Implementacion de Cobit

UNIVERSIDAD NACIONAL DE SAN AGUSTIN DE
AREQUIPA
FACULTAD DE CIENCIAS CONTABLES Y
FINANCIERAS
ESCUELA DE POST GRADO
MAESTRIA EN AUDITORIA Y GESTION TRIBUTARIA
CURSO: AUDITORIA DE SISTEMAS DE INFORMACION

DOCENTE: CPC JUAN SANTIAGO ZAMATA MACHACA
IMPLEMENTACIN DE COBIT EN UNA EMPRESA DE

LABORATORIO FOTOGRFICO PRESTONS SA
HECHO POR:
LILIA LOURDES ALVAREZ QUIROZ
PERCY PACHECO VELASQUEZ
AREQUIPA - 2014
CONTENIDO
1. Introduccin.
1.1 Objetivos:
- Principal
- Especifico
1.2 Base Legal
1.3 Estructura organizacional
2. Entendimiento del Negocio.
3.1. Informacin Institucional.
3.2. Marco Operativo.
3.3. Informacin del Ambiente de Sistemas.
3.3.1. Catlogo de Aplicaciones.
3.3.2. Recursos Humanos Centro de Cmputo.
3.3.3. Recursos Tecnolgicos.
3.3.4. Comunicacin y transferencia de Informacin a
travs de la organizacin.
3.3.5. Estrategia.
4. Modelo de mejores prcticas utilizado: COBIT
5. Propuesta metodolgica para el diseo del SGSI de PRESTONS SA.
6. Modelo de madurez de los 7 procesos de Seguridad de Informacin.
6.1. PO9.- Evaluar los Riesgos.
6.2. PO11.- Administrar Calidad.
6.3. A16.- Administrar Cambios.
6.4. DS4 .- Asegurar el Servicio Continuo.
6.5. DS5 .- Garantizar la Seguridad de los Sistemas.
6.6. DS11 .- Administrar los Datos.
6.7. DS12 .- Administrar Instalaciones.
7. La evaluacin de riesgos de los 105 objetivos de control.
7.1. Administracin de Riesgos.
7.2. Proceso de administracin de Riesgos.
6.2.1. Establecer Marco General.
6.2.2. Identificar Riesgos.
6.2.3. Anlisis de Riesgos.
6.2.4. Evaluar y Priorizar Riesgos.
6.2.5. Controles existentes para los riesgos de ms alta exposicin.
6.2.6. Tratamiento del Riesgo.
8. Plan de Accin.
9. Beneficios.
INTRODUCCIN
Laboratorios Fotogrficos PRESTONS SA es una empresa que naci en la

ciudad de Per hace 35 aos gracias a la iniciativa y visin de los seores
Luis Orrantia G. y Enrique Martinez Q., Presidente y Gerente General de
fotograst. de aquel entonces, quienes decidieron crear una empresa
dedicada a la venta y procesamiento de las pelculas en blanco y negro, bajo
la razn social de PRESTONS SA Laboratorios Fotogrficos.
Desde el ao 2000, los laboratorios fueron ampliando sus servicios bajo la
supervisin de Galo Vinueza, viejo amante de la fotografa y uno de los
artfices del desarrollo fotogrfico del Per.
En 2008 PRESTONS SA ya contaba con un moderno laboratorio de
revelado a color en Per, que fue viendo superada su capacidad de
produccin por la creciente demanda, por lo que se decidi abrir un nuevo
laboratorio. En Marzo de 2009, bajo la supervisin del Ing. Antonio Tobar C.,
se inaugur uno de los ms modernos laboratorios centrales de Sud Amrica
en la ciudad de Guayaquil.
Pocos aos despus, se inici a la apertura de punto de revelado satelitales,
equipados con mini laboratorios que ofrecan el servicio de revelado en
pocas horas. Hoy se cuenta con 106 mini laboratorios instalados en las
principales ciudades del pas, atendiendo directamente a
sus clientes
locales, ofrecindoles productos e innumerables servicios fotogrficos y
digitales de primersima calidad.
PRESTONS SA se dedica en la actualidad a la captura, reproduccin,
conservacin y comunicacin de imgenes que son los ms preciados
recuerdos y sentimientos del ser humano.
Gracias a la utilizacin de tecnologa de punta a la experiencia de su
recurso humano y a la capacitacin continua, ha logrado colocarse como
lder en la comercializacin y distribucin de productos y servicios
fotogrficos.
Sus ms de 500 colaboradores son el fundamento de la empresa y con
orientacin total hacia la excelencia que les permite dar un eficiente servicio
a todos sus clientes en el pas.
OBJETIVOS:
OBJETIVO PRINCIPAL.
Supervivencia y crecimiento del negocio.
Obtencin de utilidades.
Imagen y prestigio.
Satisfaccin de necesidades colectivas.
OBJETIVO ESPECIFICO.
La actividad principal es de Laboratorios Fotogrficos de acuerdo a la
clasificacin Industrial Internacional Uniforme de todas las Actividades
Econmicas (Revisin III). 22214 actividades de impresin.
c.
BASE LEGAL.
Constitucin Poltica del Per de 1993.
Ley General de Sociedades Ley N 26887.
Escritura Pblica de Constitucin.
d.
ESTRUCTURA ORGANIZACIONAL.
1.
JUNTA GENERAL DE SOCIOS.
La Junta General de socios est conformado por toda las personas que
conforman la empresa PRESTON'S SA quienes son los encargados en velar las
actividades y sus resultados administrativos y econmicos de la organizacin.
2.
GERENCIA.
El Gerente es el encargado de la administracin de la sociedad, la cual es
designada por la junta general de socios, quien representa en todos los
asuntos relativos a su objeto.
El gerente goza de las facultades generales y especiales de representacin
procesal por el slo mrito de su nombramiento.
3.
SECRETARIA.
La divisin de secretaria es la encargada de suministrar informacin todo lo
referente sobre los departamentos, recepcin de documentos que estos
lleguen a la empresa y tener actualizada la agenda.
4.
DIVISIN DE CONTABILIDAD.
La responsabilidad es efectuar el anlisis y registro de las operaciones
financieras sustentadas con documentos contables en los libros y registros
auxiliares de contabilidad.
Es el encargado de contribuir en la administracin de la empresa, alcanzando
informacin de manera adecuada, eficiente, oportuna de los resultados
econmicos de la sociedad.
5.
DEPARTAMENTO DE COMPRAS.
Obtener mercaderas y servicios en cantidad y con calidad necesarias
Obtener mercaderas al menor costo
Garantizar el mejor servicio posible y pronta entrega por parte del

proveedor.
Desarrollar y mantener buenas relaciones con los proveedores y

desarrollar proveedores potenciales.
6.
DEPARTAMENTO DE VENTAS.
Su principal funcin de esta rea es sobre la comercializacin de los productos
que ofrece la empresa en el ramo de su actividad principal, efectuando
cotizaciones, colocacin de productos en el mercado local y departamental y

as cumplir con las tareas de cobranza a los clientes de los crditos
concedidos.
7.
DEPARTAMENTO DE PERSONAL.
rea encargado de los trabajadores de la organizacin, con el propsito
verificar el cumplimiento de metas y la capacitacin as como el cumplimiento
en el aspecto remunerativo y los beneficios sociales.
MISION
Lograr la satisfaccin de las necesidades de los clientes y usuarios,
mediante la entrega de Excelencia en la Calidad de Productos y
Servicios dentro de la industria de imgenes.
Nuestro compromiso con nuestros colaboradores es proveerlos de
oportunidades para su desarrollo y crecimiento, remunerndolos mejor
que el mercado en base a resultados, e incrementando su patrimonio y
bienestar a largo plazo, creando en ellos un recurso valioso.
Nuestro compromiso con nuestros socios comerciales es el de proveerlos
de una plataforma para sus desarrollo sostenido, mediante nuestro
crecimiento en ventas y rentabilidad.
Nuestra responsabilidad con la sociedad y las comunidades en las que
operamos , es la de contribuir a su progreso y expectativas para el
futuro, y prestar nuestro apoyo para eventos deportivos, culturales y de
entretenimiento, que lleven felicidad a sus vidas.
Entregar a los accionistas el mayor rendimiento a su
inversin.
VISION
Ser la empresa de mayor rentabilidad dentro de la industria de imgenes del
pas, con personal altamente calificado, motivado y profesional; sirviendo en
cada rea de la empresa y el mercado; con una participacin de mercado no
menor al 70%.
VALORES
El cliente es primero.
Honestidad y lealtad que asegure la integridad de la
empresa. Capacidad para enfrentar cambios y adaptarnos a
nuevas situaciones.
Educacin y aprendizaje constante para lograr la superacin personal y
profesional. Tenacidad y perseverancia para alcanzar nuestros objetivos.
Reconocimiento pblico y remuneracin econmica ante el buen
desempeo. Comunicacin abierta para promover el trabajo en
equipo.
Innovacin constante, iniciativa y creatividad para lograr productividad y
eficiencia.
Respeto a las personas, a la sociedad y al medio ambiente.
PRODUCTOS CLAVES
Cmaras
digitales
(KODAK,
PANASONIC,
NIKON) Rollos fotogrficos (KODAK)
Pilas
Accesorios para cmaras y productos relacionados.
SERVICIOS CLAVES
Ampliaciones.
Montajes.
Retoques
Copias.
LINEAS DE NEGOCIO
Distribucin.- Se encarga de la venta de mercadera y revelado al por
mayor. Los distribuidores tienen lneas de crdito, descuentos, y
promociones especiales.
Foto tiendas.- Se encarga de la venta de mercadera al por menor
y el revelado fotogrficos.
CLIENTES
Fotgrafos.- Clientes que se dedican a la fotografa profesional, tienen
descuentos y promociones especiales.
Distribuidores.- Clientes que estn autorizados a vender mercadera,
recibir trabajos de revelados y a facturarlos.
Aficionados.- Cliente que no se dedica a la fotografa como actividad
profesional.
MERCADO.PRESTONS SA est enfocado en 2 segmentos, la venta a travs de su
cadena de retail y la venta a distribuidores.
Los principales competidores de PRESTONS SA en el segmento de retail, son
Konica, Fuji, Fybeca, otros quedan servicio de revelado. En lo que
respecta a la distribucin de Kodak y Maxell, es la misma que la de la
marca a nivel internacional.
Actualmente la marca PRESTONS SA est catalogada como la numero uno
en cuanto al revelado fotogrfico y apunta a mantener esta posicin.
PRESTONS SA siempre est buscando la manera de incrementar su
volumen de ventas, lanzando promociones. Sin embargo las ventas estn
disminuyendo debido a cambios que estn surgiendo en el revelado
tradicional, siendo esta la principal fuente de sus ingresos.
MARKETING Y PROMOCIONES.Constantemente se estn lanzando promociones
apuntando: Incrementar el revelado digital.
Mantener el revelado tradicional.

Incrementar la venta de productos KODAK y MAXELL.
Actualmente se han adquirido Impresoras Termales, Digitales, y equipos
PICTURE Maker con el afn de soportar las diferentes promociones que son
lanzadas consecutivamente.
Tecnologa de Informacin.Existe un departamento de sistemas en Per y Guayaquil, parte de los
servicios de tecnologa son provisto por el centro de cmputo de
Comandato(Empresa del Grupo).
Entre los servicios tecnolgicos que son provisto por el centro de
cmputo de
Comandato
tenemos:
Correo Interno.
Acceso
al
Internet.
Interconexin a travs de micro-ondas con antenas de punto de
vista en las fototiendas que estn dentro de un almacn Comandato.
Administracin y soporte especializado de la red corporativa y
base de datos.
Existe un Gerente de Sistemas que es corporativo, los Jefes del Dpto. de
Informtica de
Per y Guayaquil estn subordinados a la Gerencia de Sistemas
corporativas.
3.2 MARCO OPERATIVO.VENTAS, TRMINOS Y DESCUENTOS.
La mercadera es recibida en las bodegas principales de
Guayaquil, y de esta distribuida al resto del pas.
Las listas de precios, son creadas, administradas, aprobadas
en la oficina principal.
Distribucin
Los precios de ventas para el rea de distribucin estn formalmente
definidos y aprobados por la alta gerencia.
Existe el concepto de mercadera dada a consignacin, pero con la
aprobacin de la gerencia general.
Los descuentos son previamente pactados con el cliente y
aprobados por la gerencia general cuando estn fuera de los lmites
preestablecidos.
Todas las ventas son a crdito.
Todas las lneas de crditos son aprobadas, revisadas y analizadas
para evitar la morosidad en la cartera.
COMPRAS DE INVENTARIO.Nuestros mayores proveedores son Eastman Kodak,

Maxell. La forma de costeo es por el mtodo de
promedio ponderado.
El inventario es un rubro bastante significativo en el balance
general de la institucin.
La Gerencia de Logstica, Gerencia de Mercadeo, Jefe de Produccin
trabajan en conjunto para monitorear el inventario, y mantener un
nivel adecuado a fin de satisfacer la demanda, por promociones y el
proceso de revelado fotogrfico.
Adicionalmente la Gerencia de
Logstica se encarga de
monitorear las importaciones, y de informar cualquier inconveniente
directamente con la gerencia.
CUENTAS POR PAGAR.La mayora de las compras son de mercadera para la venta y
materia prima para el proceso de revelado fotogrfico.
Existen contratos de arrendamientos por los locales que no son
propios y estn siendo usados por las fototiendas.
Existen prstamos bancarios, pero no son de gran impacto
en el estado financiero.
Existen prstamos entre compaas del grupo.
Todas los cuentas por pagar son aprobados y monitoreadas. Para la
aprobacin existe una poltica bien definido por montos de compra. La
informacin de las cuentas por porgar es semanalmente revisada e
informada a la gerencia.
SALDOS DE EFECTIVO
Todos los saldos en efectivo estn en la moneda local.
Transferencias importantes existen entre la administracin de
efectivos y las cuentas operacionales.
El flujo de efectivo es diariamente monitorizado por la Gerencia
Financiera. Las transferencias son aprobadas por la gerencia
general.
PROPIEDADES, PLANTA & EQUIPOS.Todas las propiedades, planta y equipos son de propiedad de la
compaa(no es leasing financiero).
La vida til de todos los activos se basan en estndares de la
industria y se deprecian por medio del mtodo de lnea recta.
Si existen gastos significativos por reparacin y mantenimiento.
Durante los ltimos 2 aos, se han hecho importante adquisiciones
en cuanto a equipos de revelado digital y termal.
3.3 INFORMACIN DEL AMBIENTE DE SISTEMA.
Los sistemas computacionales soportan todos los procesos del negocio,

pero existen fototiendas que llevan sus transacciones de una forma
manual debido a que el flujo de transacciones de la tienda y el flujo de
efectivo de la empresa no justifica su automatizacin.
La informacin crtica de los estados financieros es generada por los
sistemas computacionales.
El soporte y administracin de la infraestructura de redes, sistema
operativo, bases de datos es soportada por un tercero o por el centro de
computo de COMANDATO. (Empresa del grupo).
PRESTONS SA Laboratorio Fotogrfico S.A. tiene las siguientes
unidades de negocio: Venta en FotoTiendas.
Venta a distribuidores.
Los principales procesos del negocio
son: Ventas.
Mercadeo.
Produccin.
(Revelado
Fotogrfico) Logstica
Administracin y control de fototiendas.
Administracin de fondos y flujo de
efectivo.
3.3.1 CATALOGO DE APLICACIONES.

Aplicacin
Sistema de Rol de Pagos.
S.Operativo Base
de Procesos del Negocio que Transaccionalida
Datos
Soporta
d
Linux
PosgreSQL
Administracin y Rendicin de
MEDIA
ALTA
Cuentas.
SCO Unix
Informix
MEDIA ALTA
Cuentas.
Sistema Administrativo
Financiero.
(Contabilidad,
Cxc, Cxp)
Sistema de Administracin de SCO Unix
Inventario
Informix
Sistema de Facturacin a
SCO Unix
Distribuidores
Sistema de Compras Locales SCO Unix
Informix
Sistema de Importaciones
SCO Unix
Informix
Sistema de
Sistema de
Sistema de
Gerencial.
Sistema de
SCO Unix
W9x
SCO Unix
Informix
FoxPro 2.6
Informix
Control de Caja
Punto de Venta
Informacin
Ordenes de Pago. W2K
ALTA
MEDIA ALTA
MEDIA
Informix
SQLServer
Facturacin Distribuidores
Facturacin
Retail.
Administracin
de
Inventario Distribuidores
Facturacin
Administracin de Inventario
Adquisiciones
Adquisiciones
Facturacin Retail.
Facturacin Retail.
Toma de decisiones Gerenciales
ALTA
Cuentas.
MEDIA
MEDIA BAJA
MEDIA
MEDIA
MEDIA ALTA
ALTA
BAJA
CATEGORIZACIN DE LA TRANSACCIONALIDAD DE LAS OPERACIONES.

Aproximadamente 200,000 Transacciones Mensuales
3.3.2 RECURSO HUMANO CENTRO DE COMPUTO

CARGO
CANTIDAD
Gerente Nacional de Sistemas
1
Jefes Departamentales (Guayaquil y 2
Per)
Analista
Programadores (Guayaquil y 3
Per)
Help Desk(Guayaquil y Per)
2
ORGANIGRAMA DE Tecnologa de Informacin.
Ver anexo A4.
3.3.3 RECURSO TECNOLGICO
SOFTWARE.
SCO Unix Open Server 5.0
Linux RedHat Entreprise Server 3.x
Lotus Domino 5.x. Office
2000 profesional. Visual
Basic 6.0 Entreprise. JAVA
2 Standard Edition 1.4.
SQL Server 2000.
Informix Dynamic Server 9.x
HARDWARE.
Servidor Principal (S.O. Sco Unix, 2 procesadores XEON, 1 GB de memoria,
RAID
5, 4 fuentes redundantes, dispositivo de cinta magntica).
Proxy Server (S.O. Linux, procesador PENTIUM 4, 512 MB)
MAIL Server (S.O. Linux + Lotus Domino, procesador PENTIUM 4, 512
MB). Servidor de Desarrollo (S.O. Sco Unix, 1 procesadores XEON, 512
de memoria, dispositivo de cinta magntica).
240 PC en toda la organizacin.
RED.
Cableado estructurado categora
5 - 6. Red Inalmbrica.
BACKBONE
de
comunicaciones.
Conexin
dial-up con fototiendas.
3.3.4 COMUNICACIN Y TRANSFERENCIA DE INFORMACIN A NIVEL
DE LA ORGANIZACIN.Existen 2 centros de cmputos: Per y Guayaquil (Oficina Principal)
La interconexin a travs de Per y Guayaquil es a travs de
un enlace dedicado de 256 kbps, usado por toda la organizacin.

Los sistemas administrativos financieros y de produccin tienen bases
de datos separadas y ubicadas fsicamente tanto en Per como en
Guayaquil, a travs de un proceso nocturno se sincronizan las bases de
datos.
La interconexin y sincronizacin de datos entre las fototiendas y las
oficinas principales ocurre una vez al da a travs de un enlace
telefnico.
3.3.5 ESTRATEGIA.
Tecnologa de Informacin tiene entre sus principales proyectos:
El soporte para la seleccin de un nuevo sistema de punto de
venta a nivel nacional que permita a la empresa soportar las
nuevas estrategias de negocio de la organizacin.
La interconexin del 20% de sus fototiendas a nivela nacional
para poder soportar la nueva lnea de negocios y formas de
negociacin.
Cambios en Sistemas.
PRESTONS
venta por
estrategias
de la base
matriz.
SA esta considerando cambiar su sistema de punto de

exigencias del S.R.I, y por requerimientos de las nuevas
del negocio. Tambin existe un plan para la actualizacin
de datos y sistema operativos de los sistemas de la casa
4. MODELO DE MEJORES PRCTICAS UTILIZADO: COBIT

La Misin de CobiT:
Investigar, desarrollar, publicar y promover un conjunto de
objetivos de control en tecnologa de informacin con autoridad,
actualizados , de carcter internacional y aceptados generalmente
para el uso cotidiano de gerentes y auditores.
Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas

(COBIT), ayuda a satisfacer las mltiples necesidades de la Administracin
estableciendo un puente entre los riesgos del negocio, los controles
necesarios y los aspectos tcnicos. Provee buenas prcticas a travs de un
dominio y el marco referencial de los procesos y presenta actividades en una
estructura manejable y lgica. Las Buenas prcticas de COBIT rene el
consenso de expertos - quienes ayudarn a optimizar la inversin de la
informacin y proporcionarn un mecanismo de medicin que permitir
juzgar cuando las actividades van por el camino equivocado.
La Administracin debe asegurar que los sistemas de control interno o
el marco referencial estn funcionando y soportan los procesos del negocio y

debe tener claridad sobre la forma como cada actividad individual de control
satisface los requerimientos de informacin e impacta los recursos de TI.
El impacto sobre los recursos de TI son resaltados en el Marco de Referencia
de COBIT
junto con los requerimientos del negocio que deben ser
alcanzados:
eficiencia
efectividad
confidencialida
d
integridad
disponibilidad
cumplimiento y
confiabilidad de la informacin.
El control, que incluye polticas, estructuras, prcticas y procedimientos
organizacionales, es responsabilidad de la administracin. La administracin,
mediante este gobierno corporativo, debe asegurar que todos los individuos
involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u
operacin de sistemas de informacin acten con la debida diligencia.
Un Objetivo de Control en TI es una definicin del resultado o propsito
que se desea alcanzar implementando procedimientos de control especficos
dentro de una actividad de TI.
La orientacin al negocio es el tema principal de COBIT. Est diseado
no solo para ser utilizado por usuarios y auditores, sino que, lo ms
importante, esta diseado para ser utilizado por los propietarios de los
procesos de negocio como una gua clara y entendible. A medida que
ascendemos, las prcticas de negocio requieren de una mayor delegacin y
empoderamiento de los dueos de los procesos para que estos tengan total
responsabilidad de todos los aspectos relacionados con dichos procesos de
negocio. En particular, esto incluye el proporcionar controles adecuados.
El Marco de Referencia de COBIT proporciona, al propietario de procesos

de negocio, herramientas que facilitan el cumplimiento de esta
responsabilidad. El Marco de Referencia comienza con una premisa simple y
prctica:
Con el fin
necesita para
administrados
forma natural.
de proporcionar la informacin que la empresa

alcanzar sus objetivos, los recursos de TI deben ser
por un conjunto de procesos de TI agrupados en
El Marco de Referencia contina con un conjunto de 34 Objetivos de

Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados
en cuatro dominios:
1.
2.
3.
4.
Planeacin y Organizacin,
Adquisicin e Implementacin
Entrega de servicios y Soporte y
Monitoreo.
Esta estructura cubre todos los aspectos de informacin y de tecnologa que
la soporta. Administrando adecuadamente estos 34 Objetivos de Control de

alto nivel, el propietario de procesos de negocio podr asegurar que se
proporciona un sistema de control adecuado para el ambiente de tecnologa
de informacin.
El Marco de Referencia de COBIT provee adems una gua o lista de
verificacin para el Gobierno de TI. El Gobierno de TI proporciona las
estructuras que encadenan los procesos de TI, los recursos de TI y la
informacin con los objetivos y las estrategias de la empresa. El Gobierno
de TI integra de una forma ptima el desempeo de la Planeacin y
Organizacin, la Adquisicin e Implementacin, la Entrega de Servicios y
Soporte y el Monitoreo.
El Gobierno de TI facilita que la empresa obtenga total ventaja de su
informacin y as mismo maximiza sus beneficios, capitalizando sus
oportunidades y obteniendo ventaja competitiva
Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control
de alto nivel, existe una Gua o directriz de Auditora o de aseguramiento que
permite la revisin de los procesos de TI contra los 318 objetivos
detallados de control recomendados por CobiT para proporcionar a la
Gerencia la certeza de su cumplimiento y/o sugerencias para su
mejoramiento.
Las Guas o Directrices Gerenciales de COBIT , desarrolladas recientemente,
ayudan a la Gerencia a cumplir de una forma mas efectiva con las
necesidades y requerimientos del Gobierno de TI. Las Directrices son acciones
genricas orientadas a proveer a la Administracin la direccin para mantener
bajo control la informacin de la empresa y sus procesos relacionados, para
monitorear el logro de las metas organizacionales, para monitorear el
desempeo de cada proceso de TI y para llevar a cabo un benchmarking de
los logros organizacionales.
Especficamente COBIT provee Modelos de Madurez para el control sobre
los procesos de TI de tal forma que la Administracin puede ubicarse en el
puntodonde la organizacin est hoy, donde est en relacin con los mejores
de su clase en su industria y con los estndares internacionales y as mismo
determinar adonde quiere llegar;
Factores Crticos de xito (Critical Success Factors), que definen o
determina cuales son las mas importantes directrices que deben ser
consideradas por la Administracin para lograr control sobre y dentro de los
procesos de TI.
Indicadores Claves del logro / Objetivos o de Resultados (Key Goal
Indicators) los cuales definen los mecanismos de medicin que indicarn a
la Gerenciadespus del hecho si un proceso de TI ha satisfecho los
requerimientos del negocio; y los
Indicadores Clave de desempeo (Key Performance Indicators) los
cuales son indicadoresprimarios que definen la medida para conocer qu tan
bien se est ejecutando el proceso de TI frente o comparado contra el objetivo
que se busca.
Las Directrices Gerenciales de COBIT son genricas y son
acciones orientadas al propsito de responder los siguientes
tipos de preguntas gerenciales: Qu tan lejos debemos ir y se
justifica el costo respecto al beneficio obtenido? Cules son
los indicadores de buen desempeo? Cules son los factores
crticos de xito? Cules son los riesgos de no lograr nuestros

objetivos? Qu hacen otros? Cmo nos podemos medir y
comparar
COBIT contiene adicionalmente un Conjunto de Herramientas de

