabilidad de costos que asegure que éstos sean registrados,calculados y asignados a los niveles de detalle requeridos y toma en consideración:§ Los elementos sujetos a cargo deben ser recursos identificables, medibles y predecibles para losusuarios§ Procedimientos y políticas de cargo que fomenten el uso apropiado de los recursos de computo yaseguren el trato justo de los departamentos usuarios y sus necesidades§ Tarifas definiendo e implementando procedimientos de costeo de prestar servicios, para seranalizados, monitoreados, evaluados asegurando al mismo tiempo la economía

Monitoreo· Ds8 Apoyo y asistencia a los clientes de TIObjetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamentePara ello se realiza un Buró de ayuda que proporcione soporte y asesoría de primera línea y toma enconsideración:§ Consultas de usuarios y respuesta a problemas estableciendo un soporte de una función de buróde ayuda§ Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que laspreguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para atenderlas§ Análisis y reporte de tendencias adecuado de las preguntas de los clientes y su solución, de lostiempos de respuesta y la identificación de tendencias· Ds9 Administración de la configuraciónObjetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar laexistencia física y proporcionar una base para el sano manejo de cambiosPara ello se realizan controles que identifiquen y registren todos los activos de TI así como su localizaciónfísica y un programa regular de verificación que confirme su existencia y toma en consideración:§ Registro de activos estableciendo procedimientos para asegurar que sean registradosúnicamente elementos de configuración autorizados e identificables en el inventario, al momento deadquisición§ Administración de cambios en la configuración asegurando que los registros de configuraciónreflejen el status real de todos los elementos de la configuración§ Chequeo de software no autorizado revisando periódicamente las computadoras personales de laorganización§ Controles de almacenamiento de software definiendo un área de almacenamiento de archivospara todos los elementos de software válidos en las fases del ciclo de vida de desarrollo de sistemas· Ds10 Administración de ProblemasObjetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadaspara prevenir que vuelvan a suceder.Para ello se necesita un sistema de manejo de problemas que registre y dé seguimiento a todos losincidentes, además de un conjunto de procedimientos de escalamiento de problemas para resolver de la

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

manera más eficiente los problemas identificados. Este sistema de administración de problemas deberátambién realizar un seguimiento de las causas a partir de un incidente dado.· Ds11 Administración de DatosObjetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada,actualización, salida y almacenamiento.Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre lasoperaciones de TI. Para tal fin, la gerencia deberá diseñar formatos de entrada de datos para los usuariosde manera que se minimicen lo errores y las omisiones durante la creación de los datos.Este proceso deberá controlar los documentos fuentes (de donde se extraen los datos), de manera queestén completos, sean precisos y se registren apropiadamente. Se deberán crear también procedimientosque validen los datos de entrada y corrijan o detecten los datos erróneos, como así tambiénprocedimientos de validación para transacciones erróneas, de manera que éstas no sean procesadas.Cabe destacar la importancia de crear procedimientos para el almacenamiento, respaldo y recuperaciónde datos, teniendo un registro físico (discos, disquetes, CDs y cintas magnéticas) de todas lastransacciones y datos manejados por la organización, albergados tanto dentro como fuera de la empresa.La gerencia deberá asegurar también la integridad, autenticidad y confidencialidad de los datosalmacenados, definiendo e implementando procedimientos para tal fin.· Ds12 Administración de las instalacionesObjetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contrapeligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con lainstalación de controles físicos y ambientales adecuados que sean revisados regularmente para sufuncionamiento apropiado definiendo procedimientos que provean control de acceso del personal a lasinstalaciones y contemplen su seguridad física.· Ds13 Administración de la operaciónObjetivo: Asegurar que las funciones importantes de soporte de TI estén siendo llevadas a caboregularmente y de una manera ordenadaEsto se logra a través de una calendarización de actividades de soporte que sea registrada y completadaen cuanto al logro de todas las actividades. Para ello, la gerencia deberá establecer y documentarprocedimientos para las operaciones de tecnología de información (incluyendo operaciones de red), loscuales deberán ser revisados periódicamente para garantizar su eficiencia y cumplimiento.

6. Dominio: MonitoreoTodos los procesos de una organización necesitan ser evaluados regularmente a través del tiempo paraverificar su calidad y suficiencia en cuanto a los requerimientos de control, integridad y confidencialidad.Este es, precisamente, el ámbito de este dominio.

Procesos· M1 Monitoreo del ProcesoObjetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI. Lo cual se logradefiniendo por parte de la gerencia reportes e indicadores de desempeño gerenciales y la implementaciónde sistemas de soporte así como la atención regular a los reportes emitidos.Para ello la gerencia podrá definir indicadores claves de desempeño y/o factores críticos de éxito ycompararlos con los niveles objetivos propuestos para evaluar el desempeño de los procesos de laorganización. La gerencia deberá también medir el grado de satisfacción del los clientes con respecto alos servicios de información proporcionados para identificar deficiencias en los niveles de servicio yestablecer objetivos de mejoramiento, confeccionando informes que indiquen el avance de la organizaciónhacia los objetivos propuestos.

