Trabajo de Auditoria: Normas COBIT

Índice
1. Introducción
2. COBIT
3. Planificación y Organización
4. Adquisición e implementación
5. Prestación y Soporte
6. Monitoreo
7. Aplicación de las Normas COBIT
8. Apéndice I
9. Apéndice II
1. Introducción
El siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera
simple y comprensible. Para ello, además de realizar un desarrollo teórico de las
mismas, incluimos un análisis de la situación actual del Departamento de
Recursos Humanos de la organización INEXEI SCHOOL, explicamos si sus
procedimientos respetan o no la norma, e indicamos qué debería hacerse para
que aplique y cumpla con un determinado proceso de la norma.
El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan
las Características y Estructura de COBIT y el Relevamiento y Aplicación de las
Normas COBIT en la Escuela. Además, incluimos dos Apéndices: en el apéndice
I indicamos los componentes de COBIT como Producto y en el apéndice II
incorporamos la lista completa de Dominios, Procesos y Objetivos de Control.
Para Finalizar, adjuntamos con esta monografía un disquette que contiene el
Resumen Ejecutivo (2ª Edición) de la norma y las Guías de Auditoría de la
misma, las cuales pueden ser utilizadas por nuestros compañeros si desean
profundizar más en el estudio de COBIT, y que en este trabajo son desarrolladas
brevemente para no hacer tediosa la explicación de la norma y por razones de
espacio obvias.
2. COBIT (Objetivos de Control para Tecnología de Información y
Tecnologías relacionadas)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha
cambiado la forma en que trabajan los profesionales de TI. Vinculando
tecnología informática y prácticas de control, COBIT consolida y armoniza
estándares de fuentes globales prominentes en un recurso crítico para la
gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo
las computadoras personales, mini computadoras y ambientes distribuidos.
Esta basado en la filosofía de que los recursos de TI necesitan ser administrados
por un conjunto de procesos naturalmente agrupados para proveer la
información pertinente y confiable que requiere una organización para lograr
sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y
actualizado de objetivos de control para tecnología de información que sea de
uso cotidiano para gerentes y auditores
Usuarios:
• La Gerencia: para apoyar sus decisiones de inversión en TI y control
sobre el rendimiento de las mismas, analizar el costo beneficio del control.
 • Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y
el control de los productos que adquieren interna y externamente.
• Los Auditores: para soportar sus opiniones sobre los controles de los
proyectos de TI, su impacto en la organización y determinar el control mínimo
requerido.
• Los Responsables de TI: para identificar los controles que requieren en
sus áreas.

También puede ser utilizado dentro de las empresas por el responsable de un

proceso de negocio en su responsabilidad de controlar los aspectos de
información del proceso, y por todos aquellos con responsabilidades en el
campo de la TI en las empresas.
Características:
• Orientado al negocio
• Alineado con estándares y regulaciones "de facto"
• Basado en una revisión crítica y analítica de las tareas y actividades en TI
• Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA,
AICPA)

Principios:
El enfoque del control en TI se lleva a cabo visualizando la información
necesaria para dar soporte a los procesos de negocio y considerando a la
información como el resultado de la aplicación combinada de recursos
relacionados con las TI que deben ser administrados por procesos de TI.
• Requerimientos de la información del negocio

Para alcanzar los requerimientos de negocio, la información necesita satisfacer

ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad
de los reportes financieros y Cumplimiento le leyes y regulaciones.
• Efectividad: La información debe ser relevante y pertinente para los
procesos del negocio y debe ser proporcionada en forma oportuna, correcta,
consistente y utilizable.
• Eficiencia: Se debe proveer información mediante el empleo óptimo de
los recursos (la forma más productiva y económica).
• Confiabilidad: proveer la información apropiada para que la
administración tome las decisiones adecuadas para manejar la empresa y
cumplir con sus responsabilidades.
• Cumplimiento: de las leyes, regulaciones y compromisos contractuales
con los cuales está comprometida la empresa.

Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad

• Confidencialidad: Protección de la información sensible contra
divulgación no autorizada
• Integridad: Refiere a lo exacto y completo de la información así como a
su validez de acuerdo con las expectativas de la empresa.
 • Disponibilidad: accesibilidad a la información cuando sea requerida por
los procesos del negocio y la salvaguarda de los recursos y capacidades
asociadas a la misma.
• Recursos de TI

En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar

los objetivos de negocio:
• Datos: Todos los objetos de información. Considera información interna
y externa, estructurada o no, gráficas, sonidos, etc.
• Aplicaciones: entendido como los sistemas de información, que integran
procedimientos manuales y sistematizados.
• Tecnología: incluye hardware y software básico, sistemas operativos,
sistemas de administración de bases de datos, de redes, telecomunicaciones,
multimedia, etc.
• Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a
los sistemas de información.
• Recurso Humano: Por la habilidad, conciencia y productividad del
personal para planear, adquirir, prestar servicios, dar soporte y monitorear los
sistemas de Información.
o Procesos de TI

La estructura de COBIT se define a partir de una premisa simple y pragmática:

"Los recursos de las Tecnologías de la Información (TI) se han de gestionar
mediante un conjunto de procesos agrupados de forma natural para que
proporcionen la información que la empresa necesita para alcanzar sus
objetivos".
COBIT se divide en tres niveles:
Dominios
Procesos
Actividades
Dominios: Agrupación natural de procesos, normalmente corresponden a un
dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de
control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos
de las TI. Estos procesos están agrupados en cuatro grandes dominios que se
detallan a continuación junto con sus procesos y una descripción general de las
actividades de cada uno:
3. Dominio: Planificación y organización
Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la
forma en que la tecnología de información puede contribuir de la mejor manera
al logro de los objetivos de negocio. Además, la consecución de la visión
estratégica necesita ser planeada, comunicada y administrada desde diferentes
perspectivas. Finalmente, deberán establecerse una organización y una
infraestructura tecnológica apropiadas.
Procesos:
• PO1 Definición de un plan Estratégico
Objetivo: Lograr un balance óptimo entre las oportunidades de tecnología de
información y los requerimientos de TI de negocio, para asegurar sus logros
futuros.
Su realización se concreta a través un proceso de planeación estratégica
emprendido en intervalos regulares dando lugar a planes a largo plazo, los que
deberán ser traducidos periódicamente en planes operacionales estableciendo
metas claras y concretas a corto plazo, teniendo en cuenta:
• La definición de objetivos de negocio y necesidades de TI, la alta gerencia
será la responsable de desarrollar e implementar planes a largo y corto plazo
que satisfagan la misión y las metas generales de la organización.
• El inventario de soluciones tecnológicas e infraestructura actual, se
deberá evaluar los sistemas existentes en términos de: nivel de automatización
de negocio, funcionalidad, estabilidad, complejidad, costo y fortalezas y
debilidades, con el propósito de determinar el nivel de soporte que reciben los
requerimientos del negocio de los sistemas existentes.
• Los cambios organizacionales, se deberá asegurar que se establezca un
proceso para modificar oportunamente y con precisión el plan a largo plazo de
tecnología de información con el fin de adaptar los cambios al plan a largo
plazo de la organización y los cambios en las condiciones de la TI
• Estudios de factibilidad oportunos, para que se puedan obtener
resultados efectivos
• PO2 Definición de la Arquitectura de Información

Objetivo: Satisfacer los requerimientos de negocio, organizando de la mejor

manera posible los sistemas de información, a través de la creación y
mantenimiento de un modelo de información de negocio, asegurándose que se
definan los sistemas apropiados para optimizar la utilización de esta
información, tomando en consideración:
• La documentación deberá conservar consistencia con las necesidades
permitiendo a los responsables llevar a cabo sus tareas eficiente y
oportunamente.
• El diccionario de datos, el cual incorporara las reglas de sintaxis de datos
de la organización y deberá ser continuamente actualizado.
• La propiedad de la información y la clasificación de severidad con el que
se establecerá un marco de referencia de clasificación general relativo a la
ubicación de datos en clases de información.
• PO3 Determinación de la dirección tecnológica