Implementacin que proporciona lecciones aprendidas por empresas que
rpida y exitosamente aplicaron COBIT en sus ambientes de trabajo. Incluye
dos herramientas particularmente tiles - Diagnstico de Sensibilizacin
Gerencial (Management Awareness Diagnostic) y Diagnstico de Control en
TI (IT Control Diagnostic) - para proporcionar asistencia en el anlisis del
ambiente de control de TI en una organizacin.
En los prximos aos las Directivas de las Organizaciones necesitarn
demostrar que estn logrando incrementar sus niveles de seguridad y
control. COBIT es una herramienta que ayuda a los Directivos a colocar
un puente entre los requerimientos de control, los aspectos tcnicos y los
riesgos del negocio y adicionalmente informa a los accionistas o dueos de
la empresa el nivel de control alcanzado. COBIT habilita el desarrollo de
una poltica clara y de buenas prcticas de control de TI a travs de las
organizaciones, a nivel mundial.
Por lo tanto, COBIT est diseado para ser la herramienta de
gobierno de TI que ayude al entendimiento y a la administracin de
los riesgos as como de los beneficios asociados con la informacin
y sus tecnologas relacionadas.
5. PROPUESTA METODOLGICA PARA EL DISEO DEL SGSI DE

PRESTONS SA.
Existen dos clases distintas de modelos de control actualmente disponibles,
aqullos de la clase del modelo de control de negocios (por ejemplo
COSO) y los modelos ms enfocados a TI (por ejemplo, DTI). COBIT
intenta cubrir la brecha que existe entre los dos. Debido a esto, COBIT se
posiciona como una herramienta ms completa para la Administracin y
para operar a un nivel superior a los estndares de tecnologa para la
administracin de sistemas de informacin..
Por lo tanto, COBIT es el modelo para el
gobierno de TI!
El marco metodolgico conceptual para elaborar el diseo del Sistema de
Gestin de la Seguridad de PRESTONS SA Laboratorio Fotogrfico S.A.,
usando el modelo de mejores prcticas COBIT, fue el siguiente:
1. Definicin de los criterios de la Informacin
2.
Seleccionar los
criterios
de la
Informacin
que estn
relacionados con
Seguridad.
3. Seleccionar de los 34 procesos de COBIT, cuales son los procesos
que son impactados de manera primaria por los criterios de la
informacin relacionados con la seguridad.
4. Definir los Objetivos de Control detallados.
5. Aplicacin del modelo de madurez, para determinar un estado de
la situacin actual de la empresa y cuales son sus metas, en cuanto a
seguridad.
6. Realizar una evaluacin y priorizacion de riesgos.
7. Elaborar los planes de accin que incluyen los controles, para poder
mitigar los riesgos de alta y media exposicin.
DEFINICIONES GENERALES
Para propsitos de este proyecto, se proporcionan las siguientes
definiciones. La definicin de Control est adaptada del reporte COSO
[Committee of Sponsoring Organisations of the Treadway Commission.
Internal Control-Integrated Framework,
1992 y la definicin para Objetivo de Control de TI ha sido adaptada del
reporte SAC (Systems Auditability and Control Report, The Institute of
Internal Auditors Research Foundation, 1991 y 1994).
Control se define como.- Las polticas, procedimientos, prcticas y

estructuras organizacionales diseadas para garantizar razonablemente
que los objetivos del negocio sern alcanzados y que eventos no
deseables sern prevenidos o detectados y corregidos.
Objetivo de control en TI se define como.- Una sentencia del
resultado o propsito que se desea alcanzar implementando procedimientos
de control en una actividad de TI particular.
Gobierno de TI se define como.- Una estructura de relaciones y procesos

para dirigir y controlar la empresa con el fin de lograr sus objetivos al aadir valor
mientras se equilibran los riesgos contra el retorno sobre TI y sus procesos.
DEFINICIN DE LOS CRITERIOS DE LA INFORMACIN.
El concepto fundamental del Marco Referencial de COBIT se refiere a que el
enfoque del control en TI se lleva a cabo visualizando la informacin necesaria
para dar soporte a los procesos de negocio y considerando a la informacin como
el resultado de la aplicacin combinada de recursos relacionados con la Tecnologa
de Informacin que deben ser administrados por procesos de TI.
Para satisfacer los objetivos del negocio, la informacin necesita concordar con
ciertos criterios a los que COBIT hace referencia como requerimientos de negocio
para la informacin. Al establecer la lista de requerimientos, COBIT combina los
principios contenidos en los modelos referenciales existentes y conocidos:
Calidad
Costo
Entrega o Distribucin (de servicio)
Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin
Cumplimiento de leyes y regulaciones
Confidencialidad
Integridad
Disponibilidad
La Calidad ha sido considerada principalmente por su aspecto negativo

(ausencia de fallas, confiabilidad, etc.), lo cual tambin se encuentra
contenido en gran medida en los criterios de Integridad. Los aspectos
positivos, pero menos tangibles, de la calidad (estilo, atractivo, ver y
sentir, desempeo ms all de las expectativas, etc.) no fueron, por un
tiempo, considerados desde un punto de vista de Objetivos de Control de TI.
La premisa se refiere a que la primera prioridad deber estar dirigida al
manejo apropiado de los
riesgos
al
compararlos
contra las
oportunidades. El aspecto utilizable de la Calidad est cubierto por los
criterios de efectividad. Se consider que el aspecto de entrega o

distribucin del servicio, de la Calidad se traslapa con el aspecto de
disponibilidad correspondiente a los requerimientos de seguridad y tambin
en alguna medida, con la efectividad y la eficiencia. Finalmente, el Costo
tambin es considerado, siendo cubierto por la Eficiencia.
Para los requerimientos fiduciarios, COBIT no intent reinventar la rueda se
utilizaron las definiciones de COSO para la efectividad y eficiencia de las
operaciones, confiabilidad de informacin y cumplimiento con leyes y
regulaciones. Sin embargo, confiabilidad de informacin fue ampliada para
incluir toda la informacin no slo informacin financiera. Con respecto a
los aspectos de seguridad, COBIT identific la confidencialidad, integridad
y disponibilidad como los elementos clave se encontr que estos
mismos tres elementos son utilizados a nivel mundial para describir los
requerimientos de seguridad.
Comenzando el anlisis a partir de los requerimientos de Calidad,
Fiduciarios y de Seguridad
ms
amplios,
se
extrajeron
siete
categoras
distintas,
ciertamente superpuestas. A continuacin se
muestran las definiciones utilizadas por COBIT:
Informacin relevante sea pertinente para el proceso del
negocio, as
como a que su entrega sea oportuna, correcta, consistente y
de
manera utilizable.
Provisin
de informacin a travs de la utilizacin
Eficiencia
ptima (ms
productiva y econmica) de recursos.
Confidencialida Proteccin de informacin sensible contra divulgacin no
autorizada.
d
Efectividad
Precisin y suficiencia de la informacin, as como a su

validez de
acuerdo con los valores y expectativas del negocio.
Disponibilidad Disponibilidad de la informacin cuando sta es requerida por
el proceso
de negocio ahora y en el futuro. Tambin se refiere a la
salvaguarda
recursos
y capacidades
Cumplimiento de
de los
aquellas
leyes,necesarios
regulaciones
y acuerdos
Cumplimiento
contractuales a
los que el proceso de negocios est sujeto, por ejemplo
impuestos
externamente.
Provisin de
denegocio
informacin
apropiada
para la administracin con
Confiabilidad de criterios
la informacin el fin de
operar la entidad y para ejercer sus
responsabilidades
de reportes financieros y de cumplimiento.
Los recursos de TI identificados en COBIT pueden explicarse/ definirse
como se muestra a continuacin:
Integridad
Datos
Aplicaciones
Tecnologa
Los elementos de datos en su ms amplio sentido, (por ejemplo,

externos
e
y no estructurados,
sonido,
Seinternos),
entiendeestructurados
como sistemas
de aplicacingrficos,
la suma
de
procedimientos
manuales
y programados.
La
tecnologa
cubre hardware, software, sistemas operativos,
sistemas de
administracin de bases de datos, redes, multimedia, etc.
Recursos para alojar y dar soporte a los sistemas de

informacin.
Habilidades
del
personal,
conocimiento,
conciencia
y
Personas
productividad para
planear, organizar, adquirir, entregar, soportar y monitorear
servicios y sistemas de informacin.
El dinero o capital no fue considerado como un recurso de TI para la
clasificacin de los objetivos de control porque el dinero puede ser
considerado como una inversin dentro de cualquiera de los recursos
presentados. Adems debe anotarse que el Marco Referencial no se refiere
especficamente a la documentacin de todos los materiales relacionados
con un proceso de TI en particular. Como un aspecto de buenas prcticas,
la documentacin es considerada como un buen control, y por lo tanto la
falta de documentacin sera causa de una mayor revisin y anlisis de los
controles compensatorios en cualquier rea bajo revisin.
Instalaciones
Otra forma de ver la relacin de los recursos de TI con respecto a la entrega

de servicios se describe a continuacin:
CRITERIOS DE LA SEGURIDAD.Los criterios de la seguridad usados a nivel mundial por los modelos
de mejores prcticas y estndares son los siguientes:
Confidencialida Proteccin de informacin sensible contra divulgacin no
autorizada.
d
Precisin y suficiencia de la informacin, as como a su
Integridad
validez de
con losde
valores
y expectativas
delsta
negocio.
Disponibilidad
la informacin
cuando
es requerida por
Disponibilidad acuerdo
el proceso
de negocio ahora y en el futuro. Tambin se refiere a la
salvaguarda de los recursos necesarios y capacidades
25 /123
26 /123
DEFINICIN DE LOS OBJETIVOS DE CONTROL.

Despus de haber seleccionado los procesos que son afectados por los
criterios de informacin de Seguridad (Confidencialidad, Integridad y
Disponibilidad) de una manera primario, se obtienen los siguientes Objetivos
de Control detallados:
Con el fin de asegurar que los requerimientos del negocio para la

informacin se cumplan, es necesario definir, implementar y monitorear
adecuadas medidas de control sobre esos recursos. Cmo pueden entonces
las empresas estar satisfechas respecto a que la informacin obtenida
presente las caractersticas que necesitan? Es aqu donde se requiere de un
sano marco referencial de Objetivos de Control para TI. El siguiente
diagrama ilustra este concepto.
ARQUITECTURA
Objetivos
de
DE
Control
SEGURIDAD.Detallados
Especficos.PROCESO
PO9.- Evaluar Riesgo
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Eficiencia
Evaluacin de Riesgos del Efectividad
Confidencialida Cumplimiento
Negocio
Confiabilidad
Enfoque de Evaluacin de d
Integridad
Riesgos
Disponibilidad
Identificacin de Riesgos
Medicin de Riesgos
Plan
de
Accin
contra
Riesgos
Aceptacin de Riesgos
Seleccin de Garantas o
Protecciones
Compromiso
con
el
OBJETIVO DE CONTROL
DETALLADO
PO11.- Administracin de la
calidad
Efectividad
Plan General de Calidad.
Enfoque
de Eficiencia
Integridad
Aseguramiento de
Calidad.
Planeacin
del
Aseguramiento de
Calidad.
Revisin del Aseguramiento
de la Calidad sobre el
Cumplimiento
de
Estndares
y
Procedimientos de
TI.
Metodologa del Ciclo de
Vida de
Desarrollo de Sistemas
Vida
de
Desarrollo
de
Sistemas
para
Cambios
Mayores a la Tecnologa
Actual
Actualizacin
de
la
Vida
de
Desarrollo
de
Sistemas.
Coordinacin
y
Comunicacin. Marco
de
Referencia
de
Adquisicin
y
Mantenimiento
para
la
Infraestructura
de
Tecnologa.
Relaciones con Terceras
Partes
como
Implementadotes.
Estndares para la
Documentacin
de
Programas.
Estndares
para
Pruebas
de
Programas.
Estndares
para
Pruebas
de
Sistemas.
Pruebas Piloto/En Paralelo.
Documentacin
de
las
Confiabilidad
PROCESO
AI6.- Administrar cambios.
OBJETIVO DE CONTROL
DETALLADO
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Confiabilidad
de Efectividad
Eficiencia
Integridad
Inicio
y
Control
Solicitudes de
Cambio
Anlisis de Impacto
Control de Cambios
Cambios
de
Emergencia
Documentacin
y
Procedimientos
Mantenimiento Autorizado
DS4.- Asegurar el servicio
Marco de Referencia de Efectividad
continuo
Continuidad de Tecnologa Disponibilidad
de informacin
Estrategia y Filosofa del
Plan de
Continuidad de TI
Contenido del Plan de
Continuidad de TI.
Reduccin
de
requerimientos de
Continuidad
de
Tecnologa de
Informacin.
Mantenimiento del Plan
de
Continuidad
de
Tecnologa de Informacin.
Pruebas
del Plan de
Continuidad de TI.
Entrenamiento sobre el Plan
de
Continuidad
de
Distribucin del Plan de
Continuidad de TI.
Procedimientos de respaldo
de
procesamiento
alternativo
para
Departamentos usuarios.
Recursos
Crticos
de
Sitio
y
Hardware
de
Respaldo. Almacenamiento
de respaldo Medidas
en el sitio
DS5.- Garantizar la seguridad
Administrar
de Confidencialid
de los
Integrid
Seguridad.
sistemas.
Identificacin,
Autenticacin y
Acceso.
Seguridad de Acceso a
Datos en
Lnea.
Administracin
de
Cuentas de
Usuario.
Revisin Gerencial de
Cuentas de
Usuario.
Control de Usuarios sobre
Cuentas de Usuario.
Vigilancia de Seguridad.
Clasificacin
de
Datos.
Administracin
de
Derechos de Acceso
e
Identificacin
Eficiencia
Disponibilid
Cumplimiento
Confiabilidad
PROCESO
DS5.- Garantizar la seguridad

de los sistemas.
DS11.- Administracin de datos

Preparacin de
OBJETIVO DE CONTROL
DETALLADO
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Confidencialid
Reacreditacin.
ad
Confianza
en
Integridad
Contrapartes.
Autorizacin
de
transacciones.
No
negacin o no rechazo.
Sendero Seguro.
Proteccin
de
las
funciones de seguridad.
Administracin de
Llaves
Criptogrficas.
Prevencin, Deteccin y
Correccin
de
Software
Malicioso.
Arquitectura
de
Firewalls
y
conexin a redes pblicas.
Proteccin
de
Valores
Electrnicos.
Procedimientos
de
Datos
.
Procedimientos
de
Autorizacin
de
Documentos Fuente.
Recopilacin de Datos de
Documentos
Fuente.
Manejo de errores de
documentos fuente.
Retencin de Documentos
Fuente. Procedimientos de
Autorizacin de Entrada de
Datos.
Chequeos
de
Exactitud,
Suficiencia
y
Autorizacin.
Manejo de Errores en la
Entrada de Datos.
Integridad
de
Procesamiento de
Datos
.
Validacin y
Edicin de
Procesamiento de
Datos.
Manejo de Errores en el
Procesamiento de
Datos.
Manejo y Retencin de
Datos de
Salida
.
Distribucin de Datos
Salidos de los Procesos.
Balanceo y Conciliacin de
Datos de Salida.
Disponibilid
ad
Cumplimien
to
Confiabilida
d
Re
visi
n
de
Da
tos
de
Sal
ida
y
Manejo
de
Errores
.
Pro
visi
on
es
de
Se
gur
ida
d
par
a
Report
es de
Salida.
Pro
tec
ci
n
de
Inf
or
macin Sensible durante Integridad

transmisin y transporte.
Confiabilidad
Proteccin de
Informacin
Sensitiva
Desechada.
Administracin
de
Almacenamie
nto.
Perodos de Retencin y
Trminos
de
Almacenamiento.
DS11.datos
Administracin
DS12.-Administracin
instalaciones.
CRITERIOS DE
INFORMACIN
PRIMARIO
SECUNDARIO
Sistema de Administracin Integrid
Confiabilidad
de la
Librera de Medios
Responsabilidades de la
Administracin
de
la
Librera de Medios
Respaldo
(Back-up)
y
Restauracin
Funciones de Respaldo
Almacenamiento
de
Respaldos Archivo
Proteccin
de
Mensajes
Sensitivos Autenticacin e
Integridad
Integridad
de
Transacciones
Electrnicas
Seguridad Fsica
Discrecin
sobre
las Integridad
Instalaciones de Tecnologa Disponibilidad
de Informacin Escolta de
Visitantes
Salud y Seguridad del
Personal Proteccin contra
Factores
Ambientales
OBJETIVO DE CONTROL
DETALLADO
PROCESO
de
de
MODELO DE MADUREZ.El enfoque de los Modelos de Madurez para el control sobre los procesos de
TI consiste en desarrollar un mtodo de asignacin de puntos para que
una organizacin pueda calificarse desde Inexistente hasta optimizada (de
0 a 5). Este planteamiento se basa en el Modelo de Madurez que el
Software Engineering Institute defini para la madurez de la capacidad de
desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar
demasiado simplificadas, lo que hara que el sistema fuera difcil de usar y
sugerira una precisin que no es justificable.
En contraste, uno debe concentrarse en los niveles de madurez basndose
en un conjunto de condiciones que pueden ser satisfechas de una forma que
no sea ambigua. En comparacin con los niveles desarrollados para cada
uno de los 34 procesos de TI de COBIT, la administracin puede mapear:
La situacin actual de la organizacindnde est la organizacin
actualmente
La estrategia de la organizacin para mejoramientodnde quiere estar
la organizacin
El modelo de madurez aplicado a PRESTONS SA Laboratorio Fotogrfico
S.A. lo puede encontrar mas adelante en este documento.
EVALUACIN Y PRIORIZACION DE RIESGOS.Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe
dirigir y administrar las actividades de TI para alcanzar un balance efectivo
entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto,
la Gerencia necesita identificar las actividades mas importantes que deben
ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas
y determinando que tan bien se estn desarrollando los procesos de TI. Aun
mas, necesita tener la habilidad de avaluar el nivel de madurez de la
organizacin contra las mejores practicas industriales y los modelos
internacionales.
La
evaluacin y priorizacion de riesgos aplicado a PRESTONS SA
Laboratorio Fotogrfico
S.A. lo puede encontrar mas adelante en este
documento.
PLANES DE ACCIN.Los controles que se sugieren implementar para mitigar los riesgos
identificados en la fase de evaluacin y priorizacion de riesgos, as como
sus responsables y tiempos aproximados de implementacin se pueden
encontrar en los planes de accin.
Los planes de accin del Sistema de Seguridad de la Informacin aplicados
a PRESTONS SA
Laboratorio Fotogrfico S.A. lo puede encontrar mas adelante en este
documento.
6
MODELO DE MADUREZ
SEGURIDAD DE INFORMACIN
DE
LOS
PROCESOS
DE
A los gerentes generales de las organizaciones corporativas y pblicas

se les pide frecuentemente que consideren un caso de negocio para los
gastos de recursos para controlar la infraestructura de informacin.
Mientras pocos argumentaran que esto no es bueno, todos se deben
preguntar:
Hasta dnde debemos ir, y est el costo justificado por el
beneficio?
Para ayudar a responder esa pregunta, a menudo se hacen otras preguntas
relacionadas:
Qu estndares reconocidos internacionalmente existen, y cmo
estamos nosotros
situados respecto a
stos?
Qu estn haciendo
situados en relacin a
los
dems,
cmo
estamos
nosotros
ellos?
Qu est considerado como la mejor prctica de la industria,

y cmo estamos
nosotros situados en relacin con esa
mejor prctica?
Basados en estas comparaciones externas, podra decirse que
nosotros
estamos
tomando
precauciones
razonablespara
salvaguardar nuestros activos de informacin?
Usualmente ha sido difcil dar respuestas sensatas a estas preguntas,
porque no se ha contado con las herramientas requeridas para hacer las
evaluaciones necesarias.
La administracin de TI est constantemente en la bsqueda de
herramientas de referencia y de auto evaluacin en respuesta a la
necesidad de saber qu hacer en una forma eficiente. Comenzando con los
procesos de COBIT y con objetivos de control de alto nivel, el propietario del
proceso debe ser capaz de llevar a cabo cada vez mayores Benchmark en
comparacin con dicho objetivo de control. Esto satisface tres necesidades:
(1) una medida relativa de dnde est la organizacin
(2) una forma de decidir eficientemente dnde ir
(3) una herramienta para medir el progreso con respecto al objetivo
El Marco Referencial de COBIT define 34 procesos de TI dentro de un entorno
de TI. Para cada proceso hay una expresin de control de alto nivel y entre
3 y 30 objetivos detallados de control. El propietario del proceso debe ser
capaz de determinar el nivel de cumplimiento de los objetivos de control
ya sea como una rpida auto evaluacin o como una referencia en
conjunto con una revisin independiente. Cualquiera de estas evaluaciones
que la administracin pueda desear poner en contexto comparando con la
industria y con el entorno en que ellas se encuentran o en comparacin con
dnde estn evolucionando los estndares y las reglamentaciones
internacionales (por ejemplo, las futuras expectativas que surgen). Para
que los resultados se puedan utilizar fcilmente en los reportes de la
administracin, donde ellos sern presentados como un medio para
respaldar el caso de negocio para planes futuros, es necesario suministrar
un mtodo grfico de presentacin.
El enfoque de los Modelos de Madurez para el control sobre los procesos de
TI consiste en desarrollar un mtodo de asignacin de puntos para que una
organizacin pueda calificarse desde Inexistente hasta optimizada (de 0 a
5). Este planteamiento se basa en el Modelo de Madurez que el Software
Engineering Institute defini para la madurez de la capacidad de desarrollo
de software. Cualquiera sea el modelo, las escalas no deben estar
demasiado simplificadas, lo que hara que el sistema fuera difcil de
usar y sugerira una precisin que no es justificable.
En contraste, uno debe concentrarse en los niveles de madurez
basndose en un conjunto de condiciones que pueden ser satisfechas de
una forma que no sea ambigua. En comparacin con los niveles
desarrollados para cada uno de los 34 procesos de TI de COBIT, la
administracin puede mapear:
La situacin actual de la organizacindnde est la organizacin

actualmente
La situacin actual de la industria (la mejor de su clase en)la
comparacin
La situacin actual de los estndares internacionalescomparacin
adicional
La estrategia de la organizacin para mejoramientodnde
quiere estar la organizacin
Para cada uno e los 34 procesos de TI, hay una escala gradual ascendente
de medidas, basada en una clasificacin de 0 hasta 5. La escala est
asociada con las descripciones del modelo genrico cualitativo de madurez
que van desde Inexistente hasta Optimizada de la forma siguiente:
MODELO GENRICO DE MADUREZ