· M2 Evaluar lo adecuado del Control InternoObjetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI.Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través deactividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias.,evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de monitoreocontinuo por parte de la Gerencia deberán revisar la existencia de puntos vulnerables y problemas deseguridad.· M3 Obtención de Aseguramiento IndependienteObjetivo: Incrementar los niveles de confianza entre la organización, clientes y proveedores externos. Esteproceso se lleva a cabo a intervalos regulares de tiempo.

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y controlinterno antes de implementar nuevos servicios de tecnología de información que resulten críticos, comoasí también para trabajar con nuevos proveedores de servicios de tecnología de información. Luego lagerencia deberá adoptar como trabajo rutinario tanto hacer evaluaciones periódicas sobre la efectividadde los servicios de tecnología de información y de los proveedores de estos servicios como así tambiénasegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología deinformación y de los proveedores de estos servicios.· M4 Proveer Auditoria IndependienteObjetivo: Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en mejoresprácticas de su implementación, lo que se logra con el uso de auditorias independientes desarrolladas aintervalos regulares de tiempo. Para ello la gerencia deberá establecer los estatutos para la función deauditoria, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditoria. Elauditor deberá ser independiente del auditado, esto significa que los auditores no deberán estarrelacionados con la sección o departamento que esté siendo auditado y en lo posible deberá serindependiente de la propia empresa. Esta auditoria deberá respetar la ética y los estándaresprofesionales, seleccionando para ello auditores que sean técnicamente competentes, es decir quecuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoria.La función de auditoria deberá proporcionar un reporte que muestre los objetivos de la auditoria, períodode cobertura, naturaleza y trabajo de auditoria realizado, como así también la organización, conclusión yrecomendaciones relacionadas con el trabajo de auditoria llevado a cabo.Los 34 procesos propuestos se concretan en 32 objetivos de control detallados anteriormente.Un Control se define como “las normas, estándares, procedimientos, usos y costumbres y las estructurasorganizativas, diseñadas para proporcionar garantía razonable de que los objetivos empresariales sealcanzaran y que los eventos no deseados se preverán o se detectaran, y corregirán”Un Objetivo de Control se define como “la declaración del resultado deseado o propuesto que se ha dealcanzar mediante la aplicación de procedimientos de control en cualquier actividad de TI”En resumen, la estructura conceptual se puede enfocar desde tres puntos de vista:-Los recursos de las TI-Los criterios empresariales que deben satisfacer la información-Los procesos de TILas tres dimensiones condeptuales de COBIT

7. Aplicación de las Normas COBITA continuación, analizaremos como se deberían aplicar las Normas COBIT en una Organización,utilizando para ello la Guía de Auditoria presentada en la pagina Web www.isaca.org, la misma indica lospasos a seguir para auditar cada uno de los procesos de TI de la norma. Este reporte lo confeccionamosdándole el formato de un informe de auditoría:

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

Informe de Auditoria· Entidad Auditada: ARCO IRIS SCHOOL· Alcance de la auditoría: Esta auditoría comprende solamente al área de RecursosHumanos de la Arco Iris School, con respecto al cumplimiento del proceso “Administración deRecursos Humanos” de la norma COBIT.· Norma Aplicada: COBIT, específicamente el proceso de TI Po7 “Administración deRecursos Humanos”· Relevamiento:Organización: Colegio Privado que brinda un servicio de educación a niños de nivel inicial yprimario.Objetivos de la Organización:· Ofrecer el servicio de una excelente educación con orientación bilingüe (Español -Ingles), artística, deportiva y ecológica en forma personalizada a los niños de nivel inicial yprimario, y obtener por el servicio un beneficio monetario acorde a las ofertas educativa quebrinda la Institución (según si el inscripto participa de escolaridad simple o doble)· Incrementar cada año el número de inscriptos para obtener mayor rentabilidad y ampliarla comunidad educativa.· Transmitir a la comunidad en general el perfil institucional y los beneficios que los alumnosobtienen por una educación personalizada.Departamento de administración de personal: Comprende todo lo relacionado con el desarrollo yadministración de políticas y programas que provean una estructura organizativa eficiente,empleados calificados, tratamiento equitativo, oportunidades de progreso, satisfacción en eltrabajo y adecuada seguridad de empleo.Depende de la Gerencia de Administración.Políticas y estrategias del Departamento de Administración de personalPolíticasEstrategiasPara con elPersonalObjetivo: perfeccionar al personal con el perfil InstitucionalSeleccionar docentes que respondan a los requerimientos del proyecto educativo institucionalRealizar durante la selección de personal talleres de capacitación y evaluación de inteligenciaemocional y desarrollo de la persona.Seleccionar docentes con muy buenas referenciasLos docentes de asignaturas especiales (plástica, música, deportes, etc.) deben tenerexperiencias mínimas en mas de una escuela y estar abalados con referencias por escritoRespetar las decisiones personales de los docentes y no docentes.Antes de que un personal forme parte de la institución debe conocer y firmar las NormativasInstitucionales donde se especifican todas las medidas, deberes y derechos de todo el personaldocente y no docenteLa dirección general realiza periódicamente evaluaciones del rendimiento de trabajo individual ygrupal mediante entrevistas. (grupales y personales)EducativasObjetivo: Lograr una excelencia educativaBrindar una educación excelente y personalizadaConfeccionar un PEI (Proy. Educ. Inst.) con los objetivos que cubran las orientaciones Bilingüe,deportiva, ecológica y artística.Realizar periódicamente talleres de capacitación docente a nivel institucional donde se promuevela inteligencia emocional y el desarrollo personal.La Dirección académica debe evaluar constantemente el trabajo de los docentes y elevar losinformes a la dirección general.Funciones – Subfunsiones - Tareas:1-Realizar el reclutamiento: lograr que todos los puestos estén cubiertos por personal competenteque cubran el perfil institucional por un costo razonable.