Objetivo: Aprovechar al máximo de la tecnología disponible o tecnología

emergente, satisfaciendo los requerimientos de negocio, a través de la creación y
mantenimiento de un plan de infraestructura tecnológica, tomando en
consideración:
• La capacidad de adecuación y evolución de la infraestructura actual, que
deberá concordar con los planes a largo y corto plazo de tecnología de
información y debiendo abarcar aspectos tales como arquitectura de sistemas,
dirección tecnológica y estrategias de migración.
• El monitoreo de desarrollos tecnológicos que serán tomados en
consideración durante el desarrollo y mantenimiento del plan de
infraestructura tecnológica.
 • Las contingencias (por ejemplo, redundancia, resistencia, capacidad de
adecuación y evolución de la infraestructura), con lo que se evaluará
sistemáticamente el plan de infraestructura tecnológica.
• Planes de adquisición, los cuales deberán reflejar las necesidades
identificadas en el plan de infraestructura tecnológica.
o PO4 Definición de la organización y de las relaciones de TI

Objetivo: Prestación de servicios de TI

Esto se realiza por medio de una organización conveniente en número y
habilidades, con tareas y responsabilidades definidas y comunicadas, teniendo
en cuenta:
• El comité de dirección el cual se encargara de vigilar la función de
servicios de información y sus actividades.
• Propiedad, custodia, la Gerencia deberá crear una estructura para
designar formalmente a los propietarios y custodios de los datos. Sus
funciones y responsabilidades deberán estar claramente definidas.
• Supervisión, para asegurar que las funciones y responsabilidades sean
llevadas a cabo apropiadamente
• Segregación de funciones, con la que se evitará la posibilidad de que un
solo individuo resuelva un proceso crítico.
• Los roles y responsabilidades, la gerencia deberá asegurarse de que todo
el personal deberá conocer y contar con la autoridad suficiente para llevar a
cabo las funciones y responsabilidades que le hayan sido asignadas
• La descripción de puestos, deberá delinear claramente tanto la
responsabilidad como la autoridad, incluyendo las definiciones de las
habilidades y la experiencia necesarias para el puesto, y ser adecuadas para su
utilización en evaluaciones de desempeño.
• Los niveles de asignación de personal, deberán hacerse evaluaciones de
requerimientos regularmente para asegurar para asegurar una asignación de
personal adecuada en el presente y en el futuro.
• El personal clave, la gerencia deberá definir e identificar al personal clave
de tecnología de información.
o PO5 Manejo de la inversión

Objetivo: tiene como finalidad la satisfacción de los requerimientos de negocio,

asegurando el financiamiento y el control de desembolsos de recursos
financieros.
Su realización se concreta a través presupuestos periódicos sobre inversiones y
operaciones establecidas y aprobados por el negocio, teniendo en cuenta:
• Las alternativas de financiamiento, se deberán investigar diferentes
alternativas de financiamiento.
• El control del gasto real, se deberá tomar como base el sistema de
contabilidad de la organización, mismo que deberá registrar, procesar y
reportar rutinariamente los costos asociados con las actividades de la función
de servicios de información
• La justificación de costos y beneficios, deberá establecerse un control
gerencial que garantice que la prestación de servicios por parte de la función
de servicios de información se justifique en cuanto a costos. Los beneficios
derivados de las actividades de TI deberán ser analizados en forma similar.
o PO6 Comunicación de la dirección y aspiraciones de la gerencia
Objetivo: Asegura el conocimiento y comprensión de los usuarios sobre las
aspiraciones del alto nivel (gerencia), se concreta a través de políticas
establecidas y transmitidas a la comunidad de usuarios, necesitándose para esto
estándares para traducir las opciones estratégicas en reglas de usuario prácticas
y utilizables. Toma en cuenta:
• Los código de ética / conducta, el cumplimiento de las reglas de ética,
conducta, seguridad y estándares de control interno deberá ser establecido por
la Alta Gerencia y promoverse a través del ejemplo.
• Las directrices tecnológicas
• El cumplimiento, la Gerencia deberá también asegurar y monitorear la
duración de la implementación de sus políticas.
• El compromiso con la calidad, la Gerencia de la función de servicios de
información deberá definir, documentar y mantener una filosofía de calidad,
debiendo ser comprendidos, implementados y mantenidos por todos los
niveles de la función de servicios de información.
• Las políticas de seguridad y control interno, la alta gerencia deberá
asegurar que esta política de seguridad y de control interno especifique el
propósito y los objetivos, la estructura gerencial, el alcance dentro de la
organización, la definición y asignación de responsabilidades para su
implementación a todos los niveles y la definición de multas y de acciones
disciplinarias asociadas con la falta de cumplimiento de estas políticas.
o PO7 Administración de recursos humanos