0 Inexistente. Total falta de un proceso reconocible. La organizacin ni
siquiera ha
reconocido
que hay
un problema
que
1 Inicial. Hay
evidencia
de que
la resolver.
organizacin ha reconocido que los
problemas
existen y que necesitan ser re sueltos. Sin embargo, no hay procesos
estandarizados pero en cambio hay mtodos ad hoc que tienden a ser
aplicados
en forma
caso. El mtodo
de en
la
2 Repetible.
Los individual
procesos o
secaso
han por
desarrollado
hasta general
el punto
que diferentes
personas siguen procedimientos similares emprendiendo la misma tarea. No
hay capacitacin o comunicacin formal de procedimientos estndar y la
responsabilidad se deja a la persona. Hay un alto grado de confianza en los
conocimientos
las personas
y por lo tanto
es probable
que haya errores.y
3
Definida. de Los
procedimientos
han
sido
estandarizados
documentados, y
comunicados a travs de capacitacin. Sin embargo se ha dejado en
manos de la persona el seguimiento de estos procesos,
y es
improbable que se detecten desviaciones. Los procedimientos mismos
no
son sofisticados sino
que sonmonitorear
la formalizacin
de las
existentes.
4 Administrada.
Es posible
y medir
el prcticas
cumplimiento
de los
procedimientos
y emprender accin donde los procesos parecen no estar funcionando
efectivamente.
procesos
estnprctica.
bajo constante
mejoramiento yLos
proveen
buena
Se usan la automatizacin y las
herramientas
en
una forma limitada
o fragmentada.
5 Optimizada.
Los procesos
han sido refinados hasta un nivel de la
mejor prctica,
basados en los resultados de mejoramiento continuo y diseo de la
madurez con otras organizaciones. TI se usa en una forma integrada para
automatizar el flujo de trabajo, suministrando herramientas para mejorar la
calidad y la efectividad, haciendo que la empresa se adapte con rapidez.
COBIT es un marco de referencia general dirigido a la administracin de TI y
como tal estas escalas necesitan ser prcticas para aplicar y
razonablemente fciles de entender. Sin embargo, los tpicos de riesgo y de
control apropiado en los procesos de administracin de TI son
inherentemente subjetivos e imprecisos y no necesitan el enfoque menos
automatizado que se encuentra en los modelos de madurez para la
ingeniera de software.
La ventaja de un enfoque de Modelo de Madurez es que es relativamente
fcil para la administracin ponerse en la escala y apreciar lo que est
involucrado si necesita mejorar el desempeo. La escala incluye 0 a 5
porque es bastante probable que no exista ningn proceso en absoluto. La
escala 0-5 se basa en una escala simple de madurez que muestra cmo
evoluciona un proceso desde Inexistente hasta optimizado. Debido a que
son procesos de administracin, la madurez y la capacidad aumentada es
tambin sinnimo de mayor manejo del riesgo y mayor eficiencia.
El Modelo de Madurez es una forma de medir qu tan bien desarrollados
estn los procesos de administracin. El grado de desarrollo que deben tener
depende de las necesidades del negocio, como se menciona aqu
anteriormente. Las escalas son slo ejemplos prcticos para un proceso
dado de administracin que muestra esquemas tpicos para cada nivel
de madurez. Los Criterios de Informacin ayudan a asegurarse de que
estamos
cuando
enfocados
en
los
aspectos
correctos
de
la
administracin
describimos la prctica
real.
Por ejemplo, la planificacin
y
organizacin estn enfocadas en los objetivos de efectividad y eficiencia de
administracin, mientras que asegurar la seguridad de los sistemas se
enfocar en el manejo de la confidencialidad y la integridad.
Las escalas del Modelo de Madurez ayudarn al profesional a explicar a los
administradores dnde existen deficiencias en la administracin de TI y a
fijarse objetivos para donde necesitan estar comparando las prcticas de
control de su organizacin con los ejemplos de la mejor prctica. El nivel
correcto de madurez estar influenciado por los objetivos de negocio y el
entorno operativo de la empresa. Especficamente, el nivel de madurez de
control depender de la dependencia de TI que tenga la empresa, de la
sofisticacin de la tecnologa y, lo que es ms importante, del valor de su
informacin.
Un punto estratgico de referencia para que una organizacin mejore la
seguridad y el control podra consistir tambin en mirar las normas
internacionales que surgen y las mejores prcticas de su clase. Las prcticas
actuales que surgen pueden llegar a ser el nivel esperado de desempeo de
maana y es por lo tanto til para planificar dnde quiere una organizacin
estar en el tiempo.
Los Modelos de Madurez se construyen a partir del modelo genrico
cualitativo (ver arriba) a los que se agregan las prcticas y los principios de
los dominios siguientes de forma creciente a travs de todos los niveles:
Entendimiento y conocimiento de los riesgos y de los problemas de control
Capacitacin y comunicacin aplicadas a los problemas
Proceso y prcticas que son implementados
Tcnicas y automatizacin para hacer los procesos ms efectivos y
eficientes Grado de cumplimiento de la poltica interna, las leyes y
las reglamentaciones Tipo y grado de pericia empleada.
La tabla siguiente describe esta creciente aplicacin de prcticas a travs de
todos los niveles para los distintos tpicos. Junto con el modelo cualitativo,
constituye un modelo genrico de madurez aplicable a la mayora de los
procesos de TI.
En resumen, Los Modelos de Madurez:

Se refieren a los requerimientos del negocio y a los aspectos
posibilitadores en los diferentes niveles de madurez
Son una escala que se presta para la comparacin pragmtica
Son una escala en la que la diferencia puede hacerse mensurable de
manera sencilla Son reconocibles como un perfil de la empresa
relativo al gobierno de TI, la seguridad y el control
Ayudan a fijar posiciones de Como est y Como debe estar en
relacin con el
gobierno de TI, la madurez de la seguridad y el control
Se prestan para hacer anlisis de los vacos/gap para determinar lo que
es necesario hacer para alcanzar un nivel determinado
Evitan, donde es posible, niveles discretos que crean umbrales que son
difciles de cruzar
Aplican cada vez ms factores crticos de xito
No son especficos de la industria ni son siempre aplicables, el tipo
de negocio define lo que es apropiado.
MODELO DE MEJORES PRACTICAS - COBIT

Fecha de diagnostico :
EMPRESA : PRESTONS SA
Diseo de un Sistema de Gestin de Seguridad
Pag 1/2
MODELO
DE
PO9.- Evaluar los Riesgos
DOMINIO: PLANEACION MADUREZ
Y
ORGANIZACIN
OBJETIVO
DE
Control sobre el procesoCONTROL
de TI Evaluar los Riesgos con el objetivo del
negocio de apoyar las
decisiones de la administracin en alcanzar los objetivos de TI y en
responder a las amenazas reduciendo la complejidad, aumentando la
objetividad
e identificando
factores de
decisin
Estado
Actual
:
2
Estado
Proyectado:
4
CRITERIOS DE CALIFICACIN
Inexistente La estimacin del riesgo para los procesos y las decisiones
del negocio
no ocurre. La organizacin no considera los impactos del negocio
asociados con vulnerabilidades de la seguridad y con inseguridades de
0 proyectos de desarrollo. Es improbable que la administracin de riesgos
sea identificada dentro del plan de un proyecto o sea asignada a
administradores especficos involucrados en el proyecto. La
administracin de TI no especifica responsabilidad para la
administracin del riesgo en las descripciones de los puestos de
trabajo u otro medio informal. Riesgos especficos relacionados con TI
Inicial
/Ad
Hoc
La organizacin est conciente de sus
responsabilidades y
obligaciones legales y contractuales, pero considera los riesgos de TI de
manera ad hoc, sin seguir procesos o polticas definidas. Tienen lugar
evaluaciones informales del riesgo de proyecto a medida que lo
determina cada proyecto. No es probable que las evaluaciones de
1 riesgo sean identificadas especficamente dentro del plan de un
proyecto o a ser asignado a administradores especficos involucrados en
el proyecto. La administracin de TI no especifica responsabilidad por la
administracin del riesgo en las descripciones de puestos de trabajo u
otro medio informal. Los riesgos especficos relacionados con TI
como son la seguridad, disponibilidad e integridad son ocasionalmente
considerados por proyecto. Los riesgos relacionados con TI que afectan
las operaciones cotidianas se discuten con poca frecuencia en las
Repetible pero Intuitivo Ha surgido un entendimiento de que los
riesgos de TI
son importantes y que es necesario considerarlos. Existe algn enfoque
de evaluacin de riesgos, pero el proceso es todava inmaduro y est en
2 desarrollo. La evaluacin es usualmente a un nivel elevado y
tpicamente se aplica slo a los proyectos importantes. La evaluacin de
las operaciones en curso depende principalmente de los administradores
de TI que lo presentan como un punto de la agenda, lo cual a menudo
slo ocurre cuando surgen problemas. La administracin de TI
generalmente no tiene definidos procedimientos o descripciones de

Pag 2/2
MODELO
DE
PO9.- Evaluar los Riesgos
Y
ORGANIZACIN
OBJETIVO
DE
Control sobre el procesoCONTROL
de TI Evaluar los Riesgos con el objetivo del
negocio de apoyar las
decisiones de la administracin en alcanzar los objetivos de TI y en
responder a las amenazas reduciendo la complejidad, aumentando la
objetividad
e identificando
factores de
decisin
importantes.
Estado
Actual
:
2
Estado
Proyectado:
4
Proceso Definido La poltica de manejo del riesgo a nivel de
toda una
organizacin define cundo y cmo llevar a cabo evaluaciones de
riesgo. La evaluacin del riesgo sigue un proceso definido que est
documentado y disponible para todo el persona a travs de
3 entrenamiento. Las decisiones de seguir el proceso y recibir
entrenamiento se dejan a la discrecin de las personas. La metodologa
es convincente y saludable, y asegura que los riesgos clave
del
negocio probablemente sean identificados. Las decisiones de
seguir el proceso se dejan a los administradores individuales de TI y no
hay procedimiento para asegurar que todos los proyectos estn
Administrado y Medible La evaluacin del riesgo es un
procedimientos estndar
y las excepciones a seguir el procedimiento seran anunciadas por la
administracin de TI. Es probable que la administracin del riesgo sea
una funcin definida de la administracin con responsabilidad a nivel
general. El proceso es adelantado y el riesgo es evaluado a nivel del
proyecto individual y tambin regularmente respecto a la operacin
general de TI. Se advierte a la administracin sobre los cambios en el
4
entorno de TI que podran afectar significativamente los escenarios de
riesgo como por ejemplo una mayor amenaza proveniente de la red o
tendencias tcnicas que afectan la integridad de la estrategia de TI.
La administracin puede monitorear la posicin de riesgo y tomar
decisiones inteligentes respecto a la exposicin que est dispuesta a
aceptar. La gerencia general ha determinado los niveles de riesgo que la
organizacin tolerar y tiene medidas estndar de proporciones de
riesgo / rendimiento. Presupuestos de administracin para proyectos
de administracin
de riesgos
operativos
reevaluar los
riesgos
Optimizado
La evaluacin
de los
riesgos separa
ha desarrollado
hasta
una
etapa en que
un proceso estructurado, en toda la organizacin, es ejecutado, seguido
y bien administrado. La tormenta de ideas y el anlisis de la causa que
origin el riesgo, que involucra a personas expertas, se aplican en toda
5 la organizacin. La captura, anlisis y reporte de datos de
administracin de riesgos estn altamente automatizados. El
asesoramiento se obtiene de los jefes en el terreno y la organizacin de
TI participa en grupos colegas para intercambiar experiencias. La
administracin del riesgo est verdaderamente integrada en todas las
operaciones y negocios de TI, es bien aceptada e involucra

Pag 1/1
MODELO
DE
PO11.- Administrar Calidad
Y
ORGANIZACIN
OBJETIVO
DE
Control sobre el proceso CONTROL
de TI Administrar la Calidad con el objetivo del
negocio de
satisfacer
los requerimientos
de TI del
cliente.
Estado Actual
:
2
Estado
Proyectado:
3
Inexistente La organizacin no ha reconocido que existe un
0
problema que debe ser
reconocido.
Inicial
/Ad Hoc Hay evidencia de que la organizacin ha reconocido
que los problemas
1 existen y que necesitan ser resueltos. Sin embargo, no hay procesos
estandarizados pero en cambio hay mtodos ad hoc que tienden a ser
aplicados en forma individual o caso por caso. El mtodo general de la
Repetible pero Intuitivo Los procesos se han desarrollado hasta
el punto en que
2 diferentes
personas siguen procedimientos similares emprendiendo
la misma tarea. No hay capacitacin o comunicacin formal de
procedimientos estndar y la responsabilidad
se
deja aDefinido
la persona.
Hay un alto grado
de estandarizados
confianza en los
Proceso
Los procedimientos
han sido
y
documentados, y
3 comunicados a travs de capacitacin. Sin embargo se ha dejado en
manos de la persona el seguimiento de estos procesos, y es improbable
que se detecten desviaciones. Los procedimientos mismos no son
sofisticados sino que
son la formalizacin
de las
prcticas existentes.
Administrado
y Medible
Es posible
monitorear
y medir el
cumplimiento de los
4 procedimientos y emprender accin donde los procesos parecen no
estar funcionando efectivamente. Los procesos estn bajo constante
mejoramiento y proveen buena prctica. Se usan la automatizacin y las
herramientas Los
en una
forma han
limitada
fragmentada.
Optimizado
procesos
sido o
refinados
hasta un nivel de la mejor
prctica, basados
en los resultados de mejoramiento continuo y diseo de la
5 madurez
con
otras organizaciones. TI se usa en una forma
integrada para automatizar el flujo de trabajo,
suministrando herramientas
para
mejorar
la
calidad y
la

Pag 1/2
MODELO
DE
AI6.- Administrar Cambios
DOMINIO: ADQUISICINMADUREZ
E
IMPLEMENTACIN
OBJETIVO
DE
El control sobre el procesoCONTROL
de TI Administrar Cambios de TI con el objetivo
del negocio de
minimizar
la :probabilidad
Estado Actual
2 de interrupcin,
Estadoalteraciones
Proyectado: no
4 autorizadas y
Inexistente. No hay un proceso definido de administracin de cambios
y se pueden hacer
0
cambios prcticamente sin control alguno. No hay conciencia de que los
cambios pueden causar interrupciones tanto para TI como para las
operaciones
de negocios,
y ninguna
de los ser
beneficios
de una
Inicial
/Ad hoc
Se reconoce
que losconciencia
cambios deben
administrados
y controlados, pero
no hay un proceso consistente para seguimiento. Las prcticas varan y
1
es probable que ocurran cambios no autorizados. Hay documentacin
insuficiente
o
inexistente
de cambios, y la documentacin de
configuracin est incompleta y no es confiable. Es probable que
ocurran errores
junto con
interrupciones
en de
el administracin
entorno de
Repetible
pero Intuitiva
Hay un
proceso informal
de cambios y la
2 mayora de los cambios siguen este mtodo; sin embargo, el mismo no
est estructurado, es rudimentario y est propenso a error. La
precisin de la documentacin de
configuracin
es inconsistente
y slo tiene un
lugarproceso
una planeacin
Proceso
Defnido
Est establecido
formal y un
de
administracin de cambios, que
incluye procedimientos de categorizacin, priorizacin, emergencia,
autorizacin y administracin de cambios, pero no se impone su
3
cumplimiento. El proceso definido no
siempre es visto como adecuado o prctico y, en consecuencia, ocurren
trabajos paralelos y
los procesos son desviados. Es probable que ocurran errores y los
cambios no autorizados
ocurrirn
ocasionalmente.
El anlisisde
de cambios
impacto
Administrado
y Medible
El proceso
de administracin
est bien desarrollado
y es seguido de manera consistente para todos los cambios, y la
administracin confa en que no hay excepciones. El proceso es eficiente
y efectivo, pero se basa en considerables procedimientos y controles
manuales para asegurar que se logre la calidad. Todos los cambios estn
4 sujetos a una planeacin y estudio de impacto exhaustivos para
minimizar la probabilidad de problemas posteriores a la produccin. Est
establecido un proceso de aprobacin para los cambios. La
documentacin de administracin de cambios est al da y es correcta, y
los cambios son rastreados formalmente. La documentacin de la
configuracin est generalmente actualizada. La planeacin e
implementacin de la administracin de cambios de TI se est volviendo
Pag 2/2
MODELO
DE
AI6.- Administrar Cambios
DOMINIO: ADQUISICINMADUREZ
E
IMPLEMENTACIN
OBJETIVO
DE
del negocio de
minimizar
la :probabilidad de interrupcin,
Estado Actual
Estadoalteraciones
Proyectado: no autorizadas y
Optimizado
El proceso de administracin de cambios es
revisado y actualizado
regularmente para mantener en lnea con las mejores prcticas. La
informacin de configuracin est automatizada y provee control de
5 versiones. La distribucin de software es automatizada y se cuenta con
capacidades de monitoreo a distancia. La administracin de
configuracin y liberacin y rastreo de cambios es sofisticado e incluye
herramientas para detectar software no autorizado y sin licencia. La
administracin de cambios de TI est integrada con la administracin
de cambios del negocio para asegurar que TI sea un posibilitador para

Pag 1/2
MODELO
DE
MADUREZ DS4 .- Asegurar el Servicio
DOMINIO: ENTREGA Y SOPORTE
OBJETIVO Continuo
DE
del negocio de
minimizar
la :probabilidad
Estado
Actual
2 de interrupcin,
Estadoalteraciones
Proyectado:3no autorizadas y
Inexistente. No hay entendimiento de los riesgos, vulnerabilidades y
amenazas de
0
las operaciones de TI o del impacto de la prdida de los servicios de TI
para el negocio. La continuidad del servicio no es considerada como que
necesita
atencin
la administracin.
Inicial /Ad
hocdeLas
responsabilidades de servicio continuo son
informales, con
autoridad limitada. La administracin se est volviendo conciente de los
riesgos relacionados con el servicio continuo y de la necesidad de ste.
El enfoque es sobre la funcin de TI, en vez de ser sobre la funcin de
negocio. Los usuarios estn implementando formas de evadirlo. La
respuesta a las interrupciones mayores es reactiva e improvisada. Los
cortes planeados estn programados para que satisfagan las
necesidades de TI, en vez de para adaptarse a los requerimientos del
Repetible pero Intuitiva La responsabilidad del servicio continuo
est asignada.
Los enfoques del servicio continuo son fragmentados. El reporte sobre la
disponibilidad del sistema es incompleto y no toma en cuenta el impacto
sobre el negocio. No hay planes documentados de usuario o de
continuidad, a pesar de que hay dedicacin a la disponibilidad de
servicio continuo y que se conocen sus principios rectores. Existe un
inventario
razonablemente
confiable
de
sistemas
crticos
y
componentes. Est surgiendo la estandarizacin de prcticas de servicio
Proceso Definido La obligacin de reportar no es ambigua y las
responsabilidades
de planificar y probar el servicio continuo estn claramente definidas y
asignadas. Los planes estn documentados y se basan en la importancia
del sistema y en el impacto sobre el negocio. Hay un reporte peridico
de prueba de servicio continuo. Las personas toman la iniciativa para
seguir las normas y recibir entrenamiento. La administracin comunica
consistentemente la necesidad de servicio continuo. Los componentes
de alta disponibilidad y la redundancia de sistema se estn aplicando de
manera fragmentada. Se mantiene rigurosamente un inventario de

Pag 2/2
MODELO
DE
MADUREZ DS4 .- Asegurar el Servicio
OBJETIVO Continuo
DE
del negocio de
minimizar
Estado
Actual
Estadoalteraciones
Administrado y Medible Se hacen cumplir las responsabilidades y
las normas
para el servicio continuo. La responsabilidad de mantener el plan de
servicio continuo est asignada. Las actividades de mantenimiento
toman en cuenta el entorno cambiante del negocio, los resultados de
pruebas de servicio continuo y las mejores prcticas internas. Se estn
4 recopilando, analizando, reportando y ejecutando datos estructurados
sobre el servicio continuo. Se provee entrenamiento para los procesos
de servicio continuo. Las prcticas de redundancia de sistema, que
incluyen el uso de componentes de alta disponibilidad, estn siendo
implementadas
de
manera
consistente.
Las
prcticas
de
redundancia
y
la planeacin de servicio continuo se influyen
mutuamente. Los incidentes de falta de continuidad son clasificados y el
Optimizado Los procesos integrados de servicio continuo son
proactivos, se
ajustas solos, son automatizados y auto analticos y toman en cuenta
puntos de referencia y las mejores prcticas externas. Los planes de
servicio continuo y los planes de continuidad del negocio estn
integrados, alineados y son mantenidos de manera rutinaria. La compra
5 de las necesidades de servicio continuo est asegurada por los
vendedores y los principales proveedores. Se lleva a cabo la
comprobacin global y los resultados de las pruebas son utilizados como
parte del proceso de mantenimiento. La efectividad del costo del
servicio continuo est optimizada a travs de la innovacin y de la
integracin. La recopilacin y el anlisis de datos se usa para identificar
oportunidades de mejoramiento. Las prcticas de redundancia y la
planeacin del servicio continuo estn totalmente alineadas. La

Pag 1/2
MODELO
DE
MADUREZ DS5 .- Garantizar la Seguridad de
los
OBJETIVO Sistemas
DE
de TI Garantizar la Seguridad de los Sistemas
de TI con el
objetivo del negocio de salvaguardar la informacin contra el uso,
revelacin
o modificacin
dao o
prdida.
Estado
Actual
:
1 no autorizada,Estado
Proyectado:
3
Inexistente. La organizacin no reconoce la necesidad de la
seguridad de TI. Las
responsabilidades y las obligaciones de reportar no estn asignadas
0 para asegurar la seguridad. No estn implementadas medidas que
soporten la administracin de la seguridad de TI. No hay ningn reporte
de seguridad de TI y ningn proceso de respuesta de las violaciones de
seguridad de TI. Hay una carencia total de un proceso reconocible de
Inicial /Ad hoc La organizacin reconoce la necesidad de la seguridad
de TI, pero
la conciencia de la seguridad depende de la persona. La seguridad
1 de TI est resuelta de manera reactiva y no se mide. Las violaciones de
seguridad de TI invocan respuestas de sealamiento si se detectan,
porque las responsabilidades no estn claras. Las respuestas a las
violaciones de seguridad de TI son impredecibles.
Repetible pero Intuitiva Las responsabilidades y obligaciones de la
seguridad de
TI estn asignadas a un coordinador de seguridad de TI que no tiene
autoridad de administracin. La conciencia de seguridad es
2 fragmentada y limitada. La informacin de seguridad de TI es
generada, pero no es analizada. Las soluciones de seguridad tienden a
responder de manera reactiva a los incidentes de seguridad de TI y
adoptando propuestas de terceros, sin resolver las necesidades
especficas de la organizacin. Se estn desarrollando polticas de
seguridad, pero an se siguen usando habilidades y herramientas
Proceso Definido Existe conciencia de la seguridad y la misma es
promovida por
la administracin. Se han estandarizado y formalizados reportes de
conocimientos de la seguridad. Los procedimientos de seguridad de TI
3 estn definidos y encajan en una estructura para polticas y
procedimientos de seguridad. Las responsabilidades de seguridad de TI
estn asignadas, pero no se hacen cumplir de manera consistente.
Existe un plan de seguridad de TI, que impulsa el anlisis del riesgo y
soluciones de seguridad. El reporte de seguridad de TI est concentrado

Pag 2/2
MODELO
DE
MADUREZ DS5 .- Garantizar la Seguridad de
los
OBJETIVO Sistemas
DE
de TI Garantizar la Seguridad de los Sistemas
de TI con el
objetivo del negocio de salvaguardar la informacin contra el uso,
revelacin
o modificacin
no autorizada,Estado
dao o
prdida.
Estado
Actual
:
Proyectado:
Administrado y Medible Las responsabilidades de la seguridad
de TI estn
claramente asignadas, administradas y se hacen cumplir. El anlisis de
riesgo e impacto de seguridad se lleva a cabo de manera
consistente. Las polticas y prcticas de seguridad son completadas
con bases especficas de seguridad. Los reportes de conocimiento de
seguridad
se
han
vuelto
obligatorios.
La identificacin,
4
autenticacin y autorizacin de usuario se est estandarizando. Se est
estableciendo la certificacin de seguridad del personal. La prueba de
intrusin es un proceso estndar y formalizado que conduce a mejoras.
El anlisis costo / beneficio, que soporta la implementacin de
medidas de seguridad, es cada vez ms utilizado. Los procesos de
seguridad de TI son coordinados con la funcin general de seguridad de
la
organizacin.
reporte de
de TI
seguridad
TI est vinculado
con del
los
Optimizado
La El
seguridad
es una de
responsabilidad
conjunta
negocio y de
la administracin de TI y est integrada con objetivos de seguridad
corporativa del negocio. Los requisitos de seguridad de TI estn
claramente definidos, optimizados e incluidos en un plan verificado de
seguridad. Las funciones de seguridad estn integradas con aplicaciones
en la etapa de diseo y se les puede pedir a los usuarios finales que
rindan cuenta de la seguridad a la administracin. El reporte de
seguridad de TI provee un aviso anticipado del riesgo cambiante y
5
emergente, usando mtodos activos automatizados de monitoreo para
los sistemas crticos. Los incidentes son prontamente resueltos con
procedimientos formalizados de respuesta a incidentes soportados
por herramientas automatizadas. Las evaluaciones peridicas de
seguridad evalan la efectividad de la implementacin del plan de
seguridad. Se recoge y analiza sistemticamente la informacin sobre
nuevas amenazas y vulnerabilidades, y se comunican e implementan
prontamente los controles adecuados de mitigacin. La prueba de
intrusin, anlisis de las causas originarias de los incidentes de
seguridad y la identificacin proactiva del riesgo es la base para el