a) Buscar los postulantes (docentes y no docentes)ü Análisis de las necesidades del cargoü Desarrollo de especificaciones de trabajo

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

ü Análisis de las fuentes de empleados potencialesü Atracción de los posibles postulantesb) Realizar el proceso de selección: Análisis de la capacidad de los aspirantes para decidircual tiene mayores posibilidades.ü Entrevistar los postulantesü Realizar talleres de Pruebas de inteligencia emocional.ü Evaluación de los postulantes en base a los resultados de los talleres.ü Confección y entrega de los diferentes tipos de contratos de trabajo (contratostemporales, a plazo fijo, contratos de prueba, pasantías, etc.)c) Instrucción y entrega de materiales: Entrenamiento, información y entrega de materialesnecesarios a los empleados contratados (o nuevos) para que cumplan sus obligacioneseficientemente.ü Orientación de los nuevos empleados mediante talleres de capacitación yentrega de documentación con las normativas (reglas con las que se rige la institución)ü Seguimiento de la actuación de los empleados (y empleados nuevostambién).ü Compra de materiales didácticos u otros servicios para entregar a losdocentes y así los mismos puedan dictar sus clases eficientemente.d) Despidos: Terminación legal de las relaciones con los empleados en la forma masbeneficiosa para ellos y el colegio.ü Realización de la entrevista de egresoü Análisis de las bajase) Determinar los servicios sociales para los empleados.ü Determinación de servicio médicos y otros para los empleados (y alumnos) que cubran laseguridad e integridad física del personal dentro de la organización.ü Prepara la documentación para la gestión de obras sociales del personal.2-Administrar sueldos y jornales: lograr que todos los empleados estén remunerados adecuada,equitativamente y en tiempo.a) Clasificar la posición, responsabilidades y requerimientos de los empleadosü Preparación de las normativas institucionales donde están las especificaciones de trabajoü Revisión periódica y corrección de las normativas.ü Fijar los valores monetarios de los puestos en forma justa y equitativa, respecto a otrospuestos en el colegio y a puestos similares en el mercado de trabajo.ü Efectuar los pagos correspondientes a los sueldos mensuales (el pago y entrega derecibos de sueldo se efectúa en la propia institución)b) Control de Horarios: Fijación de horas de trabajo y periodos de inasistencia con goce dehaberes o sin el, que sean justos tanto para el empleado como para el colegio.ü Planificación y administración de políticas sobre horarios de trabajos oinasistencias.ü Planificación y administración de planes de vacaciones.3- Promocionar las Relaciones institucionales: Asegurar que las relaciones de trabajo entre ladirección general y los empleados al igual que la satisfacción en el trabajo y oportunidad deprogreso del personal, sean desarrollados y mantenidos siguiendo los mejores intereses delcolegio y de los empleados. También su función es la de desarrollar proyectos de RelacionesInstitucionales con el medio externo (otras instituciones escolares, clubes, etc.)a) Realizar negociaciones colectivas: Lograr concordancia con las organizaciones deempleados reconocidas oficialmente y establecidas legalmente, de la manera que mejorcontemple los intereses de la escuela y los docentes.ü Negociación de conveniosü Interpretación y administración de estos

b) Controlar la disciplina del personalü Fijar reglas de conducta y disposiciones mediante las normativasinstitucionalesü Establecer y administrar las medidas disciplinarias con respecto ainasistencias injustificadas.c) Investigación de Personal:ü Investigación de referencias de trabajos anteriores.ü Confirmar las referencias y otras documentaciones a la administración