Objetivo: Maximizar las contribuciones del personal a los procesos de TI,

satisfaciendo así los requerimientos de negocio, a través de técnicas sólidas para
administración de personal, tomando en consideración:
• El reclutamiento y promoción, deberá tener como base criterios
objetivos, considerando factores como la educación, la experiencia y la
responsabilidad.
• Los requerimientos de calificaciones, el personal deberá estar calificado,
tomando como base una educación, entrenamiento y o experiencia
apropiados, según se requiera
• La capacitación, los programas de educación y entrenamiento estarán
dirigidos a incrementar los niveles de habilidad técnica y administrativa del
personal.
• La evaluación objetiva y medible del desempeño, se deberá asegurar que
dichas evaluaciones sean llevada a cabo regularmente según los estándares
establecidos y las responsabilidades específicas del puesto. Los empleados
deberán recibir asesoría sobre su desempeño o su conducta cuando esto sea
apropiado.
o PO8 Asegurar el cumplimiento con los requerimientos Externos

Objetivo: Cumplir con obligaciones legales, regulatorias y contractuales

Para ello se realiza una identificación y análisis de los requerimientos externos
en cuanto a su impacto en TI, llevando a cabo las medidas apropiadas para
cumplir con ellos y se toma en consideración:
• Definición y mantenimiento de procedimientos para la revisión de
requerimientos externos, para la coordinación de estas actividades y para el
cumplimiento continuo de los mismos.
 • Leyes, regulaciones y contratos
• Revisiones regulares en cuanto a cambios
• Búsqueda de asistencia legal y modificaciones
• Seguridad y ergonomía con respecto al ambiente de trabajo de los
usuarios y el personal de la función de servicios de información.
• Privacidad
• Propiedad intelectual
• Flujo de datos externos y criptografía
o PO9 Evaluación de riesgos

Objetivo: Asegurar el logro de los objetivos de TI y responder a las amenazas

hacia la provisión de servicios de TI
Para ello se logra la participación de la propia organización en la identificación
de riesgos de TI y en el análisis de impacto, tomando medidas económicas para
mitigar los riesgos y se toma en consideración:
• Identificación, definición y actualización regular de los diferentes tipos
de riesgos de TI (por ej.: tecnológicos, de seguridad, etc.) de manera de que se
pueda determinar la manera en la que los riesgos deben ser manejados a un
nivel aceptable.
• Definición de alcances, limites de los riesgos y la metodología para las
evaluaciones de los riesgos.
• Actualización de evaluación de riesgos
• Metodología de evaluación de riesgos
• Medición de riesgos cualitativos y/o cuantitativos
• Definición de un plan de acción contra los riesgos para asegurar que
existan controles y medidas de seguridad económicas que mitiguen los riesgos
en forma continua.
• Aceptación de riesgos dependiendo de la identificación y la medición del
riesgo, de la política organizacional, de la incertidumbre incorporada al
enfoque de evaluación de riesgos y de que tan económico resulte implementar
protecciones y controles.
o PO10 Administración de proyectos