Pag 1/2
MODELO
DE
MADUREZ DS11 .- Administrar los Datos
OBJETIVO
DE
del negocio de
minimizar
la :probabilidad
Estado
Actual
2 de interrupcin,
Estadoalteraciones
Proyectado: no
4 autorizadas y
Inexistente. No se reconocen los datos como un recurso y un activo
corporativo.
0
No hay propiedad asignada de datos ni responsabilidad individual de la
integridad y confiabilidad de los datos. La calidad y seguridad de los
datos
deficientes
inexistentes.reconoce una necesidad de datos
Inicialson
/Ad
hoc La oorganizacin
exactos. Algunos
mtodos son desarrollados a nivel individual para prevenir y detectar el
ingreso, procesamiento y errores en la salida de los datos. El proceso de
identificacin y correccin de errores depende de las actividades
manuales de la persona, y las reglas y requerimientos no son
transmitidos a medida que se llevan a cabo movimientos y cambios de
personal. La administracin asume que los datos son exactos porque
una computadora est involucrada en el proceso. La integridad y
seguridad de los datos no son requerimientos de administracin y, si
Repetible pero Intuitivo La conciencia de la necesidad de la exactitud
de los datos
y de mantener la integridad prevalece en toda la organizacin. La
propiedad de los datos comienza a tener lugar, pero a nivel de un
departamento o grupo. Las reglas y requerimientos son documentados
por personas clave y no son consistentes en toda la organizacin y
plataformas. Los datos estn en custodia de la funcin de los servicios
de informacin y las reglas y definiciones estn impulsadas por los
requerimientos de TI. La seguridad e integridad de los datos son
primariamente responsabilidades de la funcin de
los servicios de
Proceso Definido La necesidad de integridad de los datos dentro y
en toda la
organizacin es entendida y aceptada. Las normas de ingreso,
procesamiento y salida de datos han sido formalizadas y se hacen
cumplir. El proceso de identificacin y correccin de errores es
automatizado. La propiedad de los datos es asignada, y la integridad y
seguridad son controladas por el responsable. Se utilizan tcnicas
automatizadas para prevenir y detectar errores e inconsistencias. Las
definiciones, reglas y requerimientos de datos estn claramente
documentados y son mantenidos por una funcin de administracin de
base de datos. Los datos se vuelven consistentes en todas las
plataformas y a travs de toda la organizacin. La funcin de los
servicios de informacin tiene un rol de custodio, mientras que el control

Pag 2/2
MODELO
DE
MADUREZ DS11 .- Administrar los Datos
OBJETIVO
DE
del negocio de
minimizar
Estado Actual
Estadoalteraciones
Administrado y Medible Los datos son definidos como un recurso y
un activo
corporativo, a medida que la administracin exige ms soporte de
decisiones y ms reporte de rentabilidad. La responsabilidad por la
calidad de datos est claramente definida, asignada y comunicada
dentro de la organizacin. Los mtodos estandarizados estn
documentados, mantenidos, y usados para controlar la calidad de los
4 datos, se hacen cumplir las reglas y los datos son consistentes en
todas las plataformas y unidades de negocio. La calidad de los datos es
medida y la satisfaccin del cliente respecto a la informacin es
monitoreada. El reporte de administracin asume un valor estratgico
para asesorar clientes, tendencias y evaluaciones de productos. La
integridad de los datos se vuelve un factor significativo, con
la
seguridad de datos reconocida como un requerimiento de control. Se
ha establecido una funcin formal de administracin de datos a nivel de
toda la organizacin,
con los recursos
la autoridad
hacermaduro,
cumplir
Optimizado
La administracin
de ydatos
es un para
proceso
integrado y de
funcionamiento cruzado que tiene una meta claramente definida y
bien entendida de entregar informacin de calidad al usuario, con
criterios claramente definidos de integridad,
disponibilidad
y
confiabilidad.
La
organizacin
maneja
activamente
datos,
informacin
5
y conocimientos como los recursos y los activos corporativos, con el
objetivo de maximizar el valor del negocio. La cultura corporativa hace
nfasis en la importancia de datos de alta calidad que necesitan ser
protegidos y tratados como un componente clave de capital intelectual.
La propiedad de datos es una responsabilidad estratgica con todos los
requerimientos, reglas, reglamentaciones y consideraciones claramente

Pag 1/2
MODELO
DE
MADUREZDS12 .- Administrar Instalaciones
DOMINIO : Entrega y Soporte
OBJETIVO
DE
de TI Administrar Instalaciones con el objetivo
del negocio de
proveer un entorno fsico adecuado que proteja el equipo y la gente de TI
contra los
riesgos
naturales
y provocados
por
el hombre. 4
Estado
Actual
:
2
Estado
Proyectado:
Inexistente. No hay conciencia de la necesidad de proteger las
Instalaciones o la inversin
0
en los recursos de computacin. Los factores ambientales, incluyendo la
proteccin contra incendios, el polvo, la energa y el calor y la humedad
excesivos,
son La
monitoreados
ni ha reconocido un requerimiento del
Inicial /Adnohoc
organizacin
negocio de proveer
un entorno fsico adecuado que proteja los recursos y el personal de los
1 riesgos naturales y provocados por el hombre. No existen
procedimientos estndar y la administracin de
Instalaciones y equipo depende de las habilidades y capacidades de las
personas clave. No se revisa el mantenimiento y la gente se mueve
dentro de las
Instalaciones
Repetible
pero
intuitivo sin
La restriccin.
conciencia de la necesidad de proteger
y de controlar el
entorno fsico de computacin es reconocida y evidente en la
asignacin de los presupuestos y de otros recursos. Los controles
2 ambientales son implementados y
monitoreados por el personal de operaciones. La seguridad fsica es un
proceso informal, impulsado por un pequeo grupo de empleados que
tienen un alto nivel de preocupacin
sobre la seguridad de las Instalaciones fsicas. Los procedimientos de
mantenimiento
de las
estn bien
y se
Proceso
Definido
LaInstalaciones
necesidad denomantener
un documentados
entorno controlado
de computacin es
entendida y aceptada dentro de la organizacin. Los controles
ambientales, de mantenimiento preventivo y de seguridad fsica son
3 rubros del presupuesto aprobados y la administracin les hace
seguimiento. Se aplican restricciones de acceso, permitindose el
acceso a las Instalaciones de computacin slo al personal aprobado.
Los visitantes son registrados y a veces escoltados, dependiendo del
personal responsable. Las Instalaciones fsicas tienen perfil bajo y no se

Pag 2/2
MODELO
DE
MADUREZDS12 .- Administrar Instalaciones
DOMINIO : Entrega y Soporte
OBJETIVO
DE
de TI Administrar Instalaciones con el objetivo
del negocio de
proveer un entorno fsico adecuado que proteja el equipo y la gente de TI
contra
riesgos
naturales y provocados
por
el hombre.
Estado los
Actual
:
Estado
Proyectado:
Administrado
y
Medible
La necesidad
de
mantener
un
entorno controlado de
computacin es entendida totalmente, como es evidente en la
estructura organizacional y en la asignacin de presupuesto. Los
requerimientos ambientales y de seguridad fsica
estn documentados y el acceso est estrictamente controlado y
monitoreado. La
4
responsabilidad y la propiedad han sido establecidas y comunicadas.
El personal de las
Instalaciones ha sido totalmente entrenado en situaciones de
emergencia, as como tambin en prcticas sanitarias y de seguridad.
Estn estandarizados los mecanismos de control para restringir el
acceso a las Instalaciones y para resolver factores ambientales y de
seguridad. La administracin monitorea la efectividad de los controles
y el cumplimiento
de plan
las normas
establecidas.
recuperacin
Optimizado
Hay un
a largo plazo
para las La
Instalaciones
que de
se
requiere que soporten
el entorno de computacin de la organizacin. Las normas estn
definidas para todas las
Instalaciones, abarcando la seleccin del sitio, la construccin,
custodia, seguridad de personal, sistemas mecnico y elctrico,
proteccin contra incendio, rayo e inundacin.
Todas las Instalaciones son inventariadas y clasificadas en conformidad
5
con el proceso de
administracin de riesgos de la organizacin en progreso. El acceso
est estrictamente controlado y se basa en la necesidad para el trabajo,
es monitoreado constantemente y los visitantes son escoltados en todo
momento. El entorno es monitoreado y controlado por medio de equipo
especializado y las salas de equipos se vuelven automatizadas. Los
programas de mantenimiento preventivo hacen cumplir estrictamente
los programas y se aplican pruebas regulares a los equipos
Enfoque del
Madurez
Modelo
de
El enfoque de los Modelos de Madurez para el control sobre los procesos de TI consiste en desarrollar un mtodo de
asignacin de puntos para que una organizacin pueda calificarse desde Inexistente hasta optimizada (de 0 a 5). Este
planteamiento se basa en el Modelo de Madurez que el Software Engineering Institute defini para la madurez de la
capacidad de desarrollo de software. Cualquiera sea el modelo, las escalas no deben estar demasiado simplificadas, lo que
hara que el sistema fuera difcil de usar y sugerira una precisin que no es justificable.
En contraste, uno debe concentrarse en los niveles de madurez basndose en un conjunto de condiciones que pueden ser
satisfechas de una forma que no sea ambigua. En comparacin con los niveles desarrollados para cada uno de los 34
procesos de TI de COBIT, la administracin puede mapear:
La situacin actual de la organizacindnde est la organizacin actualmente
La estrategia de la organizacin para mejoramientodnde quiere estar la organizacin
RESUMEN GERENCIAL DEL MODELO DE MADUREZ PARA LOS PROCESOS DE SEGURIDAD DE LA

INFORMACIN
Inexistente Inicial
/Ad
Repetible pero
Intuitivo
0
PO9
Evaluar
Riesgos
Hoc
Proce
so
Defini
do
3
Administra
do y
Medib
le
4
Optimizado
los
PO11
Administrar Calidad
AI6
Administrar Cambios
DS4
Asegurar el Servicio Continuo
DS5
DS11
Garantizar la Seguridad de los

Sistemas
Administrar los Datos
DS12
Administrar Instalaciones
LEYENDA PARA LOS SMBOLOS USADOS
Situacin actual de la empresa
Estrategia de la Empresa
LEYENDA PARA LAS CLASIFICACIONES USADAS

0 Inexistente
Los procesos de administracin no se
aplican en absoluto
1 Inicial
Los procesos son ad hoc y desorganizados
2 Repetible
Los procesos siguen un patrn regular
3 Definida
Los procesos son documentados y
4 Administrada
5 Optimizada
comunicados
Los procesos son monitoreados y medidos
EVALUACIN
CONTROL
DE
RIESGO
DE
LOS
105
OBJETIVOS
DE
7.1
Administracin de
Riesgos
Para asegurar que la Gerencia alcance los objetivos de negocios, sta debe
dirigir y administrar las actividades de TI para alcanzar un balance efectivo
entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto,
la Gerencia necesita identificar las actividades mas importantes que deben
ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas
y determinando que tan bien se estn desarrollando los procesos de TI. Aun
mas, necesita tener la habilidad de avaluar el nivel de madurez de la
organizacin contra las mejores practicas industriales y los modelos
internacionales.
Definicin.Es un proceso interactivo e iterativo basado en el conocimiento,

evaluacin y manejo de los riesgos y sus impactos, con el propsito de
mejorar la toma de decisiones organizacionales.
Aplicable a cualquier situacin donde un resultado no deseado o
inesperado pueda ser significativo o donde se identifiquen oportunidades.
Beneficios para la Organizacin
Facilita el logro de los objetivos de la organizacin.
Hace a la organizacin ms segura y consciente de sus riesgos.
Mejoramiento contino del Sistema de Control Interno.
Optimiza la asignacin de recursos.
Aprovechamiento de oportunidades de negocio.
Fortalece la cultura de autocontrol.
Mayor estabilidad ante cambios del entorno.
Beneficios para el Dpto. de Auditora
Soporta el logro de los objetivos de la auditora.
Estandarizacin en el mtodo de trabajo.
Integracin del concepto de control en las polticas organizacionales.
Mayor efectividad en la planeacin general de Auditora.
Evaluaciones enfocadas en riesgos.
Mayor cobertura de la administracin de riesgos.
Auditoras ms efectivas y con mayor valor agregado.
7.2 Proceso de administracin de Riesgos
1. Establecer Marco General
2. Identificar Riesgos
3. Anlisis de Riesgos
4. Evaluar y Priorizar Riesgos
5. Tratamiento del Riesgo
Monitorear
y Revisar
7.2.1
General
Establecer Marco
PRESTONS SA es una marca reconocida, posee una presencia bastante

fuerte en el mercado fotogrfico a nivel nacional, con ms de 100
fototiendas. Ha llegado a poseer el 70% de participacin del mercado.
Es parte de un grupo econmico conformado por Comandato,
OndaPositiva, TecniPrint.
Mucha de la infraestructura tecnolgica es compartida por el Grupo
Corporativo. Existen Niveles Gerenciales que cumplen sus funciones
de manera Corporativo.
El mercado fotogrfico en el Per esta cambiando, el cambio se esta dando
hacia el revelado digital, lo que motiva que el mercado de revelado
tradicional se vea disminuido, afectando a los ingresos de la institucin.
Para contrarrestar este efecto, la institucin ha
estrategias y desarrollado nuevas lneas de negocio.
Entre las estrategias
impacto estn:
de
mas
diseado
nuevas
alto
Venta a Crdito, lo que debe incrementar la venta de Cmaras

Digitales y otros productos de la lnea Profesional.
Se ha logrado obtener la representacin exclusiva de los productos
Maxell en todo el territorio nacional, de tal manera que se
diversifican los ingresos que tiene la institucin actualmente.
Promociones para impulsar el revelado digital.
Alianzas
estratgicas
con
empresas
nacionales
para
promociones cruzadas. Adquisicin de Equipos de revelado
digital PictureMaker.
Para lograr alcanzar los objetivos estratgicos definidos existen
adquisiciones de tecnologa que tienen una incidencia directa en el plan
estratgicos de negocio.
Adquisicin de nuevo sistema de punto de ventas que cumpla los
requerimientos de ley acorde a las necesidades y expectativas del
negocio.
Implementacin de interconexin entre las principales tiendas a
nivel nacional con la casa matriz.
Administracin de la tecnologa actual que soporta los
procesos del negocio.
Siendo este ultimo uno de los pilares fundamentales en la
consecucin de las
metas trazadas por la organizacin.
Los costos de estos proyectos son bastante significativos dentro de los
resultados de la empresa, por eso razn la evaluacin y adquisicin de la
tecnologa antes mencionada debe ser llevada a cabo de la mejor manera
posible.
PRESTONS SA esta enfocado en 2 segmentos, la venta a travs de su

cadena de retail y la venta a distribuidores.
Los principales competidores de PRESTONS SA en el segmento de retail, son
Konica, Fuji, Fybeca, otros quedan servicio de revelado. En lo que
respecta a la distribucin de Kodak y Maxell, es la misma que la de la
marca a nivel internacional.
Actualmente la marca PRESTONS SA esta catalogada como la numero uno

en cuanto al revelado fotogrfico y apunta a mantener esta posicin.
PRESTONS SA siempre esta buscando la manera de incrementar su
volumen de ventas, lanzando promociones. Sin embargo las ventas estn
disminuyendo debido a cambios que estn surgiendo en el revelado
tradicional, siendo esta la principal fuente de sus ingresos.
7.2.2
Riesgos
Identificar
Los riesgos son amenazas que podran explotar las vulnerabilidades de

nuestra infraestructura tecnologa ocasionando daos o prdidas a los
activos, de tal manera que habra dificultad en conseguir los Objetivos
Empresariales.
Establecer un marco especfico de administracin
de riesgos.
Entender la actividad o parte de la organizacin para la cual se aplicar el
proceso de administracin de riesgos.
DOMINIO
Planeacin
Organizacin
Adquisicin
Instalacin
Entrega
Servicios
PROCESO
y PO9 Evaluar riesgos
PO11 Administrar Calidad
e AI6
Administrar cambios
de DS4
DS5
DS11
DS12
Disponibilidad
Integridad
confdencialida
Basndonos en la metodologa COBIT, en donde se identifican 34 procesos

que rigen la Administracin y Control de tecnologa de informacin y como
estos son impactados principalmente por las caractersticas de seguridad de
la informacin (Confidencialidad, Disponibilidad, e Integridad) se han
seleccionado los procesos que a continuacin se detallan.
Criterios de
informacin
P
P
P
P
P
P
Asegurar continuidad del servicio

Garantizar
la
seguridad
de P
sistemas
Administrar
la informacin
Administrar las instalaciones
P
P
P
P
Criterios de evaluacin de riesgos.Definir e identificar los criterios de anlisis y el nivel de aceptacin de los
riesgos
Criterios de anlisis.Criteri
ALTO
MEDIO ALTO
MEDIO
MEDIO BAJO
BAJO
Probabilidad de Ocurrencia
9
7
5
3
1
Impacto
10
8
6
4
2
Nivel de Aceptacin de Riesgo.Riesgo = Probabilidad de Ocurrencia * Impacto
BAJO
1
30
Nivel de Aceptacin de Riesgo

MEDIO
3160
ALTO
61 90
7.2.3
Riesgos
Anlisis de
El modelo comienza a partir de la valoracin de los activos, que dentro del Marco Referencial de COBIT consiste en la
informacin que tiene los criterios requeridos para ayudar a lograr los objetivos del negocio (incluyendo todos los recursos
necesarios para producir dicha informacin). El siguiente paso es el anlisis de vulnerabilidad que trata de la importancia de
los criterios de informacin dentro del proceso bajo revisin, por ejemplo, si un proceso del negocio es vulnerable a la prdida
de integridad, entonces se requieren medidas especficas. Luego se tratan las amenazas, esto es, aquello que puede provocar
una vulnerabilidad. La probabilidad de la amenaza, el grado de vulnerabilidad y la severidad del impacto se combinan para
concluir acerca de la evaluacin del riesgo. Esto es seguido por la seleccin de contramedidas (controles) y una evaluacin
de su eficacia, que tambin identifica el riesgo residual. La conclusin es un plan de accin despus del cual el ciclo puede
comenzar nuevamente.
OBJETIVOS DE CONTROL
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Soportar las decisiones administrativas a travs del logro de los objetivos de TI y responder a las
amenazas reduciendo la complejidad, Incrementando la objetividad e identificando factores de decisin
importante
La Gerencia deber establecer un marco de
referencia
de evaluacin sistemtica de riesgos. Este
marco de referencia deber incorporar una
evaluacin regular de los riesgos de
informacin relevantes para el logro de los
Evaluacin objetivos del negocio, formando una base
de Riesgos para determinar la manera en la que los
del Negocio riesgos deben ser manejados a un nivel
aceptable. El proceso deber proporcionar
evaluaciones de riesgos tanto a un nivel
global como a
niveles especficos del
sistema, para nuevos proyectos y para
casos recurrentes y con participacin MEDIO-ALTO MEDIO-ALTO 56
La
Gerencia
deber
establecer
un
enfoque
general para la evaluacin de
riesgos que defina el alcance y
los
lmites, la
metodologa a
ser
adoptada para las evaluaciones de riesgos,
Enfoque de las responsabilidades y las habilidades
Evaluacin requeridas. La Gerencia debe adelantar la
de
soluciones
para
la
de Riesgos identificacin
mitigacin de
riesgos
e
involucrarse
en
la
identificacin de
vulnerabilidades. Especialistas de seguridad
deben realizar identificacin de amenazas MEDIO-ALTO MEDIO-ALTO 56
PO9 Evaluar
9.1
9.2
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
importante
La evaluacin de riesgos deber enfocarse
al examen de los elementos esenciales de
riesgo y las relaciones
causa/efecto entre ellos. Los elementos
esenciales de riesgo incluyen activos
tangibles e intangibles, valor de
Identificaci los activos, amenazas, vulnerabilidades,
n
de protecciones,
Riesgos
consecuencias y probabilidad de amenaza.
El proceso de identificacin de riesgos
debe incluir una clasificacin cualitativa y,
donde
sea
apropiado,
clasificacin
cuantitativa de riesgos debe obtener
MEDIO
30
insumos de las tormentas de ideas de la MEDIO
El enfoque de la evaluacin de riesgos
deber asegurar
Medicin de que la informacin del anlisis de la
identificacin de riesgos genere como
Riesgos
resultado una medida cuantitativa y/o
42
cualitativa del riesgo al cual est expuesta MEDIO-ALTO MEDIO
El
enfoque
de
evaluacin
de
riesgos deber
proporcionar la definicin de un plan de
Plan
de
accin contra riesgos para asegurar que el
Accin
costoefectividad de los controles y las
contra
medidas de seguridad mitiguen los riesgos
Riesgos
56
en forma continua. El plan de accin contra MEDIO-ALTO MEDIO-ALTO
PO9 Evaluar
9.3
9.4
9.5
PO9 Evaluar
9.6
9.7
9.8
Aceptacin
de
Riesgos
Seleccin de
Garantas o
Protecciones
Compromiso
con
el
Anlisis de
Riesgos
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
importante
El enfoque de la evaluacin de riesgos
deber asegurar
la aceptacin formal del riesgo residual,
dependiendo de la identificacin y la
medicin del riesgo, de la poltica
organizacional,
de
la
incertidumbre
incorporada al enfoque de evaluacin de
riesgos y el costoefectividad de la MEDIO-ALTO MEDIO
42
implementacin
protecciones
Mientras se logra undesistema
de controles yy
garantas
razonable,
apropiado
y
proporcional, controles con el
mas alto retorno de inversin ROI return
of investment) y aquellos que
provean ganancia rpida deben recibir la
primera prioridad. El sistema de control
necesita adems balancear las medidas de
prevencin,
deteccin,
correccin
y
recuperacin. Adicionalmente,
42
MEDIO-ALTO MEDIO
la
Gerenciadeber
necesita
el
La Gerencia
motivarcomunicar
el anlisis de
riesgos como
una herramienta importante para proveer
informacin para
el
diseo
e
implementacin
de controles internos, en
MEDIO
30
la definicin del plan estratgico de MEDIO
OCURRENCI IMPACTO
Cumplir con los requerimientos del cliente de TI
Administraci
PO11 n
de
la
calidad
La alta gerencia deber desarrollar y
mantener
Plan
regularmente un plan general de calidad
11.1 General de
basado en los planes organizacionales y de
Calidad
tecnologa de informacin a largo plazo. El
plan deber promover la filosofa de mejora MEDIO-ALTO
La Gerencia deber establecer un enfoque
estndar
con respecto al aseguramiento de calidad,
Enfoque de que cubra tanto las actividades de
11.2 Aseguramie aseguramiento de calidad generales como
nto
de las especficas de un proyecto. El enfoque
deber determinar el
(los) tipo(s) de
Calidad
actividades de aseguramiento de calidad
(tales
como
revisiones,
auditoras, MEDIO-ALTO
inspecciones,
que implementar
deben realizarse
La
Gerencia etc.)
deber
un
Planeacin proceso de planeacin
de
11.3 del
aseguramiento
de calidad
Aseguramie
para
MEDIO-ALTO
nto
de determinar el alcance y la duracin de las
Revisin
del
Aseguramie
nto de la
Calidad
11.4 sobre
el La Gerencia deber asegurar que las
Cumplimien responsabilidades asignadas al personal de
to
de aseguramiento de calidad incluyan una
Estndares revisin del cumplimiento general de los MEDIO-BAJO
estndares y procedimientos de TI.
y
RIESGO JUSTIFICACIN
MEDIO
42
MEDIO
42
MEDIO
42
MEDIO-ALTO 24
OCURRENCI IMPACTO
Administraci
PO11 n
de
la
calidad
La alta gerencia de la organizacin deber
definir e
implementar
stndares de sistemas de
Metodolog
informacin y adoptar una metodologa del
a
del
ciclo de vida de desarrollo de sistemas que
11.5 Ciclo
de
gobierne el
proceso de
desarrollo,
Vida
de
adquisicin,
implementacin
y
Desarrollo
mantenimiento de sistemas de informacin
de Sistemas
computarizados y tecnologas relacionadas. MEDIO
Metodologa La metodologa del ciclo de vida de
del Ciclo
de
Vida
de
11.6 Desarroll
En el caso de requerirse cambios mayores a
la tecnologa actual, como en el caso de
o
adquisicin de nueva
tecnologa,
la
de
Gerencia
deber
asegurar
el
Sistemas
cumplimiento de la metodologa del ciclo de MEDIO
para
Actualizaci
n
de
la La alta gerencia deber implementar una
11.7 Metodolog revisin peridica de su metodologa del
a del Ciclo ciclo de vida de desarrollo de sistemas para
de Vida de asegurar
que
incluya
tcnicas
y
Desarrollo
procedimientos
actuales
generalmente MEDIO
RIESGO JUSTIFICACIN
MEDIO
30
MEDIO
30
MEDIO
30
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Administraci
PO11 n
de
la
calidad
La Gerencia deber establecer un proceso
para
asegurar la coordinacin y comunicacin
estrecha entre los clientes de la funcin TI y
Coordinacin los implementadores de sistemas. Este
11.8
proceso deber ocasionar que los mtodos
y
Comunicaci estructurados que utilice la metodologa del
ciclo de vida de desarrollo de sistemas
n
aseguren la provisin de soluciones de
tecnologa de informacin
MEDIO-BAJO MEDIO-ALTO 24
de calidad
que satisfagan
las demandas
de
Deber
establecerse
un marco
de referencia
Marco
de general
referente a la adquisicin y mantenimiento
Referencia
de la infraestructura de tecnologa. Los
de
11.9 Adquisicin diferentes pasos que deben ser seguidos
con respecto a la infraestructura de
y
(tales
como
adquisicin;
Mantenimie tecnologa
nto para la programacin, documentacin y pruebas;
de
parmetros; MEDIO
Infraestruct establecimiento
50
ALTO
mantenimiento
y
aplicacin
de
correcciones)
ura de
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
PO1
1
Administrac Cumplir con los requerimientos del