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

general.ü Investigar y verificar la documentación presentada por los empleados queluego conformaran el legajo de los mismos (DNI, títulos oficiales, registración en la Junta declasificaciones, etc.)5-Generar Informesü Confeccionar todos los informes mensuales, semestrales y anuales con lasestadísticas, resúmenes, etc. de las gestiones administrativas del personal.· Diagnóstico:De acuerdo con el Dominio “Planificación y Organización” y el Proceso “Administración deRecursos Humanos”, nosotros hemos desarrollado un análisis, donde identificamos con quenormas esta cumpliendo la organización y con cuales no, a partir de allí definiremos que es lo quela escuela debería hacer para cumplir con las normas COBIT.La organización ARCO IRIS SCHOOL, según nuestro parecer y de acuerdo a lo relevado,creemos que se ajusta bastante bien a las normas COBIT en cuanto al proceso en cuestión,puesto que la misma cumple con las siguientes actividades o tareas del mismo:Reclutamiento y Promoción personal, ya que la Dirección evalúa regularmente los procesosnecesarios para asegurar que las practicas de reclutamiento y promoción de personal tenganexcelentes resultados, considerando factores como la educación del personal, la experiencia y laresponsabilidad.Personal Calificado, puesto que se verifica que el personal que lleva tareas especificas estecapacitado y para ello se realizan Talleres Docentes.Entrenamiento de Personal, ya que en cuanto ingresa el personal y durante su permanencia en elestablecimiento tiene a su disposición toda la información que necesite, así como también lapermanente capacitación. Aunque es importante destacar que no hay un manual de Funciones, nide Procedimientos, por lo cual los empleados pueden tener dudas con respecto a sus funciones.Evaluación de Desempeño de los Empleados, ya que el establecimiento implementa un procesode evaluación de desempeño de los empleados y asesora a los mismos sobre su desempeño oconducta de manera apropiada. Aunque las evaluaciones de rendimiento no están definidasformalmente y por ende se puede llegar a tener problemas por la subjetividad de la persona queesta evaluando el desempeño.Cambios de puestos y Despidos, puesto que cuando se toman tales acciones se trata de que seanoportunas y apropiadas, de tal manera que los controles internos y la seguridad no se veanperjudicados por estos eventos.s importante destacar que ARCO IRIS SCHOOL tienes dificultados en cuanto a:Respaldo de Personal, puesto que no cuenta con suficiente personal de respaldo para solucionarposibles ausencias. Tampoco el personal encargado de puestos delicados como ser el Tesorerotoma vacaciones interrumpidas con duración suficiente como para probar la habilidad de laorganización para manejar casos de ausencia y detectar actividades fraudulentas.Procedimientos de Acreditación de Personal, puesto que las investigaciones de seguridadasociada a la contratación no son llevadas a cabo.· Conclusiones:Por lo tanto, podemos especificar que para que la escuela cumpla con las normas COBIT encuanto al proceso “Administración de Recursos Humanos” deberá:· Realizar manuales de funciones, de manera que estén definidos todos los puestos detrabajo y sus correspondientes funciones.· Realizar manuales de Procedimientos, de manera que los empleados puedan identificarcuales son las tareas que deben realizar de acuerdo a su puesto y funciones.· Establecer Procedimientos de Acreditación, ya que de lo contrario se pueden tener seriosproblemas por no haber realizado correctamente las investigaciones de seguridad.· Proporcionar un entrenamiento “cruzado” de manera de tener personal de respaldo con lafinalidad de solucionar posibles ausencias, ya que la escuela no puede contar con suficientepersonal por su economía actual.· Definir y publicar formalmente las evaluaciones de rendimiento, de manera de aplicarlas ala hora de hacer la evaluación de desempeño para evitar problemas con el personal docente y nodocente.