in de la cliente de TI
calidad
La Gerencia deber crear un proceso para

asegurar las buenas relaciones de trabajo
Relaciones con los implementadores externos que
pertenezcan a terceras partes. Dicho
con
11.1
proceso deber disponer que el usuario y el
Terceras
0
Partes como implementador estn de acuerdo sobre los
Implementa criterios de aceptacin, el manejo de
dores
cambios,
los
problemas
durante
el
desarrollo, las funciones de los usuarios, las
instalaciones,
las
herramientas,
el
software, los
Estndares estndares y los procedimientos.
12
la BAJO
11.1 para
La
metodologa
del ciclo de vida de
Documenta
1
desarrollo de sistemas deber incorporar
cin de
Programas estndares para la documentacin de
programas que hayan sido comunicados y
ratificados al personal interesado. La
metodologa deber
asegurar
que
la
documentacin creada durante el desarrollo
del sistema de informacin o durante la
modificacin de los proyectos coincida con
estos estndares.
ALTO
24
La metodologa del ciclo de vida de
desarrollo de sistemas de la organizacin
Estndares
debe proporcionar estndares que cubran
11.1 para
los requerimientos de pruebas, verificacin,
2
Pruebas de
documentacin y retencin para probar las
Programas
unidades de software y los programas
MEDIO-BAJO
MEDIO-
MEDIO-BAJO
MEDIO-
a
g
r
e
g
a
d
o
s
,
c
r
e
a
d
o
s
c
o
m
o
p
a
r
t
e
d
e
c
a
d
a
p
r
o
y
e
c
t
o
d
e
d
e
s
a
r
r
o
l
l
o
o
m
o
d
i
f
i
c
a
c
i
de sistemas de informacin.
30
MEDIO
MEDIO
OCURRENCI IMPACTO
Administraci
PO11 n
de
la
calidad
desarrollo de
Estndares sistemas
de
la
organizacin
debe
11.13 para
proporcionar estndares que cubran los
Pruebas de
requerimientos de pruebas, verificacin,
Sistemas
documentacin y retencin para la prueba MEDIO
desarrollo de
Prueba
sistemas de la organizacin debe definir
11.14 s
las condiciones bajo las cuales debern
Piloto/E
BAJO
conducirse las pruebas piloto o en
n
desarrollo de
Documenta sistemas de la organizacin debe disponer,
11.15 cin de las
como parte de cualquier proyecto de
Pruebas del desarrollo, implementacin o modificacin
Sistema
de sistemas de informacin, que se conserve MEDIO
Evaluacin
del
Aseguramie El enfoque de aseguramiento de calidad de
nto de la la organizacin deber requerir que una
11.16 Calidad
revisin post - implementacin de un
sobre
el sistema de informacin operacional evale
Cumplimien
to
de si el equipo encargado del proyecto, cumpli MEDIO-ALTO
Estndares
Revisin del con las estipulaciones de la metodologa del
RIESGO JUSTIFICACIN
MEDIO
30
MEDIO
MEDIO-BAJO 20
MEDIO
Aseguramie El enfoque de aseguramiento de calidad

de deber incluir una revisin de hasta qu
11.17 nto
punto los sistemas particulares y las
Calidad
actividades de desarrollo de aplicaciones
sobre
el Logro de han alcanzado los objetivos de la funcin MEDIO-ALTO MEDIO
42
42
Administraci
PO11 n
de
la
calidad
Mtricas
11.18
de
calidad
Reportes de
Revisiones
de
Aseguramie
11.19 nto de
Calidad
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
La gerencia deber definir y utilizar mtricas

para medir
los resultados de actividades, evaluando si MEDIO-ALTO MEDIO-BAJO 28
Los
reportes
de
revisiones
de
aseguramiento
de calidad debern ser
preparados y enviados a la Gerencia de los
departamentos usuarios y de la funcin de MEDIO-ALTO MEDIO-BAJO 28
OCURRENCIA IMPACTO RIESGO JUSTIFICACIN
Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores
AI6
Administr
ar
cambios
6.
1
6.2
de
6.3
de
Inicio
Control
de
Solicitudes
de Cambio
Anlisis
Impacto
Control
Cambios
La Gerencia deber asegurar que todas las

solicitudes de cambios tanto internos como
por
parte
de
proveedores
estn
estandarizados y sujetos a procedimientos
y formales de administracin de cambios.
Las solicitudes debern categorizarse y
priorizarse
y
se
deben
establecer
procedimientos especficos para manejar
cambios urgentes. Los solicitantes de los
cambios deben permanecer informados
acerca del
estatus de su solicitud.
MEDIO-BAJO ALTO
Deber establecerse un procedimiento para
asegurar que todas las solicitudes de
cambio sean evaluadas en
6.4
Cambios de
Emergencia
30
u
n
a
f
o
r
m
a
e
s
t
r
u
c
t
u
r
a
d
a
q
u
e
c
o
n
s
i
d
e
r
e
todos los posibles impactos que el

cambio pueda ocasionar
sobre el sistema operacional y su funcionalidad.
MEDIO-BAJO
La Gerencia de TI deber asegurar que la
administracin de cambios, as como el
control y la distribucin de software sean
integrados apropiadamente en un sistema
completo
de
administracin
de
configuracin. El sistema utilizado para
monitorear los cambios a los sistemas de
aplicacin debe ser automtico para
soportar el registro y seguimiento de los
cambios realizados a grandes y
complejos sistemas de informacin.
MEDIO-ALTO MEDIO-ALTO
La gerencia de TI debe establecer
parmetros
definiendo
cambios
de
emergencia
y
procedimientos
para
controlar estos cambios cuando ellos
traspasan los procesos normales de anlisis
de prioridades de la gerencia para su
implementacin.
Los
cambios
de
emergencia deben ser registrados y
autorizados por la
gerencia de TI antes de su implementacin. MEDIO-BAJO MEDIO-ALTO
MEDIO-ALTO
56
24
24
OCURRENCIA IMPACTO RIESGO JUSTIFICACIN
Minimizar la posibilidad de interrupciones, alteraciones no autorizadas, y los errores
AI6
Administr
ar
cambios
6.
5
Documenta
ci
ny
Procedimie
nto s
6.6
Mantenimiento
Autorizado
Poltica de
6.
7
6.8
de
Liberacin
de
Software
Distribucin
Softwar
e
El procedimiento de cambios deber

asegurar
que, siempre
que
se
implementen modificaciones a un
sistema, la documentacin
y
procedimientos relacionados sean
actualizados
demanera
correspondiente.
MEDIO
La Gerencia de TI deber asegurar que el
personal
de
mantenimiento
tenga
asignaciones especficas y que su
trabajo sea monitoreado apropiadamente.
Adems, sus derechos de acceso al sistema
debern ser controlados para evitar riesgos
de accesos no autorizados a los
sistemas automatizados.
30
La Gerencia de TI deber garantizar que la
liberacin
de software est regida por procedimientos formales
asegurando
aprobacin,
empaque,
regresin, entrega, etc.
MEDIO
Debern establecerse medidas de control especficas
para asegurar la distribucin del elemento
de software correcto al lugar correcto, con
integridad y de manera
oportuna y con adecuadas pistas de auditora.
MEDIO
30
MEDIO
pruebas
MEDIO
MEDIO
MEDIO
de
30
MEDIO-ALTO
40
RIESGO JUSTIFICACIN
Asegurar el
Tener la seguridad de que los servicios de TI
DS4 servicio
estn disponibles cuando se requieran y
continuo
asegurar un impacto mnimo
en
el
negocio
en
el
evento
de una
Marco
de interrupcin mayor
Referencia
La Gerencia de TI, en cooperacin con los
4.1 de
propietarios de los procesos del negocio,
Continuidad deber crear un marco de referencia de
de
continuidad
que
defina
los
roles,
Tecnologa responsabilidades, el enfoque/metodologa
de
basada en riesgo a seguir y las reglas y la
informacin estructura para documentar el plan de
4.2
continuidad, as como los
procedimientos de aprobacin.
Estrategia
30
y Filosofa
La Gerencia deber garantizar que el Plan
del Plan
de
continuidad
de
tecnologa
de
de
informacin se encuentra en lnea con el
Continuid
plan general de continuidad de la empresa
ad de TI
para asegurar consistencia. An ms, el
plan de continuidad de TI debe tomar en
consideracin el plan a mediano y largo
plazo de tecnologa de
informacin, con el fin de asegurar consistencia.
ALTO
56
OCURRENCIA IMPACTO
MEDIO
MEDIO-ALTO
MEDIO
MEDIO-
RIESGO JUSTIFICACIN
OCURRENCIA IMPACTO
Asegurar el
DS4 servicio
continuo
en
el
negocio
en
el
evento
de una
interrupcin mayor
Informacin.
L
a
4.
3
Contenido
del Plan de
Continuidad
de TI
G
e
r
e
n
c
i
a
d
e
4.
4
Reduccin
de
requerimien
tos
de
Continuidad
de
Tecnologa
de
T
I
d
e
b
e
r
a
s
e
g
u
r
a
r
q
u
e
s
e
d
e
s
a
r
r
o
l
l
e
u
n
p
l
a
n
e
s
c
r
i
t
o
c
o
n
t
e
n
i
e
n
d
o
l
o
s
i
g
u
i
e
n
t
e
:
+
G
u
a
s
sobre la utilizacin del Plan de

Continuidad;
+Procedimientos de emergencia para
asegurar la integridad de todo el
personal afectado;
+Procedimientos de respuesta definidos
para regresar al negocio al estado en que se
encontraba antes del incidente o desastre;
+Procedimientos para salvaguardar y
reconstruir las instalaciones;
+Procedimientos de coordinacin con las autoridades
pblica
s;
+Procedimientos de comunicacin con
los
socios
y
dems
interesados:
empleados, clientes clave, proveedores
crticos, accionistas y gerencia
+ Informacin crtica sobre grupos de
continuidad, personal afectado, clientes,
proveedores, autoridades
pblicas y medios de comunicacin.
90
La Gerencia de servicios de informacin
deber establecer procedimientos y guas
para minimizar los requerimientos de
continuidad con respecto a personal,
instalaciones, hardware, software, equipo,
formatos,
consumibles y mobiliario.
30
ALTO
MEDIO
No existe un plan de
Continuidad del TI,
pero existen ciertos
procedimientos
no
formalizados
que
podrian ayudar en el
caso de darse una
contingencia:
+ Se conoce a las
personas que se debe
notificar en caso de
suceder
una
emergencia.
+ Se conoce en donde
estan almacenados los
respaldos.
+ Los procesos de
respaldo de datos son
ejecutados de manera
ALTO diaria.
+ Se cuenta con un
centro
de
computo
alternativo
desde
donde
se
podra
continuar
con la atencin de
servicios
de IT.
MEDIO
RIESGO JUSTIFICACIN
OCURRENCIA IMPACTO
Asegurar el
DS4 servicio
continuo
en
el
negocio
en
el
evento
de una
interrupcin mayor
8
Mantenimiento del Plan de Continuidad de Tecnologa de Informacin
4.
5
Pruebas del Plan de Continuidad de TI
Entrenamiento sobre el Plan de Continuidad de Tecnologa de Informacin
4.
6
Distribucin del Plan de Continuidad de TI
L
a
G
e
r
e
n
c
i
a
d
e
T
I
4.
7
4.
d
e
b
e
r
p
r
o
v
e
e
r
p
r
o
c
e
d
i
m
i
e
n
t
o
s
d
e
c
o
n
t
r
o
l
d
e
c
a
m
b
i
o
s
p
a
r
a
a
s
e
g
u
r
a
r
q
u
e
e
l
p
l
a
n
d
e
c
o
n
t
inuidad se mantiene actualizado y refleja

requerimientos de negocio actuales. Esto
requiere
de
procedimientos
de
mantenimiento del plan de continuidad
alineados con el cambio, la administracin
y los procedimientos de recursos
humanos.
90
Para contar con un Plan efectivo de
Continuidad, la gerencia necesita evaluar su
adecuacin de manera regular
o
cuando
se
presenten
cambios
mayores
en
el
negocio
o
en
la
infraestructura de TI; esto requiere una
preparacin
cuidadosa,
documentacin,
reporte
de
los
resultados
de
las
pruebas e implementar un plan de accin
de acuerdo
con los resultados.
90
La metodologa de Continuidad ante
desastres deber asegurar que todas las
partes interesadas reciban sesiones
de
entrenamiento
regulares
con respecto
a los procedimientos a ser seguidos en
caso
de un incidente o un desastre.
ALTO
72
Debido a la naturaleza sensitiva de la
informacin del plan de continuidad, dicha
informacin deber ser distribuida solo a
personal autorizado y mantenerse bajo
adecuadas medidas de seguridad para
evitar su divulgacin. Consecuentemente,
algunas secciones del plan debern ser
distribuidas solo a las personas cuyas
actividades
hagan
necesario
ALTO
c
o
n
o
c
e
ALTO r
d
i
c
h
a
informacin.
ALTO
ALTO
ALTO
ALTO
ALTO
MEDIO-
MEDIO72
No
exist
e un
plan
de
Conti
nuid
ad
del
TI,
por
ende
tamp
oco
exist
en
proc
edim
iento
s de
contr
ol de
cam
bios.
No
exist
e
un
plan
de
C
o
n
t
in
ui
d
a
d
d
e
TI
ntinuidad de TI
No
un
de
C
o
n
ti
n
ui
d
a
d
d
e
TI
existe
plan
No
un
de
C
o
existe
plan
OCURRENCIA IMPACTO RIESGO
Asegurar el Tener la seguridad de que los servicios de TI

DS4 servicio
en
el
continuo
negocio
en
el
evento
de una
Procedimie interrupcin mayor
nto s de
respaldo de
4.9 procesamie La metodologa de continuidad deber
asegurar que los departamentos usuarios
nto
alternativo establezcan procedimientos alternativos de
procesamiento, que puedan ser utilizados
para
Departamen hasta que la funcin de servicios de
sea
capaz
de
restaurar
tos usuarios informacin
completamente sus
servicios despus de un evento o un desastre.
El plan de continuidad deber identificar los
programas de aplicacin, servicios de
terceros, sistemas operativos, personal,
Recursos
insumos, archivos de datos que resultan
4.1 Crticos de crticos as como los tiempos necesarios
Tecnologa
0
para la recuperacin despus de que se
de
Informacin presenta un desastre. Los datos y las
operaciones crticas deben ser identificadas,
documentadas, priorizadas y aprobadas por
los dueos de los procesos del negocio
en cooperacin con la Gerencia de TI.
ALTO
Sitio
y La Gerencia deber asegurar que la
4.1 Hardware
metodologa de continuidad incorpora la
1
de
identificacin de alternativas relativas al
Respaldo
sitio y al hardware de respaldo, as como
una seleccin alternativa final. En caso de
aplicar, deber establecerse un contrato
formal para este tipo
JUSTIFICACIN
MEDIO-BAJO
MEDIO-ALTO
de servicios.
MEDIO
ALTO
50
MEDIO-ALTO
72
24
No
exist
e un
plan
de
Conti
nuida
d del
TI,
pero
se
tiene
conci
encia
de
cuale
s son
los
recur
sos
de IT
de
impor
tanci
a
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Asegurar el
Tener la seguridad de que los servicios de TI estn disponibles cuando se requieran y asegurar un
DS4 servicio
impacto mnimo en el negocio en el evento de una interrupcin mayor
continuo
Almacenami
en to de
4.12 respaldo en
el
sitio
alterno
(Off-site)
Procedimien
de
4.13 to
afinamiento
del Plan de
Continuidad
El almacenamiento externo de copias de

respaldo, documentacin
y
otros
recursos tecnolgicos de
informacin, catalogados como crticos,
debe ser establecido para soportar el plan
de recuperacin y continuidad del negocio.
Los propietarios de los procesos del negocio
y el personal de la funcin de TI
deben involucrarse en determinar que
recursos de
respaldo deben ser almacenados en el sitio
alterno. La instalacin de almacenamiento
externo
debe
contar
con
medidas
ambientales para los medios y otros
recursos almacenados;
y
debe
tener
un
nivel
de seguridad suficiente, que
MEDIO
permita
proteger
los recursos
de respaldo
Dada una
exitosa
reanudacin
de la
funcin de TI
despus de un desastre, la gerencia de
servicios de informacin deber establecer
procedimientos para evaluar lo adecuado ALTO
ALTO
50
MEDIO
54
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Garantizar la Salvaguardar la informacin contra el uso no autorizado, divulgacin o modificacin, dao o prdida.
DS5 seguridad de
los sistemas
La seguridad en TI deber ser administrada
No existe un plan de
de tal
seguridad
forma que las medidas de seguridad se
encuentren en lnea con los requerimientos
de negocio. Esto incluye:
+ Trasladar informacin sobre evaluacin
Administr
de riesgos a los planes de seguridad de TI;
5.1 ar
+ Implementar el plan de seguridad de TI;
Medidas
+ Actualizar el plan de seguridad de TI
de
para reflejar cambios en la configuracin
Segurida
de TI;
d
+ Evaluar el impacto de las solicitudes de
cambio en la seguridad de TI;
MEDIO-ALTO 72
+ Monitorear la implementacin del plan ALTO
El acceso lgico y el uso de los recursos de
TI deber restringirse a travs de la
implementacin de
mecanismos adecuados de identificacin,
autenticacin y autorizacin relacionando
Identificaci los usuarios y los recursos con las reglas de
acceso. Dicho
5.2 n,
Autenticaci mecanismo deber evitar que personal no
n y Acceso autorizado, conexiones telefnicas por
marcado y otros puertos de entrada al
sistema (redes) tengan acceso a los
recursos de cmputo, de igual forma deber
minimizar la necesidad de autorizar MEDIO-BAJO MEDIO-ALTO 24
usuarios para usar mltiples sign-ons.
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
DS5 seguridad de
los sistemas
En
un
ambiente
de
tecnologa
de
informacin en lnea,
Seguridad
la Gerencia de TI deber implementar
5.3 de
procedimientos acordes con la poltica de
Acceso a
seguridad que garantiza el control de la
Datos
en
seguridad de acceso, tomando como base MEDIO-BAJO MEDIO-ALTO 24
Lnea
La
Gerencia
deber
establecer
procedimientos para
asegurar acciones oportunas relacionadas
Administrac con la solicitud, establecimiento, emisin,
5.4 in
de suspensin y cierre de cuentas de usuario.
Cuentas de Deber incluirse un procedimiento de
aprobacin
formal
que
indique
el
Usuario
propietario de los datos o del sistema que
otorga los privilegios de acceso. La MEDIO
MEDIO-ALTO 40
seguridad
acceso
a terceros
debe
La
Gerenciade
deber
contar
con un proceso
de control establecido para revisar y
Revisin
confirmar peridicamente los
5.5 Gerencial
derechos de acceso. Se debe llevar a cabo la
de
comparacin peridica entre los recursos y
Cuentas
los registros de las cuentas para reducir
42
de Usuario el riesgo de errores, fraudes, alteracin no MEDIO-ALTO MEDIO
Los usuarios debern controlar en forma
Control de sistemtica la actividad de su(s) propia(s)
cuenta (s). Tambin se
5.6 Usuarios
sobre
debern
establecer
mecanismos
de
Cuentas de informacin para permitirles supervisar la MEDIO-ALTO MEDIO-ALTO 56
Usuario
actividad normal, as como alertarlos
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Garantizar
Salvaguardar la informacin contra el uso no autorizado, divulgacin o
DS5 la seguridad modificacin, dao o prdida.
de
los
sistemas
La administracin de seguridad de TI debe
asegurar que la actividad de seguridad
sea registrada y que cualquier indicacin
sobre una inminente violacin de
Vigilancia
5.7
seguridad sea notificada inmediatamente a
de
todos aquellos que puedan verse afectados,
Seguridad
tanto interna como externamente y se debe
actuar de una manera
oportuna.
MEDIO-ALTO MEDIO-ALTO
56
La
Gerencia
deber
implementar
procedimientos para asegurar que todos
los datos son clasificados en trminos de
sensitividad,
mediante
una
decisin
explcita y formal del dueo de los datos
de acuerdo con el esquema de clasificacin
de datos. An los
datos que no requieren proteccin
debern contar con una decisin formal que
5.8
les asigne dicha clasificacin. Los dueos
Clasificaci
n
de
deben determinar la ubicacin o
Datos
disposicin de sus datos y determinar
quienes pueden compartir los datos aun si
y cuando los programas y archivos sean
mantenidos, archivados o borrados.
Debe quedar evidencia de la aprobacin del dueo y de
la disposicin del dato. Se deben definir
polticas para soportar la reclasificacin de
la informacin, basados sobre cambios en la
sensitividad. El esquema de clasificacin
debe incluir criterios para administrar el
intercambio
de
informacin
entre
organizaciones, teniendo en cuenta tanto la
s
e
g
u
r
i
d
a
d
y
e
l
c
u
m
p
l
i
m
i
e
n
t
o
como la legislacin
relevante.
MEDIO-ALTO
MEDIO
42
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
DS5 seguridad de
los sistemas
Administrac
in
de
Derechos
de Acceso e
Identificaci
n
Deben existir controles para asegurar que la

identificacin y los derechos de acceso de
5.9
los usuarios, as como la identidad del
sistema y la propiedad de los datos, son
establecidos y administrados de forma nica
y
para de
obtener
consistencia
Lacentralizada,
administracin
la funcin
de y
servicios de informacin deber asegurar
que las violaciones y la
Reportes de actividad de seguridad sean registradas,
reportadas,
revisadas
y
escaladas
5.10 Violacin y
apropiadamente en forma regular para
de
Actividades identificar y resolver incidentes que
involucren actividades no autorizadas. El
de
Seguridad
acceso lgico a la informacin sobre el
MEDIO-ALTO MEDIO-ALTO 56
registro
de recursos
de cmputo
(seguridadla
La
Gerencia
deber
implementar
capacidad de
manejar
incidentes
de
seguridad
computacional, dar atencin a dichos
Manejo de
incidentes mediante el establecimiento de
5.11
Incidentes
una plataforma centralizada con suficiente
experiencia y equipada con instalaciones
de comunicacin rpidas y seguras.
Debern establecerse las responsabilidades MEDIO
MEDIO-ALTO 40
y los procedimientos de manejo de
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
DS5 seguridad de
los sistemas
La Gerencia deber asegurar que se lleve a
cabo peridicamente una reacreditacin de
seguridad (por
5.12 Reacreditaci ejemplo,
a
travs
de
equipos
de
n
personal tcnico tigre) con el fin de
mantener actualizado el nivel de seguridad ALTO
MEDIO-BAJO 36
aprobado
formalmente
y la aceptacin
del
Las
polticas
organizacionales
debern
asegurar que se
Confianza en implementen prcticas de control para
5.13
Contrapartes verificar la autenticidad de las contrapartes
que
proporcionan
instrucciones
o
14
transacciones electrnicas. Esto puede MEDIO-ALTO BAJO
Las polticas organizacionales debern
asegurar que,
Autorizaci en donde sea apropiado, se implementen
5.14 n
de controles para proporcionar autenticidad a
transaccion las transacciones y establecer la validez de
es
la identificacin solicitada por el usuario
6
ante el sistema. Esto requiere el empleo de MEDIO-BAJO BAJO
asegurar que,
en donde sea apropiado, las transacciones
no puedan ser negadas por ninguna de las
No
partes participantes en la operacin y que
5.15
negacin o se implementen controles para que no se
no rechazo pueda negar el origen o destino de la
transaccin y que se pueda probar que se
envi y recibi la transaccin. Esto puede MEDIO
BAJO
10
lograrse a travs de firmas digitales, registro
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
DS5 seguridad de
los sistemas
asegurar
que
la
informacin
de
transacciones sensitivas es enviada y
recibida
exclusivamente
a
travs
de canales o senderos seguros
Sendero
5.16
(trusted paths). La informacin sensitiva
Seguro
incluye: informacin sobre administracin
de seguridad, datos de transacciones
sensitivas,
passwords
y
llaves
criptogrficas. Para
MEDIO
BAJO
10
lograrelesto,
se pueden
establecer
canales
Todo
hardware
y software
relacionado
con
seguridad
debe
encontrarse
permanentemente
Proteccin
5.17 de
las protegido contra intromisiones para proteger
funciones
su integridad y contra divulgacin de sus
de
claves
secretas.
Adicionalmente,
la
MEDIO-ALTO 8
seguridad
organizacin deber mantener discrecin BAJO
La
Gerencia
deber
definir
e
implementar
procedimientos y protocolos a ser utilizados
en la generacin, cambio, revocacin,
distribucin,
certificacin,
Administrac destruccin,
5.18 in
de almacenamiento, entrada, utilizacin y
archivo de llaves criptogrficas con el fin de
Llaves
Criptogrfic asegurar la proteccin de las mismas contra
modificaciones y divulgacin no autorizada.
as
Si una llave se encuentra comprometida
(en riesgo), la gerencia deber asegurarse ALTO
BAJO
18
de que esta informacin se hace llegar a
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
DS5 seguridad de
los sistemas
Con respecto al software malicioso, tal como
los virus computacionales o Caballos de
Troya, la Gerencia
deber
establecer
un
marco
Prevencin, de referencia de adecuadas medidas de
Deteccin y control preventivas, detectivas y correctivas
5.19 Correccin y responder y reportar su presencia. Las
de Software Gerencias de TI y de negocios
deben
Malicioso asegurar que se establezcan
procedimientos a travs de toda la
organizacin para
proteger los sistemas de informacin BAJO
MEDIO-ALTO 8
La organizacin deber contar con Firewall
Arquitectura adecuados
de Firewalls para proteger contra negacin de servicios y
5.20 y conexin a cualquier acceso no autorizado a los
recursos internos si existe conexin con
redes
Internet u otras redes pblicas; se deber
pblicas
controlar en ambos sentidos cualquier MEDIO-BAJO MEDIO-ALTO 24
La Gerencia debe proteger la integridad
continuada de todas las tarjetas o
mecanismos de seguridad fsica
Proteccin
5.21 de Valores similares, utilizadas para autenticacin o
Electrnico almacenamiento de informacin financiera
o sensitiva
s
tomando en consideracin las instalaciones o MEDIO
MEDIO-BAJO 20
equipos
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Asegurar que los datos permanezcan completos, precisos y vlidos durante su captura, procesamiento y
DS11 Administraci almacenamiento
n de datos
La
Gerencia
deber
establecer
procedimientos de
preparacin de datos que deben ser
Procedimien
seguidos por los departamentos usuarios. En
s
de
11.1 to
Preparacin este contexto, el diseo de formas de
entrada de datos deber ayudar a minimizar
de Datos
los errores y las omisiones. Durante la
creacin de los datos, los procedimientos MEDIO-BAJO MEDIO
18
manejo de
errores
debern que
asegurar
Procedimie de
La Gerencia
deber
asegurar
los
nto s de
documentos
fuente
sean
preparados
apropiadamente por personal
Autorizaci
11.2 n
de autorizado que acta dentro de su
autoridad, y que se establezca una
Document
separacin de funciones adecuada
con MEDIO-BAJO MEDIO-ALTO 24
os
Fuente
respecto
al origen y de
aprobacin
de
Los procedimientos
la organizacin
Recopilaci
debern
n
de
asegurar que todos los documentos fuente
11.3
Datos de autorizados estn completos, sean precisos,
Document
registrados apropiadamente y transmitidos MEDIO-BAJO MEDIO-ALTO 24
os Fuente
Manejo
de
Los procedimientos de manejo de errores
durante la
errores de
11.4
creacin de
datos debern asegurar
document
MEDIO
30
razonablemente que los errores y las MEDIO
os fuente
Debern establecerse procedimientos para
asegurar
Retencin de que la organizacin pueda retener o
11.5 Documentos
reproducir los documentos
fuente
Fuente
originales
durante
un perodo de
tiempo
razonable
para
facilitar
la MEDIO-BAJO MEDIO-ALTO 24
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Administraci
DS11 n de datos almacenamiento
11.6
11.7
11.8
11.9
Procedimient
o
s
de La
organizacin
deber
establecer
Autorizaci procedimientos apropiados para asegurar
n
de que la entrada de datos sea llevada a cabo MEDIO-BAJO
Los datos de transacciones, ingresados
para su
procesamiento (generados por personas,
Chequeos
por sistemas o entradas de interfase)
de
debern estar sujetos a una variedad de
Exactitud,
Suficiencia controles para verificar su exactitud,
suficiencia y validez. Asimismo, debern
y
establecerse procedimientos para asegurar MEDIO-ALTO
Autorizaci
Manejo de
Errores en La
organizacin
deber
establecer
la Entrada procedimientos para la correccin y reenvo
de Datos
de datos que hayan sido capturados MEDIO
La
organizacin
deber
establecer
procedimientos para
el procesamiento de datos que aseguren
Integridad
que la segregacin de funciones sea
de
mantenida y que el trabajo realizado sea
Procesamien
verificado
rutinariamente.
Los
to de Datos
procedimientos debern asegurar que se
MEDIO
Validacin y establezcan controles de actualizacin
Edicin de
11.10 Procesamie
nto de
Datos
MEDIO
18
MEDIO-ALTO 56
MEDIO
30
MEDIO-ALTO 40
La
organizacin
deber
establecer
procedimientos para asegurar que la
validacin, autenticacin y edicin del
procesamiento sean llevadas a cabo tan MEDIO-BAJO MEDIO-BAJO 12
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
n de datos
Manejo de
La
organizacin
deber
establecer
Errores
en procedimientos para
el manejo de errores en el procesamiento de
11.11 el
Procesamie datos que permitan la identificacin de
18
transacciones errneas sin que stas sean MEDIO-BAJO MEDIO
nto de
La
organizacin
deber
establecer
Manejo y procedimientos para
el manejo y la retencin de datos
11.12 Retencin
por
sus
programas
de
de Datos producidos
aplicacin de TI. En caso de que
de Salida
instrumentos
negociables
(ej.
Ttulos MEDIO-BAJO MEDIO-ALTO 24
Distribucin
de
La organizacin deber establecer y
11.13 Datos
comunicar procedimientos escritos para la
MEDIO-BAJO 20
Salidos de distribucin de datos de salida de tecnologa MEDIO
La
organizacin
deber
establecer
Balanceo y procedimientos para
asegurar que los datos de salida sean
11.14 Conciliacin
rutinariamente
con
los
de Datos de balanceados
totales de control relevantes. Debern
Salida
MEDIO
MEDIO
30
existir pistas de auditora para facilitar el
La Gerencia de la organizacin deber
Revisin
establecer
de Datos
procedimientos para asegurar que la
11.15 de Salida
precisin de los reportes de los datos de
y Manejo
salida sea revisada por el proveedor y por
de
18
los
usuarios
responsables.
Asimismo, MEDIO-BAJO MEDIO
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
n de datos
La
organizacin
deber
establecer
Provisiones procedimientos para
garantizar que la seguridad de los reportes
11.16 de
Seguridad
generados por los procesos sea mantenida
para
para todos aquellos reportes que estn por MEDIO-ALTO MEDIO-ALTO 56
Reportes
Proteccinde
de La Gerencia deber asegurar que durante
Informacin la transmisin y transporte de informacin
11.17
Sensible
sensible, se proporcione una adecuada
durante
proteccin contra acceso o modificacin no
transmisin autorizada, as como contra envos a MEDIO-ALTO MEDIO-ALTO 56
La
Gerencia
deber
definir
e
implementar
procedimientos para impedir el acceso a la
Proteccin
informacin sensitiva, al software de las
de
11.18
Informacin computadoras, a los discos y otros equipos o
medios cuando los mismos son desechados
Sensitiva
transferidos
a
otro
uso.
Tales
Desechada o
procedimientos debern garantizar que MEDIO-ALTO MEDIO
42
ninguna
informacin
como
Debern
desarrollarse marcada
procedimientos
Administraci para
el
de almacenamiento de datos que consideren
11.19 n
Almacenami requerimientos
de
recuperacin,
de
en to
economa y as mismo tengan en cuenta las MEDIO-BAJO MEDIO-ALTO 24
Perodos de Debern
definirse
los
perodos
de
retencin
y
los
Retencin y
de
almacenamiento
para
11.20 Trminos de trminos
documentos,
datos,
programas,
reportes
y
Almacenami
mensajes (de entrada y de salida), as como MEDIO-BAJO MEDIO-ALTO 24
en to
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
n de datos
La
funcin
de
servicios
de
informacin deber
Sistema de establecer procedimientos para asegurar
Administrac
11.21 in de la que el contenido de su librera de medios
sea inventariado sistemticamente, que
Librera de
cualquier discrepancia revelada por un
Medios
inventario
fsico
sea
solucionada
MEDIO-ALTO MEDIO-ALTO 56
oportunamente
y
que
se
consideren
La Gerencia de la funcin de servicios las
de
informacin
deber
establecer
Responsabili procedimientos de administracin
da des de la para proteger el contenido de la librera
de medios. Debern definirse estndares
11.22 Administraci para la identificacin externa de medios
n de la
magnticos y el control de su
Librera de movimiento y almacenamiento fsico para
Medios
soporte y registro. Las responsabilidades
sobre el manejo de la
libreras
de medios
magnticas,
La
Gerencia
deber (cintas
implementar
una
estrategia
apropiada de respaldo y recuperacin para
Respaldo
asegurar que sta incluya una revisin de
11.23 (Back-up)
los requerimientos del negocio, as como
y
el
desarrollo,
implementacin, prueba y
Restauraci
documentacin
del
plan de recuperacin. Se
n
MEDIO-BAJO ALTO
30
debern
establecer
para
Debern establecerse procedimientos
procedimientos para
Funciones de asegurar
11.24
que los respaldos sean realizados de
Respaldo
acuerdo con la estrategia de respaldo MEDIO-BAJO MEDIO-ALTO 24
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
n de datos
Los procedimientos de
respaldo para
los medios
relacionados
con
tecnologa
de
informacin
debern
incluir
el
Almacenami
almacenamiento
apropiado
de
los
11.25 en to de
archivos de datos, del software y de la
Respaldos
documentacin relacionada, tanto dentro
como fuera de las instalaciones. Los
respaldos debern ser almacenados con MEDIO-BAJO MEDIO-ALTO 24
seguridad
las
instalaciones
de
La Gerenciay deber
implementar una
poltica y
procedimientos para asegurar que el
11.26 Archivo
archivo cumple con requerimientos legales
42
y de negocio y que se encuentra MEDIO-ALTO MEDIO
Con respecto a la transmisin de datos a
travs de
Proteccin
Internet u otra red pblica, la Gerencia
11.27
de deber
definir
e
implementar
Mensajes
procedimientos y protocolos que deben
Sensitivos
ser utilizados para el aseguramiento de la MEDIO-ALTO BAJO
14
integridad,
confidencialidad
no
Antes
que alguna
accin crtica seay tomada
sobre informacin originada fuera de la
Autenticaci Organizacin, que se
11.28
reciba va telfono, correo de voz,
ne
documentos (en papel), fax o correo
Integridad
electrnico,
se
deber
verificar MEDIO-ALTO BAJO
14
adecuadamente la autenticidad e integridad
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
n de datos
Tomando en consideracin que las fronteras
tradicionales de tiempo y de geografa
son menos precisas y confiables, la
Gerencia deber
definir
e
implementar
apropiados
procedimientos
y
prcticas
para
transacciones electrnicas que sean
sensitivas y crticas para la Organizacin,
Integridad
que permitan asegurar su integridad y
11.29 de
autenticidad de:
Transaccion +
atomicidad
(unidad
de
trabajo
es
indivisible, todas sus acciones tienen xito
Electrnicas o todas ellas fallan)
+ consistencia (si la transaccin no logra
alcanzar un estado final estable, deber
regresar al sistema a su estado inicial);
+ aislamiento (el comportamiento de una
transaccin no es afectado por otras ALTO
BAJO
18
transacciones
que
se
ejecutan
La Gerencia deber asegurar que la
Integridad
integridad y lo adecuado de los datos
11.30 Continua
mantenidos en archivos y otros medios (ej.
de
Datos
tarjetas
electrnicas)
se
verifique
Almacenad
peridicamente. Atencin especfica deber
MEDIO-BAJO BAJO
6
os
darse a dispositivos de tokens, archivos de
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros
Administraci naturales y provocados por el
DS12 n
de hombre.
instalacione
s
Debern
establecerse
medidas
No
existe
una
apropiadas de
poltica o
seguridad fsica y medidas de control de
procedimientos
de
acceso para las instalaciones de tecnologa
seguridad formalmente
de informacin incluyendo el uso de
definidos.
Pero
el
dispositivos de informacin off-site en
acceso a los servidores y
conformidad con la poltica general de
al rea
de
cableado
Seguridad
seguridad.
La
seguridad
fsica
y
los
estructurado
esta
12.1
Fsica
controles de acceso deben abarcar no slo
restringido.
el rea que contenga el hardware del
sistema sino tambin las ubicaciones del
cableado usado para conectar elementos
del sistema, servicios de soporte (como la
energa elctrica), medios de respaldo y
dems elementos requeridos para la
70
operacin del sistema. El acceso deber MEDIO-ALTO ALTO
Discrecin
La Gerencia de la funcin de servicios de
sobre las informacin
deber asegurar que se mantenga un bajo
12.2 Instalacion
perfil sobre la identificacin fsica de las
es de
relacionadas
con
sus
Tecnologa instalaciones
42
MEDIO-ALTO MEDIO
operaciones
de
tecnologa
de
informacin.
de
Debern
establecerse
procedimientos
apropiados que aseguren que las personas
que no formen parte del grupo de
Escolta de
operaciones de la funcin de servicios de
12.3
Visitantes
informacin sean escoltadas por algn
miembro de ese
grupo
cuando
deban
entrar
a
las ALTO
54
MEDIO
instalaciones de
OCURRENCI IMPACTO
RIESGO JUSTIFICACIN
Proveer un entorno fsico adaptable el cual proteja al equipo y personas de TI contra los peligros
Administraci naturales y provocados por el
DS12 n
de hombre.
instalacione
s
Debern
establecerse
y
mantenerse
Salud
y prcticas de salud y seguridad en lnea con
12.4 Seguridad
las leyes y regulaciones internacionales,
del
nacionales, regionales, estatales y locales.
MEDIO-ALTO MEDIO-BAJO 28
Personal
La Gerencia de la funcin de servicios de
informacin
Proteccin
deber asegurar que se establezcan y
12.5 contra
mantengan las suficientes medidas para la
Factores
proteccin contra los factores ambientales
Ambiental
(por ejemplo, fuego, polvo, electricidad,
es
42
calor o humedad excesivos). Debern MEDIO-ALTO MEDIO
La Gerencia deber evaluar regularmente la
necesidad
Suministro de contar con generadores y bateras de
12.6 Ininterrump suministro ininterrumpido de energa (UPS)
ido
de para las aplicaciones crticas de tecnologa
Energa
de informacin, con el fin de protegerse
MEDIO-ALTO 8
contra fallas y fluctuaciones de energa. BAJO
7.2.4
Riesgos
Evaluar y Priorizar
Las comparaciones del anlisis de riesgo realizadas sobre diferentes

reas de la organizacin o sobre los diferentes procesos permiten priorizar
los riesgos sobre los cuales se ha de centrar la atencin para definir una
opcin de tratamiento.
Se ha elaborado una lista ordenada de mayor a menor, por la valoracin del
nivel de exposicin. Esto permite definir los riesgos de mayor grado de
importancia sobre los cuales deber definir las opciones de tratamiento.
Centrando nuestra atencin en lo crtico, de acuerdo a los niveles de
aceptacin que se han definidos
A continuacin se detalla un resumen del nivel de exposicin de
los riesgos.
Proceso
s continuidad del
DS4 - Asegurar
servicio
DS5 - Garantizar la seguridad de
sistemas
DS11 - Administrar la informacin
PO9 - Evaluar Riesgos
PO11 -Administrar Calidad
DS12
Administrar
las
instalaciones
AI6 - Administrar cambios
Objetivo
s
de
Control Alto Medio Bajo Alto+Medi
o
13
6
4
3
10
21
30
8
19
6
8
105
1
0
0
0
1
0
8
8
7
6
6
3
2
36
12
23
2
13
2
6
61
9
7
6
6
4
2
44
8%
34%
58%
42%
Los riesgos a priorizar son los que estn en el nivel de exposicin ALTO y
MEDIO.
7.2.5
Tratamiento del
Riesgo
Para la actividad o componente al cual se aplic el proceso de
administracin de riesgos, hay que determinar las posibles formas de
reducir o mitigar el riesgo.
Entre las opciones de tratamiento tenemos las
siguientes:
Evitar: Se reduce la probabilidad de prdida al mnimo; dejar de ejercer la
actividad o proceso.
Reducir: Se consigue mediante la optimizacin de los procedimientos y la
implementacin de controles tendientes a disminuir la probabilidad de
ocurrencia o el impacto.
Atomizar: Distribuir la localizacin del riesgo, segmentando el objeto sobre el
cual se puede materializar el riesgo.
Transferir: Pasar el riesgo de un lugar a otro, compartir con otro el riesgo,
esta tcnica no reduce la probabilidad ni el impacto, involucra a otro en la
responsabilidad.
Asumir: Se acepta la prdida residual probable, con la aceptacin del riesgo
las estrategias de prevencin se vuelven esenciales.
El tratamiento a usar para mitigar los riesgos de alto impacto es
estableciendo controles que ayuden a reducir el impacto y probabilidad de
ocurrencia de eventos que puedan ocasionar daos a la infraestructura de
IT.
Los controles
procesos de
Administracin
IT.
implementar
estn
enfocados
los
de
DOMINIO
Planeacin
y
Organizacin
Adquisicin e
Instalacin
Entrega
de
Servicios
PROCESO
PO9 Evaluar riesgos
PO11 Administrar Calidad
AI6
Administrar cambios
DS4
Asegurar
continuidad
Garantizar
seguridad
de sistemas
DS11 Administrar
informacin
DS12 Administrar
instalaciones
DS5
la
la
las
siguientes
8. PLAN DE ACCIN
MODELO DE MEJORES PRACTICAS COBIT
Pag 1/3
PLAN
DE
ACCIN
PLANIFICACIN
Y
PO9 Evaluar Riesgo
DOMINIO :
PROCESO:
ORGANIZACIN
Soportar las decisiones de la administracin a travs del
que
el logro de los objetivos de TI
satisface
y responder a las amenazas reduciendo su complejidad
los
incrementando su objetividad e identificando factores
requerimie
se hace posible la participacin de la propia organizacin en la
identificacin de riesgos de TI y en el
a travs
anlisis
de
impacto,
involucrando
funciones
de:
multidisciplinarias y tomando medidas econmicas para
los riesgos.
Propiedad
y registro de la administracin del riesgo
y
toma
en mitigar
diferentes tipos de riesgos de TI (por ejemplo:
consideracin:
tecnolgicos, de seguridad, de continuidad,
regulatorios, etc.)
Definir y comunicar el perfil de tolerancia del riesgo
Anlisis del origen de las causas y sesiones de
tormentas de ideas sobre riesgos
Medicin cuantitativa y/o cualitativa del riesgo
metodologa de evaluacin de riesgos
plan de accin de riesgos
Reevaluaciones
oportunas
CONTROLES
Control
a POLTICAS Y PROCEDIMIENTOS DE EVALUACIN DE
Implementar
RIESGOS.
PO9 C1
La administracin deber establecer un foro Gerencial,
para asegurarse que
exista una direccin clara de las iniciativas de seguridad
Metodologa
Frecuencia de evaluacin
Evaluaciones de riesgo a nivel global y de sistemas
Equipo multidiscplinario
Mantener actualizadas las evaluaciones de riesgo,
resultados de auditoras, inspecciones e incidentes
Polticas de seguros que cubren el riesgo residual.
Responsa
Gerente General
bles
de
Plazo
9 meses
(tiempo
de
Control
Implementar
PO9 C2
Responsa
bles
de
Plazo
(tiempo
de
REVISIONES DE GRUPOS ESPECIALIZADOS

La Gerencia debe solicitar la revisin independiente de
grupos especializados
de seguridad y de tecnologa de Informacin
Especialista de Seguridad identifican amenazas
Especialistas de TI identifican los controles
Gerente General y Gerencia de Sistemas
3 meses

Pag 2/3
PLAN
DE
ACCIN
PLANIFICACIN
Y
PO9 Evaluar Riesgo
DOMINIO :
PROCESO:
ORGANIZACIN
CONTROLES
Control
a
DEFINICIN DE UN MARCO REFERENCIAL DE
Implementar
RIESGOS
PO9 C3
La Gerencia deber establecer una evaluacin sistemtica
de
riesgos incorporando:
Los riesgos de informacin relevantes para el
logro de los objetivos de la organizacin
Base de datos para determinar la forma en la que
los riesgos deben ser manejados a un nivel
aceptable.
Gerente General
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
PO9 C4
Responsa
bles
de
Plazo
(tiempo
de
2 meses
PROCEDIMIENTOS DE EVALUACIN DE RIESGOS

La
gerencia
deber:
Determinar que los riesgos identificados incluyen
factores tanto externos como internos
Asesores expertos en riesgos deben asegurar las
evaluaciones de riesgo
Revisar los informes de resultados de las
auditoras, Revisiones de Inspecciones e
incidentes identificados.
Definir un enfoque cuantitativo y/o cualitativo formal
Gerente
General
para la
identificacin
y
medicin de
3 meses