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

8. Apéndice ICOBIT como Producto, incluye:§ Resumen Ejecutivo: es un documento dirigido a la alta gerencia presentando los antecedentes y laestructura básica de COBIT Además, describe de manera general los procesos, los recursos y los criteriosde información, los cuales conforman la “Columna Vertebral” de COBIT.§ Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo ypresenta las guías de navegación para que los lectores se orienten en la exploración del material deCOBIT haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios.§ Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como enel marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.En total se describen 302 objetivos de control detallados (de 3 a 30 objetivos por cada uno de losprocesos)§ Guías de Auditoria: Se hace una presentación del proceso de auditoria generalmente aceptado(relevamiento de información, evaluación de control, evaluación de cumplimiento y evidenciación de losriesgos).Este documento incluye guías detalladas para auditar cada uno de los 34 procesos teniendo en cuenta los302 objetivos de control detallados.§ Guías de Administración: Se enfoca de manera similar a los otros productos e integra losprincipios del Balance Business Scorecard.Para ayudar a determinar cuales son los adecuados niveles de seguridad y control integra los conceptosde:–Modelo de madurez CMM (prácticas de Control)–Indicadores claves de Desempeño de los procesos de TI–Factores Críticos de Éxito a tener en cuenta para mantener bajo control los procesos de TI.§ Guías Gerenciales: Incluidas en la Tercera Edición, las mismas proveen modelos de madurez,factores críticos de éxito, indicadores claves de objetivos e indicadores claves de desempeño para los 34procesos de TI de COBIT. Estas guías proveen a la gerencia herramientas que permiten la autoevaluación y poder seleccionar opciones para implementación de controles y mejoras sobre la informacióny la tecnología relacionada. Las guías fueron desarrolladas por un panel de 40 expertos en seguridad ycontrol, profesionales de administración de TI y de administración de desempeño, analistas de la industriay académicos de todo el mundo.§ Herramientas de implementación: Muestra algunas de las lecciones aprendidas por aquellasorganizaciones que han aplicado COBIT e incluye una guía de implementación con dos herramientas:Diagnóstico de conciencia Administrativa y Diagnóstico de Control en TIComo con cualquier investigación amplia e innovadora, COBIT será actualizado cada tres años. Estoasegurara que el modelo y la estructura permanezcan vigentes. La validación también permite asegurarque los 41 materiales de referencia primarios no hayan cambiado, y, si hubieran cambiado, reflejas eso enel documento

9. Apéndice IIRelaciones de Objetivo de Control, Dominios, Procesos y Objetivos de Control

PLANEACIÓN Y ORGANIZACIÓN1.0 Definición de un Plan Estratégico deTecnología de Información1.1 Tecnología de Información como parte delPlan de la Organización a corto y largo plazo1.2 Plan a largo plazo de Tecnología deInformación1.3 Plan a largo plazo de Tecnología deInformación - Enfoque y Estructura1.4 Cambios al Plan a largo plazo deTecnología de Información1.5 Planeación a corto plazo para la función deServicios de Información1.6 Evaluación de sistemas existentes2.0 Definición de la Arquitectura de Información2.1 Modelo de la Arquitectura de Información2.2 Diccionario de Datos y Reglas de cinta de

4.15 Relaciones5.0 Manejo de la Inversión en Tecnología deInformación5.1 Presupuesto Operativo Anual para laFunción de Servicio de información5.2 Monitoreo de Costo - Beneficio5.3 Justificación de Costo - Beneficio6.0 Comunicación de la dirección yaspiraciones de la gerencia6.1 Ambiente positivo de control de lainformación6.2 Responsabilidad de la Gerencia en cuantoa Políticas6.3 Comunicación de las Políticas de laOrganización6.4 Recursos para la implementación dePolíticas

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

datos de la corporación2.3 Esquema de Clasificación de Datos2.4 Niveles de Seguridad3.0 Determinación de la dirección tecnológica3.1 Planeación de la InfraestructuraTecnológica3.2 Monitoreo de Tendencias y RegulacionesFuturas3.3 Contingencias en la InfraestructuraTecnológica3.4 Planes de Adquisición de Hardware ySoftware3.5 Estándares de Tecnología4.0 Definición de la Organización y de lasRelaciones de TI4.1 Comité de planeación o dirección de lafunción de servicios de información4.2 Ubicación de los servicios de informaciónen la organización4.3 Revisión de Logros Organizacionales4.4 Funciones y Responsabilidades4.5 Responsabilidad del aseguramiento decalidad4.6 Responsabilidad de la seguridad lógica yfísica4.7 Propiedad y Custodia4.8 Propiedad de Datos y Sistemas4.9 Supervisión4.10 Segregación de Funciones4.11 Asignación de Personal para Tecnologíade Información4.12 Descripción de Puestos para el Personalde la Función de TI4.13 Personal clave de TI4.14 Procedimientos para personal por contrato

6.5 Mantenimiento de Políticas6.6 Cumplimiento de Políticas, Procedimientosy Estándares6.7 Compromiso con la Calidad6.8 Política sobre el Marco de Referencia parala Seguridad y el Control Interno6.9 Derechos de propiedad intelectual6.10 Políticas Específicas6.11 Comunicación de Conciencia deSeguridad en TI7.0 Administración de Recursos Humanos7.1 Reclutamiento y Promoción de Personal7.2 Personal Calificado7.3 Entrenamiento de Personal7.4 Entrenamiento Cruzado o Respaldo dePersonal7.5 Procedimientos de Acreditación dePersonal7.6 Evaluación de Desempeño de losEmpleados7.7 Cambios de Puesto y Despidos8.0 Aseguramiento del Cumplimiento deRequerimientos Externos8.1 Revisión de Requerimientos Externos8.2 Prácticas y Procedimientos para elCumplimiento de Requerimientos Externos8.3 Cumplimiento de los Estándares deSeguridad y Ergonomía8.4 Privacidad, Propiedad Intelectual y Flujo deDatos8.5 Comercio Electrónico8.6 Cumplimiento con Contratos de Seguros9.0 Evaluación de Riesgos9.1 Evaluación de Riesgos del Negocio9.2 Enfoque de Evaluación de Riesgos9.3 Identificación de Riesgos9.4 Medición de Riesgos9.5 Plan de Acción contra Riesgos