Pag 3/3
PLAN
DE
ACCIN
PLANIFICACIN
Y
PO9 Evaluar Riesgo
DOMINIO :
PROCESO:
ORGANIZACIN
Control
a REPORTES A LA PRESIDENCIA PARA SU REVISIN
Implementar
Y
PO9 C5
ACUERDO DE ACEPTACIN
La Gerencia de Sistemas deber emitir reportes a la
Presidencia
para su revisin y acuerdo con los riesgos identificados.
Responsa
Gerencia de Sistemas
bles
de
Plazo
1 mes
(tiempo
de
Control
a
PLAN DE ACCIN
Implementar
PO9 C6
La Gerencia deber establecer el plan de accin contra
los riesgos, se debe
establecer la estrategia de riesgos en trminos de
Responsa
Gerente General
bles
de
Plazo
3 meses
(tiempo
de
RIESGOS A MITIGAR
Objetivos
de
Riesgo
Riesgo
OBSERVACIN
Actual
Esperado
Control
O
I
T
O
I
T
Evaluacin de Riesgos 7
8
8
56 3
24 PO9-C1, C3, C4
del
Negocio de Evaluacin 7
Enfoque
9
9
56 3
27 PO9-C1, C3, C4
de
Riesgos de Riesgos
Medicin
7
6
6
42 5
30 PO9-C3, C4
Plan de Accin contra 7
8
8
56 3
24 PO9-C3, C6
Riesgos
Aceptacin de Riesgos 7
6
6
42 5
30 PO9-C5, C6
Seleccin de Garantas 7
6
6
42 5
30 PO9-C1, C6
o
Protecciones

Pag 1/2
PLAN
DE
ACCIN
PLANEACIN
Y PROCESO:
PO11
DOMINIO :
ORGANIZACIN
Administracin
Satisfacer los requerimientos del cliente
deCalidad
TI
que
De la
satisface
los
requerimie
se
hace La planeacin, implementacin y mantenimiento de
posible
a estndares y
sistemas de administracin provistos
travs de:
para las distintasde
fases
desarrollo,
con
Establecimiento
una de
cultura
de calidad
y
toma
en
Planes de calidad
consider
responsabilidades de aseguramiento de la calidad
acin:
Prcticas de control de calidad
metodologa del ciclo de vida de desarrollo de sistemas
Pruebas y documentacin de programas y sistemas
revisiones y reporte de aseguramiento de calidad
Entrenamiento e involucramiento
del usuario final y del personal de
aseguramiento de calidad
Desarrollo de una base de conocimientos de
aseguramiento
CONTROLES
Control
a
Implementar
POLTICAS Y PROCEDIMIENTOS RELACIONADOS
PO11 C1
CON EL desarrollar,
ASEGURAMIENTO
DEy
La organizacin
deber
diseminar,
peridicamente
revisar/actualizar:
(i)
Una poltica de administracin del Plan
General de la Calidad formalmente definida
y documentada.
Responsa
Gerente de Sistemas, Oficial de Seguridad.
bles
de
Plazo
1 mes
(tiempo
de
Control
a
Implementar
METODOLOGA
DEL
CICLO
DE
VIDA
DE
PO11 C2
DESARROLLO
DE
SISTEMAS
La organizacin deber fijar, realizar, y documentar la
metodologa adecuada
del ciclo de vida en el desarrollo de los sistemas
tanto adquirido como desarrollado internamente
Responsa
bles
de
Plazo
2 meses
(tiempo
de
Control
a
Implementar
MARCO REFERENCIAL DE ADQUISICIN Y
PO11 C3
LA
La organizacinMANTENIMIENTO
deber construir un PARA
marco referencial
que incluya pasos a
seguir como: adquisicin, programacin, documentacin
y pruebas , establecimiento de parmetros y aplicacin
de correcciones
, estos
pasos
deben estar alineados
Responsa
Gerente
de Sistemas,
Oficial
de Seguridad.
bles
de
implemen
Plazo
2 semanas
(tiempo
de
Pag 2/2
PLAN
DE
ACCIN
PLANEACIN
Y PROCESO:
PO11
DOMINIO :
ORGANIZACIN
Administracin
Control
a
De la Calidad
Implementar
ENFOQUE DE ASEGURAMIENTO DE LA CALIDAD
PO11 C4
LA ORGANIZACIN
La DE
organizacin
deber
desarrollar, diseminar, y
peridicamente
revisar/actualizar:
a. Una revisin post-implementacin para
asegurar que todos los sistemas nuevos
modificados sean desarrollados y puestos
en produccin
de acuerdo con la
metodologa del ciclo de vida, el cual debe
ser respetado por el equipo del proyecto.
b. Una revisin en la medida que los sistemas
nuevos Oficial
modificados
han alcanzado los
Responsa
Gerente de Sistemas,
de Seguridad.
bles
de
Plazo
1 mes
(tiempo
de
RIESGOS
Riesgo
Actual
Objetivos
de
Control
O
I
T
6
42
Plan
General
de 7
Enfoque de
7
6
42
Aseguramiento
de
Calidad
Planeacin
del
7
6
42
Aseguramiento
de
Marco de Referencia 5
10 50
de
Adquisicin
y
Mantenimiento
para
la
Evaluacin del
7
6
42
Aseguramiento de la
Calidad
sobre el Cumplimiento
de
Estndares de
Revisin del
7
6
42
Aseguramiento
de
Calidad sobre
el Logro de los
Objetivos de TI
A MITIGAR
Riesgo
Esperado
OBSERVACIN
O
I
T
5
6
30 PO11-C1-C4
5
6
30 PO11-C1-C4
5
30 PO11-C1-C4
10
30 PO11-C3
30 PO11-C2
30 PO11-C4

Diseo de un Sistema de Gestin de Pag 1/3
Seguridad
PLAN
DE
ACCIN
ADQUISICIN
E
AI6-Administrar
DOMINIO :
PROCESO:
IMPLEMENTACIN
Cambios
Minimizar la probabilidad de interrupciones, alteraciones
que
no autorizadas y errores
satisface
los
requerimie
Un sistema de administracin que permita el anlisis,
se
hace
implementacin y seguimiento
posible
a
de todos los cambios requeridos y llevados a cabo a la
travs de:
infraestructura
actual.
identificacin de
de TI
cambios
y
toma
en
procedimientos
de
categorizacin, priorizacin y
consideracin:
emergencia
evaluacin del impacto
autorizacin de cambios
Administracin de liberacin
distribucin de software
Uso de herramientas automatizadas
Administracin de la configuracin
CONTROLES
Control
a
Implementar
CONTROL
DE
AI6 C1
CAMBIOS
La Gerencia de TI deber asegurar que la administracin
de cambios, as como
el control y la distribucin de software sean integrados
apropiadamente
en
un
sistema
completo
de
administracin de configuracin. El sistema utilizado para
monitorear los cambios a los sistemas de aplicacin debe
Responsa
bles
de
Plazo
8 meses
(tiempo
de
Control
Implementar
AI6 C2
SOFTWARE
INSTALADO
POR EL USUARIO (USER
INSTALLED SOFTWARE)
La organizacin deber dar restricciones explcitas para
descargar e instalar
software
parte de los
usuarios
Gerencia por
de Sistemas,
Oficial
de Seguridad.
Responsables
de
implementacin 1 mes
Plazo
(tiempo
de
Control
Implementar
AI6 C3
Responsa
bles
de
Plazo
(tiempo
de
RESTRICCIONES DE USO
DE
SOFTWARE.
La organizacin deber obedecer a las restricciones de uso
del software.
Gerencia de Sistemas, Oficial de Seguridad.
4 meses

Pag 2/3
PLAN
DE
ACCIN
ADQUISICIN
E
AI6-Administrar
DOMINIO :
PROCESO:
IMPLEMENTACIN
Cambios
Control
a
Implementar
DOCUMENTACIN DE LOS SISTEMAS DE
AI6 C4
INFORMACIN
La organizacin
deber asegurar que
este
disponible la
adecuada
documentacin para el sistema de informacin y sus
componentes
constitutivos,
protegida
cuando
es
Responsa
Gerencia
de Sistemas,
Oficial de Seguridad.
bles
de
Plazo
1 mes
(tiempo
de
Control
Implementar
AI6 C5
Responsa
bles
de
implemen
Plazo
(tiempo
de
Control
Implementar
AI6 C6
3 meses
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
AI6 C7
Responsa
bles
de
implemen
Plazo
(tiempo
de
POLTICAS
Y
PROCEDIMIENTOS
DE
ADMINISTRACIN
DE
LA
CONFIGURACIN
La organizacin
deber
peridicamente
revisar/actualizar:
(iii)
Una poltica de administracin de la
configuracin
formalmente
definida
y
documentada.z
(iv)
Procedimientos documentados para facilitar la
CONFIGURACIN
La organizacin BSICA
deber desarrollar, documentar, y
mantener actualizada la
configuracin bsica de los Sistemas de Informacin
4 meses
CONFIGURATION
La organizacin SETTINGS
deber configurar el ambiente de
seguridad de los productos de
tecnologa de informacin al modo mas restrictivo
3 meses

Pag 3/3
PLAN
DE
ACCIN
ADQUISICIN
E
AI6-Administrar
DOMINIO :
PROCESO:
IMPLEMENTACIN
Cambios
Control
a
Implementar
BITCORA DE CONTROL DE CAMBIOS
AI6 C8
La Gerencia de IT, deber establecer una bitcora de
control de cambios sobre
Responsa
los sistemas
Gerencia
de Sistemas
de informacin computarizados.
bles
de
Plazo
3 meses
(tiempo
de
RIESGOS A MITIGAR
Objetivos
de
Riesgo
Riesgo
OBSERVACIN
Actual
Esperado
Control
O
I
T
O
I
T
7
8
8
56 3
24 AI6-C7, C1, C8, C6, C5
Control de Cambios
8
8
40 1
8 AI6-C2, C3, C4
Distribucin
de 5

Pag 1/4
PLAN
DE
ENTREGA ACCIN
Y PROCESO:
DS4 Asegurar
DOMINIO :
SOPORTE
Continuidad
del
que
Servicio
Asegurar de los servicios de TI estn
disponibles de
satisface
acuerdo con los
los
requerimientos y asegurar un impacto mnimo en el
requerimie
el evento
que ocurra
unay interrupcin
se
hace negocio
Teniendo en
un plan
de continuidad
probado
funcional, que
posible
a est alineado con el plan de continuidad del
travs de:
negocio y relacionado con los requerimientos
y
toma
Clasificacin con base en la criticidad
en
Procedimientos alternativos
consider
Respaldo y recuperacin
acin:
Pruebas y entrenamiento sistemticos y regulares
Procesos de escalamiento y monitoreo
Responsabilidades organizacionales tanto internas como
externas
Planes de reactivacin
Actividades de administracin de riesgos
Anlisis deCONTROLES
punto nico de falla
Control
Implementar
DS4 C1
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS4 C2
Responsa
bles
de
implemen
Plazo
(tiempo
de
Control
Implementar
DS4 C3
POLTICAS Y PROCEDIMIENTOS
CONTINGENCIA
DEL
PLAN
DE
La organizacin
deber
peridicamente
revisar/actualizar:
(v)
Una poltica del plan de contingencia con
el propsito de identificar los roles,
responsabilidades y cumplimiento.
(vi)
Procedimientos documentados para facilitar
la implantacin de la polticas del plan de
1 mes
a
PLAN
DE
CONTINGENCIA
La organizacin debe desarrollar implementar un Plan
de Contingencia para
los sistemas de informacin . Designar un oficial para
que
revise
y apruebe
de contingencia y
Gerente
de Sistemas,
Oficial el
de plan
Seguridad.
10 meses
ENTRENAMIENTO
PARA
LA
CONTINGENCIA
La organizacin debe entrenar al personal involucrado
en la contingencia con
sus roles , responsabilidades con respecto a los sistemas
de informacin y proveer constantemente entrenamiento
. La organizacin debe incorporar eventos de simulacro
Responsa
bles
de
Plazo
(tiempo
de

2 semanas

Pag 2/4
PLAN
DE
ENTREGA ACCIN
Y PROCESO:
DS4 Asegurar
DOMINIO :
SOPORTE
Continuidad
del
Servicio
Control
a
PROBAR EL PLAN DE CONTINGENCIA
Implementar
DS4 C4
La organizacin debe probar el plan de contingencia
para los sistemas de
informacin y determinar si el plan es efectivo y la
organizacin est lista para ejecutar el plan
Responsa
bles
de
Plazo
1 mes
(tiempo
de
Control
a
Implementar
ACTUALIZACIN
DEL
PLAN
DE
DS4 C5
CONTINGENCIA
La organizacin
debe revisar el plan de contingencia , los
cambios o problemas
Responsa
encontrados
Gerente
de Sistemas,
durante Oficial
la implementacin
de Seguridad. , ejecucin
bles
de
Plazo
1 mes
(tiempo
de
Control
a
Implementar
SITIO ALTERNO DE ALMACENAMIENTO
DS4 C6
La organizacin debe identificar un sitio alterno de
almacenamiento e iniciar
acuerdo necesarios que permitan almacenar la
informacin de respaldo.
El sitio debe estar geogrficamente bien separado del
sitio primario para que o este expuesto a alguna
amenaza. El sitio alterno debe estar configurado de
Responsa
bles
de
implemen
Plazo
1 mes
(tiempo
de
Control
Implementar
DS4 C7
Responsa
bles
de
Plazo
(tiempo
de
SITIO ALTERNO DE PROCESAMIENTO

La organizacin debe identifica el sitio alterno de
procesamiento e iniciar
los acuerdo necesarios que
permita reiniciar las
operaciones cuando no este disponible el site
primario. El sitio de procesamiento alterno debe
3 mes

Pag 3/4
PLAN
DE
ENTREGA ACCIN
Y PROCESO:
DS4 Asegurar
DOMINIO :
SOPORTE
Continuidad
del
Control
a
Servicio
Implementar
SERVICIO DE TELECOMUNICACIONES
DS4 C8
La organizacin debe tener un servicio alterno de
telecomunicaciones cuando
Responsa
el servicio
Gerente
deprincipal
Sistemas,
deOficial
comunicaciones
de Seguridad.
no est disponible
bles
de
Plazo
2 semanas
(tiempo
de
Control
a
Implementar
BACKUP
DE
LOS
SISTEMAS
DE
DS4 C9
INFORMACIN
La organizacin
debe respaldar
y almacenar la
informacin en una ubicacin
apropiadamente segura. Debe almacenar las copias de
respaldosdedel
sistemaOficial
operativo
y otros sistemas crticos
Responsa
Gerente
Sistemas,
de Seguridad.
bles
de
Plazo
3 meses
(tiempo
de
Control
a
Implementar
RECUPERACIN Y RECONSTITUCIN DE LOS
DS4 C10
DE INFORMACIN
LaSISTEMAS
organizacin
debe emplear mecanismos con
procedimientos de soporte para
permitir que el sistema de informacin sea recuperado y
reconstituido al estado original del sistema despus de
una interrupcin falla.
La organizacin debe incluir una recuperacin y
reconstitucin
completa
sistema de informacin
Responsa
Gerente
de Sistemas,
Oficialdel
de Seguridad.
bles
de
Plazo
2 meses
(tiempo
de

Pag 4/4
PLAN
DE
ENTREGA ACCIN
Y PROCESO:
DS4 Asegurar
DOMINIO :
SOPORTE
Continuidad
del
Servicio
RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
OBSERVACIN
Objetivos
de
Control
O
I
T
O
I
T
Contenido del Plan de 9
10 90 3
10 30 DS4-C1, C2,
Continuidad de TI
Mantenimiento
del 9
10 90 3
10 30 DS4-C1,C2, C5
Plan de
Continuidad de
Pruebas del Plan de
9
10 90 3
10 30 DS4-C1,C2,C4
Continuidad de TI
Entrenamiento sobre 9
8
8
72 3
24 DS4-C1, C2, C3
el
Plan
de
Continuidad de
Distribucin del Plan 9
8
8
72 3
24 DS4-C1,C2
de
Recursos
Crticos
Continuidad
de TI de
9
8
8
72 5
40 DS4-C1,C2, C10
Tecnologa de
Informacin
Estrategia y Filosofa 7
8
8
56 4
32 DS4-C1,C2,C10
del
Plan
de
Sitio y Hardware de
5
10 50 4
10 40 DS4-C1,C6,C7,C8
Respaldo
Almacenamiento de
5
10 50 3
10 30 DS4-C1, C2, C9
respaldo en el sitio
alterno
Procedimiento de
9
6
6
54 5
30 DS4-C1,C10
afinamiento del Plan
de

Pag 1/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
que
Salvaguardar
la
informacin sistemas
contra
uso
no
satisface
autorizados, divulgacin,
los
modificacin, dao o prdida
requerimie
se
hace Controles de acceso lgico que aseguren que el acceso
posible
a a sistemas, datos y
travs de:
programas est restringido a usuarios autorizados.
Requerimiento de confidencialidad y privacidad
y
toma
Autorizacin, autenticacin y control de acceso
en
identificacin de usuarios y perfiles de autorizacin
consider
Necesidad de tener y necesidad de conocer
acin:
administracin de llaves criptogrficas
manejo, reporte y seguimiento de incidentes
Prevencin y deteccin de virus
Firewalls
Administracin centralizada de la seguridad
Entrenamiento de usuarios
Herramientas para el monitoreo del cumplimiento
Pruebas y CONTROLES
reportes de intrusin
Control
a
Implementar
POLTICA Y PROCEDIMIENTOS DE CONTROL
DS5 C1
DE ACCESOdeber desarrollar, diseminar, y
La organizacin
peridicamente
revisar/actualizar:
(vii) Una poltica de control de acceso
formalmente definida y documentada.
Gerentes de Sistema, Oficial de Seguridad.
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS5 C2
Responsa
bles
de
Plazo
(tiempo
de
3 meses
REVISIN GERENCIAL DE CUENTAS DE

USUARIO
La Gerencia
deber contar con un proceso de control
establecido para revisar y
confirmar peridicamente los derechos de acceso. Se
debe llevar a cabo la comparacin peridica entre los
1 mes
Pag 2/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
UNSUCCESSFUL
Implementar
LOGIN deber obligar a un lmite de
DS5 C3
El sistema de informacin
intentos de accesos
invlidos consecutivo por un usuario durante un periodo
de tiempo. El sistema de informacin automticamente
deber bloquear al usuario par un periodo determinado,
Responsa
bles
de
implemen
Plazo
2 semanas
(tiempo
de
Control
Implementar
DS5 C4
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS5 C5
1 mes
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
Responsa
bles
de
Plazo
(tiempo
de
ADMINISTRACIN
DE
CUENTAS
DE
USUARIO
La
Gerencia
deber
establecer
procedimientos
para asegurar acciones
oportunas relacionadas con la solicitud, establecimiento,
emisin, suspensin y cierre de cuentas de usuario.
Deber incluirse un procedimiento de aprobacin formal
que indique el propietario de los datos o del sistema que
otorga los privilegios de acceso. La seguridad de acceso
SUPERVISIN Y REVISIN DE CONTROL DE

ACCESO deber supervisar y revisar las
La organizacin
actividades de los usuarios con
respecto a la aplicacin y uso de los controles de
accesos de
a los
sistemas
de informacin.
Gerente
sistemas,
Oficial
de Seguridad
1 mes
ACCESO
REMOTO
La organizacin deber
documentar, monitorear, y
controlar todos los mtodos
de acceso remoto (ej. Dial-up, internet) a los
Gerente de sistemas, Oficial de Seguridad
3 meses
Pag 3/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
CONCIENTIZACION RESPECTO
sistemas A
LA
SEGURIDAD
IT
Implementar
DS5 C7
La organizacin se(SECURITY
asegura a AWARENESS)
que todos los usuarios
(incluyendo gerentes y los
altos ejecutivos) estn concientes de la importancia del
sistema de seguridad de la
informacin antes de
Responsa
bles
de
implemen
Plazo
2 meses
(tiempo
de
Control
Implementar
DS5 C8
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
5 meses
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS5 C10
Control
Implementar
DS5 C11
Responsa
bles
de
Plazo
(tiempo
de
ENTRENAMIENTO DE SEGURIDAD (SECURITY

TRAINING)
La organizacin
deber identificar personal con perfiles
y responsabilidades
significativos en el SGSI, documentar esos perfiles y
responsabilidades,
y
proporciona
apropiado
REGISTROS
DE
ENTRENAMIENTO
DE
SEGURIDAD
La organizacin
deber documentar y monitorear
las actividades de
entrenamiento individual de seguridad bsico y
1 mes
EVENTOS
AUDITABLES
(AUDITABLE
EVENTS)
El sistema de informacin debe generar registros de
auditora para los eventos
siguientes:
Inicios de sesin.
Transacciones que afectan la contabilidad,
Inventario, Cxc, CxP, Bancos.
Altas y Bajas de Maestros de: Cuentas
Contables, Proveedores, Clientes, Productos.
Intentos fallidos de inicio de sesin.
a
CONTENIDO
DE
LOS
REGISTROS
DE
Los Sistemas de Informacin Computarizados deben
capturar suficiente
informacin en los registros de auditoria para
Gerente de sistemas, Oficial de Seguridad, Auditor Interno
3 meses
Pag 4/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
CAPACIDAD DE ALMACENAMIENTO PARA
Implementar
LOS
LOGS
DE
AUDITORIA
DS5 C12
La
organizacin asigna suficiente capacidad de
almacenamiento y configura el
Responsa
registro de sistemas,
Gerente
la auditoria
Oficial
paradeprevenir
Seguridad,
queAuditor
se excede
Interno
tal
bles
de
Plazo
1 mes
(tiempo
de
Control
a
PROCESAMIENTO DE LA
Implementar
AUDITORIA (AUDIT
DS5 C13
En el evento de una falla en el registro de la auditoria
o la capacidad de
almacenamiento sea
alcanzada,
el
sistema
de
informacin alertara apropiadamente a los oficiales de la
Responsa
bles
de
Plazo
2 meses
(tiempo
de
Control
a
PROTECCIN DE LA INFORMACIN DE
Implementar
AUDITORIA
El Sistema de Informacin Computarizado protege la
informacin de los
LOGS e interfases de auditoria de acceso no
Responsa
bles
de
implemen
Plazo
1 mes
(tiempo
de
Control
a
RETENCIN DE LA INFORMACIN DE LOS
Implementar
LOGS
DE
AUDITORIA
La organizacin retiene los Logs de auditoria por 5 aos
para proveer apoyo a
las investigaciones de despus de-el-hecho de incidentes
de seguridad y para reunir requerimientos regulatorios y
organizacionales
de retencin
informacin.
Responsa
Gerente de sistemas,
Oficial dede
Seguridad,
Auditor Interno
bles
de
Plazo
1 mes
(tiempo
de
Pag 5/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
CATEGORIZACIN DE
LA INFORMACIN
Implementar
DS5 C16
La Gerencia deber implementar procedimientos para
asegurar que todos los
datos son clasificados en trminos de sensitividad,
mediante una decisin explcita y formal del dueo
de
los datos de
acuerdo con el
esquema de
clasificacin de datos. An los datos que no requieren
proteccin debern contar con una decisin formal que
les asigne dicha clasificacin. Los dueos deben
determinar la ubicacin o disposicin de sus datos y
determinar quienes pueden compartir los datos aun si y
cuando los programas y archivos sean mantenidos,
archivados o borrados. Debe quedar evidencia de la
Responsa
bles
de
Plazo
3 meses
(tiempo
de
Control
a
Implementar
POLTICA Y PROCEDIMIENTOS DE ACREDITACIN
DS5 C17
CERTIFICACIN
La Yorganizacin
deber desarrollar, diseminar, y
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS5 C18
Responsa
bles
de
Plazo
(tiempo
de
peridicamente
revisar/actualizar:
(ix)
Una poltica de acreditacin y certificacin
3 meses
a
CERTIFICACIN DE SEGURIDAD
La organizacin debera dirigir una valoracin de los
controles de seguridad en
los sistemas de informacin para determinar hasta que
punto los controles son implementados correctamente,
3 meses
EMPRESA : Ecuacolor
110 /123
Pag 6/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
Implementar
PLAN OF ACTION AND MILESTONES
DS5 C19
La organizacin debera desarrolla y actualiza, un
plan de accin para el
sistema de informacin que documente los planes de la
organizacin, implementaciones, y evolucin de acciones
tomadas para remediar cualquier deficiencia notada
Responsa
bles
de
implemen
Plazo
3 meses
(tiempo
de
Control
a
Implementar
ACREDITACIN DE SEGURIDAD
DS5 C20
La
organizacin
debera
autorizar
(es
decir,
acreditar) a los sistema de
informacin antes de empezar a funcionar y cada cierto
Responsa
bles
de
Plazo
2 meses
(tiempo
de
Control
a
Implementar
MONITOREO
DS5 C21
CONTINUO
La organizacin debera
supervisar que los controles de
seguridad en los
sistema de
desistemas,
informacin
sedemantengan
de unaInterno
forma
Responsa
Gerente
Oficial
Seguridad, Auditor
bles
de
Plazo
3 meses
(tiempo
de
Control
Implementar
DS5 C22
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS5 C23
POLTICA Y PROCEDIMIENTOS DE RESPUESTA

A INCIDENTES deber
La organizacin
peridicamente
revisar/actualizar:
(xi)
Una poltica de respuesta a incidentes
(xii) Procedimientos documentados para facilitar la
3 meses
MANEJO
DE
INCIDENTES
La organizacin debera implementar una actividad de
manejo de incidentes
para los eventos de seguridad y debera incluir:
Responsa
bles
de
Plazo
3 meses
(tiempo
de
Pag 7/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
Implementar
REPORTES DE VIOLACIN Y DE ACTIVIDADES
DS5 C24
DE SEGURIDAD
La administracin
de la funcin de servicios de
informacin deber asegurar
que las violaciones y la actividad de seguridad sean
registradas,
reportadas,
revisadas
y
escaladas
apropiadamente en forma regular para identificar y
resolver incidentes que involucren actividades no
autorizadas. El acceso lgico a la informacin sobre el
Responsa
bles
de
Plazo
3 meses
(tiempo
de
Control
a
Implementar
INCIDENT
DS5 C25
REPORTING
La organizacin debera
reportar rpidamente los
informes de incidentes a las
Responsa
autoridades
Gerente
de sistemas,
apropiadas.
Oficial de Seguridad
bles
de
Plazo
1 mes
(tiempo
de
Control
a
Implementar
INCIDENT RESPONSE ASSISTANCE
DS5 C26
La organizacin debera proporcionar ayuda a los
usuarios de los sistemas de
Responsa
informacin
Gerente
de sistemas,
para elOficial
manejo
de Seguridad
e informacin de los
bles
de
implemen
Plazo
3 meses
(tiempo
de
Control
a
Implementar
POLTICA
Y
PROCEDIMIENTOS
PARA
LA
DS5 C27
LA SEGURIDAD
LaPLANIFICACIN
organizacin DEdeber
peridicamente
revisar/actualizar:
(i)
Una poltica para la planificacin de
seguridad
formalmente
definida
y
documentada.
(ii)
Procedimientos documentados para facilitar
Responsa
bles
de
Plazo
5 meses
(tiempo
de
Pag 8/9
PLAN
DE
ACCIN PROCESO:
ENTREGA Y
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad
de
Control
a
sistemas
Implementar
PLAN DEL SISTEMA DE SEGURIDAD DE LA
DS5 C28
INFORMACIN
La organizacin
debera desarrollar e implementar un
plan de seguridad para
los sistema de informacin que proporciona una
apreciacin global de los requisitos de seguridad para los
Responsa
bles
de
Plazo
3 meses
(tiempo
de
Control
a
Implementar
ACTUALIZAR PLAN DEL SISTEMA DE SEGURIDAD
DS5 C29
LA INFORMACIN
La DE
organizacin
debera revisar el plan de seguridad
para los sistemas de
Responsa
informacin,
Gerente
de sistemas,
para detectar
Oficialcualquier
de Seguridad
desviacin o efectuar
bles
de
implemen
Plazo
3 meses
(tiempo
de
Control
a
Implementar
REGLAS
DE
DS5 C30
CONDUCTA
La organizacin debera establecer y hacer prontamente
disponible a todos los
usuarios de los sistemas de informacin un juego de
reglas que describen sus responsabilidades y conducta
esperada con respecto a los usos de los sistemas de
informacin.
La organizacin debera recibir firmado el reconocimiento
de los usuarios en donde se indica que ellos han ledo,
Responsa
bles
de
Plazo
3 meses
(tiempo
de
Control
a
Implementar
CONTROL DE LOS USUARIOS SOBRE SUS
DS5 C31
CUENTAS
Los usuarios
debern controlar en forma sistemtica
la actividad de su(s)
propia(s)
cuenta
(s).
Tambin
se
debern
establecer
mecanismos
de informacin para
permitirles
supervisarOficial
la actividad
normal, as como
Responsa
Gerente de sistemas,
de Seguridad
bles
de
implemen
Plazo
3 meses
(tiempo
de
Pag 9/9
PLAN
DE
ENTREGA YACCIN PROCESO:
DS5-Garantizar la
DOMINIO :
SOPORTE
seguridad de sistemas
Control
a
Implementar
PLAN DEL SISTEMA DE SEGURIDAD DE LA
DS5 C32
INFORMACIN
La organizacin
debera desarrollar e implementar un plan
de seguridad para los
sistema de informacin que proporciona una apreciacin
global de los requisitos de seguridad para los sistemas y
Responsa
bles
de
Plazo
3 meses
(tiempo
de
Control
Implementar
DS5 C33
Responsa
bles
de
Plazo
(tiempo
de
Objetivos
Control
VIGILANCIA
DE
SEGURIDAD
La administracin de seguridad de TI debe asegurar que la
actividad de seguridad
sea registrada y que cualquier indicacin sobre una
inminente
violacin
de
seguridad
sea
notificada
inmediatamente a todos aquellos que puedan verse
3 meses
RIESGOS
Riesgo
Actual
de
O
I
T
9
8
72
Medidas
Administrar
de
Seguridad
Administracin
de
Cuentas de Usuario
Revisin Gerencial de
Cuentas de Usuario
Control de Usuarios
sobre
Cuentas de Usuario
Vigilancia
de
Seguridad
Clasificacin de Datos
Reportes de Violacin
y de
Manejo de Incidentes
Reacreditacin
40
42
A MITIGAR
Riesgo
Esperado
OBSERVACIN
O
I
T
5
8
C7,
C8,
C9,
40 DS5-C1,
C19,
C20, C21, C27, C28,
C30,C3,
C32 C4, C5, C6,
3
8
DS5-C1,
24 C29,
C7,
C8
5
6
C5, C6
30 DS5-C2,
56
40 DS5-C7, C31
56
7
7
6
8
42
56
5
3
6
8
40
36
C11,
C12,
24 DS5-C10,
C13,
C15, C33
DS5-C16
30 C14,
C11,
C12,
24 DS5-C10,
C13,
C14, C15, C24C23,
C24,
24 DS5-C22,
C25,
C26
C18, C20, C21
28 DS5-C17,

Pag 1/3
PLAN
DE
ACCIN
ADQUISICIN
E
DS11-Administrar los
DOMINIO :
PROCESO:
IMPLEMENTACIN
Datos
Asegurar que los datos permanezcan completos, precisos
que
y vlidos durante
satisface
su entrada, actualizacin y almacenamiento
los
requerimie
Una combinacin efectiva de controles generales y de
se
hace
aplicacin
posible
a
sobre las operaciones de TI
travs de:
y
toma
en Diseo de formatos
consideracin:
Controles de documentos fuente
Controles de entrada, procesamiento y salida
Identificacin, movimiento y administracin de la
librera de medios
Recuperacin y respaldo de datos
Autenticacin e integridad
Propiedad de datos
Polticas de administracin de datos
Modelo de datos y estndares de representacin de
datos
Integracin y consistencia a travs de plataformas
CONTROLES
Control
a
POLTICAS Y PROCEDIMIENTOS DE
Implementar
ADMINISTRACIN DE DATOS
DS11 C1
Responsa
bles
de
Plazo
(tiempo
de
La Organizacin
deber
disear,
implementar
y
peridicamente
revisar/actualizar:
Flujo de datos dentro de la funcin de TI y
hacia/desde los usuarios de los datos
Proceso de autorizacin de documentos fuente
Procesos
de
recoleccin,
seguimiento
y
transmisin de datos Procedimientos utilizados
para identificar y corregir errores durante la
creacin de datos
Mtodos utilizados por la organizacin para retener
documentos fuente
(archivo, imgenes, etc.), para definir qu documentos
deben ser retenidos,
los requerimientos de retencin legales y regulatorios,
etc. de Sistemas
Gerencia
8 meses

Pag 2/3
PLAN
DE
ACCIN
ADQUISICIN
E
DOMINIO :
PROCESO:
IMPLEMENTACIN
Datos
CONTROLES
Control
a
REVISIN DE TODAS LAS APLICACIONES CRTICAS
Implementar
DS11 C2
La Gerencia de IT deber revisar:
Mdulos que lleven a cabo revisiones de
precisin, suficiencia y autorizacin de captura
en el ingreso de datos
Funciones que lleven a cabo entradas de datos para
cada aplicacin Funciones que lleven a cabo rutinas
de correccin de errores de entrada de datos
Mtodos utilizados para prevenir (por medios
manuales y programados), detectar y corregir
errores
Control de la integridad de los procesos de datos
enviados a proceso
Distribucin de salidas sensitiva slo a personas
Responsa
bles
de
Plazo
7 meses
(tiempo
de
Control
Implementar
DS11 C3
Responsa
bles
de
Plazo
(tiempo
de
POLTICAS Y PROCEDIMIENTOS DE REPOSITORIO

CENTRAL DE BASES DE DATOS
La organizacin deber establecer las normas, diseo y
control:
Organizacin de la base de datos y diccionario de
datos
Procedimientos
de
mantenimiento
y
seguridad de bases de datos Determinacin y
mantenimiento de la propiedad de las bases de
datos Procedimientos de control de cambios sobre
el diseo y contenido de la base de datos
Reportes administrativos y pistas de auditora que
definen
Gerencia deactividades
Sistemas de bases de datos
6 meses

Pag 3/3
PLAN
DE
ACCIN
ADQUISICIN
E
DOMINIO :
PROCESO:
IMPLEMENTACIN
Datos
Control
a POLTICAS Y PROCEDIMIENTOS DE LIBRERA DE
Implementar
MEDIOS Y ALMACENAMIENTO DE DATOS EXTERNO
DS11 C4
La organizacin deber definir los controles para:
Administracin de la librera de medios y del sistema
de administracin de la librera
Requerir la identificacin externa de todos los medios
Requerir el inventario actual de todos los
contenidos y procesos para actividades de control
Procedimientos de reconciliacin entre registros
actuales y registros de datos almacenados
Reciclaje de datos y proteccin de informacin
sensitiva
Rotacin de medios de datos
Inventario de datos de prueba y pruebas de
recuperacin llevadas a cabo Medios y funciones del
personal en el sitio alterno en el plan de continuidad
Asegurar
que el archivo cumple con requerimientos
Responsa
Gerencia
de Sistemas
bles
de
Plazo
3 meses
(tiempo
de
RIESGOS A MITIGAR
Objetivos
de
Riesgo
Riesgo
OBSERVACIN
Actual
Esperado
Control
O
I
T
O
I
T
Chequeos
de 7
8
8
56 3
24 DS11-C1, C2, C3
Exactitud,
Suficiencia de
y 5
Integridad
8
8
40 3
24 DS11-C2, C3, C4
Procesamiento
de
Datos
Provisiones
de 7
8
8
56 2
16 DS11-C2
Seguridad
para Reportes de
Salida
Proteccin
de 7
8
8
56 3
24 DS11-C1
Informacin
Sensible
durante
transmisin
y de 7
Proteccin
6
6
42 3
18 DS11-C4
Informacin
Sensitiva
Sistema Desechadade 7
8
8
56 2
16 DS11-C3, C4
Administracin
de la Librera de
Medios
Archivo
7
6
6
42 3
18 DS11-C4

Pag 1/5
PLAN
DE
ENTREGA ACCIN
Y PROCESO:
DS12 - Administrar
DOMINIO :
SOPORTE
las
Proporcionar un ambiente fsico conveniente
que proteja
que
instalaciones
al equipo y al personal de TI
satisface
contra peligros naturales o fallas humanas.
los
requerimie
se
hace La instalacin de controles fsicos y ambientales
posible
a adecuados que sean revisados
regularmente para su funcionamiento apropiado.
travs de:
acceso a instalaciones
y
toma
identificacin del sitio
en
seguridad fsica
consider
Polticas de inspeccin y escalamiento
acin:
Planeacin de continuidad del
negocio y administracin de crisis
salud y seguridad del personal
Polticas de mantenimiento preventivo
proteccin contra amenazas ambientales
Monitoreo automatizado
CONTROLES
Control
a
Implementar
POLTICAS
Y
PROCEDIMIENTOS
DE
DS12 C1
MANTENIMIENTO
DE SISTEMAS
La organizacin
deber
peridicamente
revisar/actualizar:
(xiii) Una poltica de mantenimiento de sistemas
(xiv) Procedimientos documentados para facilitar la
Responsa
bles
de
implemen
Plazo
1 mes
(tiempo
de
Control
Implementar
DS12 C2
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS12 C3
Responsa
bles
de
Plazo
(tiempo
de
MANTENIMIENTO PERIDICO
La organizacin deber fijar, realizar, y documentar el
preventivo, rutinario y
regular mantenimiento en los componentes de los
sistemas de informacin de acuerdo
con
las
2 meses
PERSONAL DE MANTENIMIENTO
La organizacin deber mantener una lista de personal
autorizado para realizar
mantenimiento sobre el sistema de informacin. Slo
2 semanas

Pag 2/5
PLAN
DE
ENTREGA ACCIN
Y PROCESO:
DS12 - Administrar
DOMINIO :
SOPORTE
las
Control
a
instalaciones
Implementar
POLTICAS
Y
PROCEDIMIENTOS
DE
DS12 C4
PROTECCIN
DE
MEDIOS.
La organizacin
deber
peridicamente
revisar/actualizar:
(xv) Una poltica de proteccin de medios
(xvi) Procedimientos documentados para facilitar la
Responsa
bles
de
Plazo
1 mes
(tiempo
de
Control
a
Implementar
ACCESO A MEDIOS (MEDIA ACCESS)
DS12 C5
La organizacin deber asegurar que slo los usuarios
autorizados tienen
acceso a informacin en forma impresa o en medios de
Responsa
bles
de
Plazo
1 mes
(tiempo
de
Control
a
Implementar
DESTRUCCIN
Y
DS12 C6
DISPOSICIN
DE
MEDIOS
La organizacin deber sanear o destruir los medios
digitales de los sistemas
de informacin antes de su disposicin o descargo, para
reutilizar fuera de la organizacin, para prevenir que
Responsa
bles
de
Plazo
1 mes
(tiempo
de
Control
a
Implementar
POLTICAS Y PROCEDIMIENTOS DE PROTECCIN
DS12 C7
La AMBIENTAL
organizacin Y FSICA.
deber
peridicamente
revisar/actualizar:
(xvii) Una poltica de proteccin de ambiental y
fsica formalmente definida y documentada.
(xviii) Procedimientos documentados para facilitar la
implantacin de la poltica
de
proteccin
Responsa
bles
de
implemen
Plazo
1 mes
(tiempo
de

Pag 3/5
PLAN
DE
ENTREGA ACCIN
Y PROCESO:
DS12 - Administrar
DOMINIO :
SOPORTE
las
Control
a
instalaciones
Implementar
AUTORIZACIONES DE ACCESO FSICO
DS12 C8
La organizacin deber desarrollar y conservar listas
actualizadas del personal
con acceso autorizado a los recursos de los sistemas de
informacin y debern portar credenciales apropiadas de
autorizacin (ej., insignias, tarjetas de identificacin). El
Responsa
bles
de
Plazo
2 semanas
(tiempo
de
Control
Implementar
DS12 C9
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS12 C10
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS12 C11
Responsa
bles
de
Plazo
(tiempo
de
CONTROL DE ACCESO FSICO

La organizacin deber controlar todos los puntos de
acceso fsico a los
recursos de los sistemas de informacin y verificar
autorizaciones de acceso individuales antes de conceder
acceso a los recursos. La organizacin tambin deber
controlar el acceso a las reas oficialmente designadas
3 meses
MONITOREAR EL ACCESO FSICO

La organizacin deber monitorear el acceso fsico
a los sistemas de
informacin
para detectar
y responder
a incidentes.
Gerente de Sistemas,
Oficial
de Seguridad.
2 meses
CONTROL
DE
VISITANTES
La organizacin deber controlar el acceso fsico a los
sistemas de informacin
autenticando
a los visitantes
antes
de autorizar acceso a
Gerente
de Sistemas,
Oficial de
Seguridad.
2 meses

Pag 4/5
PLAN
DE
ENTREGA ACCIN
Y PROCESO:
DS12 - Administrar
DOMINIO :
SOPORTE
las
Control
a
instalaciones
Implementar
ESCOLTA
DE
DS12 C12
VISITANTES
Debern establecerse
procedimientos apropiados que
aseguren que las personas
que no formen parte del grupo de operaciones de la
funcin de servicios de informacin sean escoltadas por
algn miembro de ese grupo cuando deban entrar a las
Responsa
bles
de
Plazo
1 mes
(tiempo
de
Control
Implementar
DS12 C13
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS12 C14
Responsa
bles
de
Plazo
(tiempo
de
Control
Implementar
DS12 C15
Responsa
bles
de
Plazo
(tiempo
de
BITCORA
DE
VISITANTES
La organizacin deber mantener una bitcora
visitantes que incluye:
(i)
el nombre y organizacin del
persona que visita; (ii)
la firma de el
visitante;
(iii)
la
forma
de
identificacin; (iv)
la
fecha de acceso;
(v) de
tiempo
de entrada
Gerente
Sistemas,
Oficial y
desalida;
Seguridad.
de
2 semanas
a
LUCES
DE
EMERGENCIA
La organizacin deber emplear y mantener un sistema
automtico de luces de
emergencia que se activan al evento de un fallo de
Gerencia General, Gerente de Sistemas, Oficial de
Seguridad.
7 meses
PROTECCIN CONTRA INCENDIOS

La organizacin deber emplear y mantener un sistema
automtico de luces de
emergencia que se activan al evento de un fallo de
Seguridad.
7 meses

Pag 5/5
PLAN
DE
ENTREGA ACCIN
Y PROCESO:
DS12
Administrar
DOMINIO :
SOPORTE
las
Control
a
instalaciones
Implementar
CONTROLES
DE
TEMPERATURA
Y
DS12 C16
HUMEDAD
La organizacin deber monitorear la temperatura y
humedad, y mantener
Responsa
regularmente
Gerencia
General,
dentroGerente
de losde niveles
Sistemas,
aceptables
Oficial las
de
bles
de
Seguridad.
Plazo
8 meses
(tiempo
de
Control
a
Implementar
PROTECCIN CONTRA DAOS OCASIONADOS
DS12 C17
POR EL deber
AGUA proteger el sistema de informacin
La organizacin
de dao de agua que
resulta de la ruptura lneas de plomera u otras
fuentes de goteo de agua asegurando que las vlvulas
Responsa
Gerente General, Gerente de Sistemas, Oficial de Seguridad.
bles
de
implemen
Plazo
2 semanas
(tiempo
de
DISCRECIN
SOBRE
LAS
Control
a
INSTALACIONES DE
Implementar
TECNOLOGA
DE
DS12 C18
La Gerencia de la funcin de servicios de informacin
deber asegurar que se
mantenga un bajo perfil sobre la identificacin fsica de las
instalaciones relacionadas con sus operaciones de
tecnologa de informacin. La informacin sobre la
Responsa
bles
de
Seguridad.
Plazo
8 meses
(tiempo
de
RIESGOS A MITIGAR
Riesgo
Riesgo
Actual
Esperado
OBSERVACIN
Objetivos
de
Control
O
I
T
O
I
T
7
10 70 5
10 50 DS12-C1, C2, C3, C4,
Seguridad Fsica
C5,
C9, C10
Discrecin sobre las
7
6
6
DS12-C3,
C5, C18
42 5
30 C6,
Instalaciones de
Tecnologa
de
9
6
6
54 3
18 DS12-C8, C9, C10, C11,
Escolta de Visitantes
C12, C13
7
6
5
6
C14,
C15,
42
30 DS12-C7,
Proteccin
contra
C16,
Factores
C17
BENEFICIOS
La implantacin de un Sistema de Gestin de la Seguridad de la

Informacin proporciona a PRESTONS SA Laboratorio Fotogrfico los
siguientes beneficios:
Un anlisis de riesgos de sus Sistemas de Informacin.
Una gestin adecuada de los riesgos segn su modelo de
empresa. Una mejora continua de su gestin de la
seguridad.
El cumplimento de la legislacin vigente sobre proteccin de datos
de carcter personal, comercio electrnico, propiedad intelectual, etc.
Facilita el logro de los objetivos de la organizacin.
Hace a la organizacin ms segura y consciente de
sus riesgos. Mejoramiento contino del Sistema de
Control Interno. Optimiza la asignacin de recursos.
Aprovechamiento de oportunidades de
negocio.
Fortalece
la
cultura
de
autocontrol.
Mayor estabilidad ante cambios del entorno.
Conocer y Analizar sus riesgos, identificando amenazas,
vulnerabilidades e impactos en su empresa.
Reducir eficazmente el nivel de riesgo mediante los controles
adecuados
Organizar los recursos de la
seguridad. Integra la Gestin de
la Seguridad SI.
Aporta confianza a los sistemas de informacin
Y en definitiva, establece una cultura de la seguridad y una excelencia en el
tratamiento de la informacin en todos sus procesos de negocio. As, aporta
un valor aadido de reconocido prestigio, en la calidad de los servicios que
ofrece a sus clientes.

Implementacion de Cobit

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Implementacion de Cobit

Hochgeladen von

Copyright:

Verfügbare Formate

UNIVERSIDAD NACIONAL DE SAN AGUSTIN DE

CURSO: AUDITORIA DE SISTEMAS DE INFORMACION

IMPLEMENTACIN DE COBIT EN UNA EMPRESA DE

Laboratorios Fotogrficos PRESTONS SA es una empresa que naci en la

Obtener mercaderas y servicios en cantidad y con calidad necesarias

Obtener mercaderas al menor costo

Garantizar el mejor servicio posible y pronta entrega por parte del

Desarrollar y mantener buenas relaciones con los proveedores y

cotizaciones, colocacin de productos en el mercado local y departamental y

Mantener el revelado tradicional.

COMPRAS DE INVENTARIO.Nuestros mayores proveedores son Eastman Kodak,

Los sistemas computacionales soportan todos los procesos del negocio,

3.3.1 CATALOGO DE APLICACIONES.

Ordenes de Pago. W2K

CATEGORIZACIN DE LA TRANSACCIONALIDAD DE LAS OPERACIONES.

3.3.2 RECURSO HUMANO CENTRO DE COMPUTO

un enlace dedicado de 256 kbps, usado por toda la organizacin.

SA esta considerando cambiar su sistema de punto de

4. MODELO DE MEJORES PRCTICAS UTILIZADO: COBIT

Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas

el marco referencial estn funcionando y soportan los procesos del negocio y

El Marco de Referencia de COBIT proporciona, al propietario de procesos

de proporcionar la informacin que la empresa

El Marco de Referencia contina con un conjunto de 34 Objetivos de

Esta estructura cubre todos los aspectos de informacin y de tecnologa que

la soporta. Administrando adecuadamente estos 34 Objetivos de Control de

crticos de xito? Cules son los riesgos de no lograr nuestros

COBIT contiene adicionalmente un Conjunto de Herramientas de

5. PROPUESTA METODOLGICA PARA EL DISEO DEL SGSI DE

Control se define como.- Las polticas, procedimientos, prcticas y

Gobierno de TI se define como.- Una estructura de relaciones y procesos

La Calidad ha sido considerada principalmente por su aspecto negativo

criterios de efectividad. Se consider que el aspecto de entrega o

Precisin y suficiencia de la informacin, as como a su

Los elementos de datos en su ms amplio sentido, (por ejemplo,

Recursos para alojar y dar soporte a los sistemas de

Otra forma de ver la relacin de los recursos de TI con respecto a la entrega

DEFINICIN DE LOS OBJETIVOS DE CONTROL.

Con el fin de asegurar que los requerimientos del negocio para la

DS5.- Garantizar la seguridad

DS11.- Administracin de datos

macin Sensible durante Integridad

A los gerentes generales de las organizaciones corporativas y pblicas

Qu est considerado como la mejor prctica de la industria,

La situacin actual de la organizacindnde est la organizacin

MODELO GENRICO DE MADUREZ

En resumen, Los Modelos de Madurez:

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

MODELO DE MEJORES PRACTICAS - COBIT

RESUMEN GERENCIAL DEL MODELO DE MADUREZ PARA LOS PROCESOS DE SEGURIDAD DE LA

Asegurar el Servicio Continuo

Garantizar la Seguridad de los