9.6 Aceptación de Riesgos10.0 Administración de proyectos10.1 Marco de Referencia para laAdministración de Proyectos10.2 Participación del Departamento Usuarioen la Iniciación de Proyectos10.3 Miembros y Responsabilidades del Equipodel Proyecto10.4 Definición del Proyecto10.5 Aprobación del Proyecto10.6 Aprobación de las Fases del Proyecto10.7 Plan Maestro del Proyecto10.8 Plan de Aseguramiento de la Calidad deSistemas10.9 Planeación de Métodos de Aseguramiento10.10 Administración Formal de Riesgos deProyectos10.11 Plan de Prueba10.12 Plan de Entrenamiento10.13 Plan de Revisión Post Implementación11.0 Administración de Calidad

ADQUISICIÓN E IMPLEMENTACIÓN1.0 Identificación de Soluciones1.1 Definición de Requerimientos deInformación1.2 Formulación de Acciones Alternativas1.3 Formulación de Estrategias de Adquisición.1.4 Requerimientos de Servicios de Terceros1.5 Estudio de Factibilidad Tecnológica1.6 Estudio de Factibilidad Económica1.7 Arquitectura de Información1.8 Reporte de Análisis de Riesgos1.9 Controles de Seguridad Económicos1.10 Diseño de Pistas de Auditoría1.11 Ergonomía1.12 Selección de Software de Sistema1.13 Control de Abastecimiento1.14 Adquisición de Productos de Software1.15 Mantenimiento de Software de TercerasPartes1.16 Contratos de Programación deAplicaciones

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

11.1 Plan General de Calidad11.2 Enfoque de Aseguramiento de Calidad11.3 Planeación del Aseguramiento de Calidad11.4 Revisión de Aseguramiento de Calidadsobre el Cumplimiento de Estándares yProcedimientos de la Función de Servicios deInformación11.5 Metodología del Ciclo de Vida deDesarrollo de Sistemas11.6 Metodología del Ciclo de Vida deDesarrollo de Sistemas para Cambios Mayoresa la Tecnología Actual11.7 Actualización de la Metodología del Ciclode Vida de Desarrollo de Sistemas11.8 Coordinación y Comunicación11.9 Marco de Referencia de Adquisición yMantenimiento para la Infraestructura deTecnología11.10 Relaciones con Terceras Partes comoImplementadores11.11 Estándares para la Documentación deProgramas11.12 Estándares para Pruebas de Programas11.13 Estándares para Pruebas de Sistemas11.14 Pruebas Piloto/En Paralelo11.15 Documentación de las Pruebas delSistema11.16 Evaluación del Aseguramiento de laCalidad sobre el Cumplimiento de Estándar deDesarrollo11.17 Revisión del Aseguramiento de Calidadsobre el Logro de los Objetivos de la Funciónde Servicios de Información11.18 Métricas de Calidad11.19 Reportes de Revisiones deAseguramiento de la Calidad

1.17 Aceptación de Instalaciones1.18 Aceptación de Tecnología2.0 Adquisición y Mantenimiento de Software deAplicación2.1 Métodos de Diseño2.2 Cambios Significativos a Sistemas Actuales2.3 Aprobación del Diseño2.4 Definición y Documentación deRequerimientos de Archivos2.5 Especificaciones de Programas2.6 Diseño para la Recopilación de DatosFuente2.7 Definición y Documentación deRequerimientos de Entrada de Datos2.8 Definición de Interfases2.9 Interfases Usuario-Máquina2.10 Definición y Documentación deRequerimientos de Procesamiento2.11 Definición y Documentación deRequerimientos de Salida de Datos2.12 Controlabilidad2.13 Disponibilidad como Factor Clave deDiseño2.14 Estipulación de Integridad de TI enprogramas de software de aplicaciones2.15 Pruebas de Software de Aplicación2.16 Materiales de Consulta y Soporte paraUsuario2.17 Reevaluación del Diseño del Sistema3.0 Adquisición y Mantenimiento deArquitectura de Tecnología3.1 Evaluación de Nuevo Hardware y Software3.2 Mantenimiento Preventivo para Hardware3.3 Seguridad del Software del Sistema3.4 Instalación del Software del Sistema3.5 Mantenimiento del Software del Sistema3.6 Controles para Cambios del Sofware delSistema

4.0 Desarrollo y Mantenimiento deProcedimientos relacionados con Tecnologíade Información4.1 Futuros Requerimientos y Niveles deServicios Operacionales4.2 Manual de Procedimientos para Usuario4.3 Manual de Operación4.4 Material de Entrenamiento5.0 Instalación y Acreditación de Sistemas5.1 Entrenamiento5.2 Adecuación del Desempeño del Softwarede Aplicación5.3 Conversión5.4 Pruebas de Cambios5.5 Criterios y Desempeño de Pruebas enParalelo/Piloto5.6 Prueba de Aceptación Final5.7 Pruebas y Acreditación de Seguridad5.8 Prueba Operacional5.9 Promoción a Producción 5.10 Evaluaciónde la Satisfacción de los Requerimientos del

3.2 Plan de Disponibilidad3.3 Monitoreo y Reporte3.4 Herramientas de Modelado3.5 Manejo de Desempeño Proactivo3.6 Pronóstico de Carga de Trabajo3.7 Administración de Capacidad de Recursos3.8 Disponibilidad de Recursos3.9 Calendarización de recursos4.0 Aseguramiento de Servicio Continuo4.1 Marco de Referencia de Continuidad deTecnología de Información4.2 Estrategia y Filosofía de Continuidad deTecnología de Información4.3 Contenido del Plan de Continuidad deTecnología de Información4.4 Minimización de requerimientos deContinuidad de Tecnología de Información4.5 Mantenimiento del Plan de Continuidad deTecnología de Información4.6 Pruebas del Plan de Continuidad deTecnología de Información

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

Usuario5.11Revisión Gerencial Post - Implementación6.0 Administración de Cambios6.1 Inicio y Control de Requisiciones deCambio6.2 Evaluación del Impacto6.3 Control de Cambios6.4 Documentación y Procedimientos6.5 Mantenimiento Autorizado6.6 Política de Liberación de Software6.7 Distribución de Software

ENTREGA DE SERVICIOS Y SOPORTE1.0 Definición de Niveles de Servicio1.1 Marco de Referencia para el Convenio deNivel de Servicio1.2 Aspectos sobre los Acuerdos de Nivel deServicio1.3 Procedimientos de Ejecución1.4 Monitoreo y Reporte1.5 Revisión de Convenios y Contratos deNivel de Servicio1.6 Elementos sujetos a Cargo1.7 Programa de Mejoramiento del Servicio2.0 Administración de Servicios prestados porTerceros2.1 Interfases con Proveedores2.2 Relaciones de Dueños2.3 Contratos con Terceros2.4 Calificaciones de terceros2.5 Contratos con Outsourcing2.6 Continuidad de Servicios2.7 Relaciones de Seguridad2.8 Monitoreo3.0 Administración de Desempeño y Capacidad3.1 Requerimientos de Disponibilidad yDesempeño

4.7 Capacitación sobre el Plan de Continuidadde Tecnología de Información4.8 Distribución del Plan de Continuidad deTecnología de Información4.9 Procedimientos de Respaldo deProcesamiento para Departamentos Usuarios4.10 Recursos críticos de Tecnología deInformación4.11 Centro de Cómputo y Hardware derespaldo4.12 Procedimientos de Refinamiento del Plande Continuidad de TI5.0 Garantizar la Seguridad de Sistemas5.1 Administrar Medidas de Seguridad5.2 Identificación, Autenticación y Acceso5.3 Seguridad de Acceso a Datos en Línea5.4 Administración de Cuentas de Usuario5.5 Revisión Gerencial de Cuentas de Usuario5.6 Control de Usuarios sobre Cuentas deUsuario5.7 Vigilancia de Seguridad5.8 Clasificación de Datos5.9 Administración Centralizada deIdentificación y Derechos de Acceso5.10 Reportes de Violación y de Actividades deSeguridad5.11 Manejo de Incidentes5.12 Re-acreditación5.13 Confianza en Contrapartes5.14 Autorización de Transacciones5.15 No Rechazo5.16 Sendero Seguro5.17 Protección de funciones de seguridad5.18 Administración de Llave Criptográfica5.19 Prevención, Detección y Corrección deSoftware “Malicioso”5.20 Arquitecturas de FireWalls y conexión aredes públicas5.21 Protección de Valores Electrónicos

6.0 Identificación y Asignación de Costos6.1 Elementos Sujetos a Cargo6.2 Procedimientos de Costeo6.3 Procedimientos de Cargo y Facturación aUsuarios7.0 Educación y Entrenamiento de Usuarios7.1 Identificación de Necesidades deEntrenamiento7.2 Organización de Entrenamiento7.3 Entrenamiento sobre Principios yConciencia de Seguridad8.0 Apoyo y Asistencia a los Clientes deTecnología de Información8.1 Buró de Ayuda8.2 Registro de Preguntas del Usuario8.3 Escalamiento de Preguntas del Cliente8.4 Monitoreo de Atención a Clientes8.5 Análisis y Reporte de Tendencias9.0 Administración de la Configuración9.1 Registro de la Configuración

ser Desechada11.19 Administración de Almacenamiento11.20 Períodos de Retención y Términos deAlmacenamiento11.21 Sistema de Administración de la Libreríade Medios11.22 Responsabilidades de la Administraciónde la Librería de Mediosde proveedores externos de servicios11.23 Respaldo y Restauración11.24 Funciones de Respaldo11.25 Almacenamiento de Respaldo11.26 Archivo11.27 Protección de Mensajes Sensitivos11.28 Autenticación e Integridad11.29 Integridad de Transacciones Electrónicas11.30 Integridad Continua de DatosAlmacenados12.0 Administración de Instalaciones12.1 Seguridad Física

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

9.2 Base de la Configuración9.3 Registro de Estatus9.4 Control de la Configuración9.5 Software no Autorizado9.6 Almacenamiento de Software10.0 Administración de Problemas e Incidentes10.1 Sistema de Administración de Problemas10.2 Escalamiento de Problemas10.3 Seguimiento de Problemas y Pistas deAuditoría11.0 Administración de Datos11.1 Procedimientos de Preparación de Datos11.2 Procedimientos de Autorización deDocumentos Fuente11.3 Recopilación de Datos de DocumentosFuente11.4 Manejo de Errores de Documentos Fuente11.5 Retención de Documentos Fuente11.6 Procedimientos de Autorización deEntrada de Datos11.7 Chequeos de Exactitud, Suficiencia yAutorización11.8 Manejo de Errores en la Entrada de Datos11.9 Integridad de Procesamiento de Datos11.10 Validación y Edición de Procesamientode Datos11.11 Manejo de Error en el Procesamiento deDatos11.12 Manejo y Retención de Salida de Datos11.13 Distribución de Salida de Datos11.14 Balanceo y Conciliación de Datos deSalida11.15 Revisión de Salida de Datos y Manejo deErrores11.16 Provisiones de Seguridad para Reportesde Salida11.17 Protección de Información Sensibledurante transmisión y transporte11.18 Protección de Información Crítica ade los Servicios de TI3.4 Evaluación Independiente de la Efectividadde proveedores externos de servicios3.5 Aseguramiento Independiente delCumplimiento de leyes y requerimientosregulatorios y compromisos contractuales3.6 Aseguramiento Independiente delCumplimiento de leyes y requerimientosregulatorios y compromisos contractuales3.7 Competencia de la Función deAseguramiento Independiente3.8 Participación Proactiva de Auditoría4.0 Proveer Auditoría Independiente4.1 Estatutos de Auditoría4.2 Independencia4.3 Ética y Estándares Profesionales4.4 Competencia4.5 Planeación4.6 Desempeño del Trabajo de Auditoría4.7 Reporte

12.2 Discreción de las Instalaciones deTecnología de Información12.3 Escolta de Visitantes12.4 Salud y Seguridad del Personal12.5 Protección contra Factores Ambientales12.6 Suministro Ininterrumpido de Energía13.0 Administración de Operaciones13.1 Manual de procedimientos de Operación eInstrucciones13.2 Documentación del Proceso de Inicio y deOtras Operaciones13.3 Calendarización de Trabajos13.4 Salidas de la Calendarización de TrabajosEstándar13.5 Continuidad de Procesamiento13.6 Bitácoras de Operación13.7 Operaciones Remotas

MONITOREO1.0 Monitoreo del Proceso1.1 Recolección de Datos de Monitoreo1.2 Evaluación de Desempeño1.3 Evaluación de la Satisfacción de Clientes1.4 Reportes Gerenciales2.0 Evaluar lo adecuado del Control Interno2.1 Monitoreo de Control Interno2.2 Operación oportuna del Control Interno2.3 Reporte sobre el Nivel de Control Interno2.4 Seguridad de operación y aseguramientode Control Interno3.0 Obtención de AseguramientoIndependiente3.1 Certificación / Acreditación Independientede Control y Seguridad de los servicios de TI3.2 Certificación / Acreditación Independientede Control y Seguridad de proveedoresexternos de servicios3.3 Evaluación Independiente de la Efectividad

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com

4.8 Actividades de Seguimiento

Trabajo enviado por:Ivana Soledad Rojas Córsicoivanasrojas@hotmail.comEstudiante del 5to. Año de la Carrera Ingeniería en Sistemas, Universidad Tecnológica Nacional (RegionalCórdoba)Tema: Auditoría de Sistemas de Información

Click h

ere to

buy

ABB

YY PDF Transformer 2.0

www.ABBYY.comClic

k here

to buy

ABB

YY PDF Transformer 2.0

www.ABBYY.com