Objetivo: Establecer prioridades y entregar servicios oportunamente y de

acuerdo al presupuesto de inversión
Para ello se realiza una identificación y priorización de los proyectos en línea
con el plan operacional por parte de la misma organización. Además, la
organización deberá adoptar y aplicar sólidas técnicas de administración de
proyectos para cada proyecto emprendido y se toma en consideración:
• Definición de un marco de referencia general para la administración de
proyectos que defina el alcance y los límites del mismo, así como la
metodología de administración de proyectos a ser adoptada y aplicada para
cada proyecto emprendido. La metodología deberá cubrir, como mínimo, la
asignación de responsabilidades, la determinación de tareas, la realización de
presupuestos de tiempo y recursos, los avances, los puntos de revisión y las
aprobaciones.
• El involucramiento de los usuarios en el desarrollo, implementación o
modificación de los proyectos.
 • Asignación de responsabilidades y autoridades a los miembros del
personal asignados al proyecto.
• Aprobación de fases de proyecto por parte de los usuarios antes de pasar
a la siguiente fase.
• Presupuestos de costos y horas hombre
• Planes y metodologías de aseguramiento de calidad que sean revisados y
acordados por las partes interesadas.
• Plan de administración de riesgos para eliminar o minimizar los riesgos.
• Planes de prueba, entrenamiento, revisión post-implementación.
o PO11 Administración de calidad

Objetivo: Satisfacer los requerimientos del cliente

Para ello se realiza una planeación, implementación y mantenimiento de
estándares y sistemas de administración de calidad por parte de la organización
y se toma en consideración:
• Definición y mantenimiento regular del plan de calidad, el cual deberá
promover la filosofía de mejora continua y contestar a las preguntas básicas de
qué, quién y cómo.
• Responsabilidades de aseguramiento de calidad que determine los tipos
de actividades de aseguramiento de calidad tales como revisiones, auditorias,
inspecciones, etc. que deben realizarse para alcanzar los objetivos del plan
general de calidad.
• Metodologías del ciclo de vida de desarrollo de sistemas que rija el
proceso de desarrollo, adquisición, implementación y mantenimiento de
sistemas de información.
• Documentación de pruebas de sistemas y programas
• Revisiones y reportes de aseguramiento de calidad

4. Dominio: Adquisición e implementación

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser
identificadas, desarrolladas o adquiridas, asi como implementadas e integradas
dentro del proceso del negocio. Además, este dominio cubre los cambios y el
mantenimiento realizados a sistemas existentes.
Procesos:
o AI1 Identificación de Soluciones Automatizadas

Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del
usuario
Para ello se realiza un análisis claro de las oportunidades alternativas
comparadas contra los requerimientos de los usuarios y toma en consideración:
• Definición de requerimientos de información para poder aprobar un
proyecto de desarrollo.
• Estudios de factibilidad con la finalidad de satisfacer los requerimientos
del negocio establecidos para el desarrollo de un proyecto.
• Arquitectura de información para tener en consideración el modelo de
datos al definir soluciones y analizar la factibilidad de las mismas.
• Seguridad con relación de costo-beneficio favorable para controlar que
los costos no excedan los beneficios.
 • Pistas de auditoria para ello deben existir mecanismos adecuados. Dichos
mecanismos deben proporcionar la capacidad de proteger datos sensitivos (ej.
Identificación de usuarios contra divulgación o mal uso)
• Contratación de terceros con el objeto de adquirir productos con buena
calidad y excelente estado.
• Aceptación de instalaciones y tecnología a través del contrato con el
Proveedor donde se acuerda un plan de aceptación para las instalaciones y
tecnología especifica a ser proporcionada.
• AI2 Adquisición y mantenimiento del software aplicativo

Objetivo: Proporciona funciones automatizadas que soporten efectivamente al

negocio.
Para ello se definen declaraciones específicas sobre requerimientos funcionales
y operacionales y una implementación estructurada con entregables claros y se
toma en consideración:
• Requerimientos de usuarios, para realizar un correcto análisis y obtener
un software claro y fácil de usar.
• Requerimientos de archivo, entrada, proceso y salida.
• Interfase usuario-maquina asegurando que el software sea fácil de
utilizar y que sea capaz de auto documentarse.
• Personalización de paquetes
• Realizar pruebas funcionales (unitarias, de aplicación, de integración y
de carga y estrés), de acuerdo con el plan de prueba del proyecto y con los
estándares establecidos antes de ser aprobado por los usuarios.
• Controles de aplicación y requerimientos funcionales
• Documentación (materiales de consulta y soporte para usuarios) con el
objeto de que los usuarios puedan aprender a utilizar el sistema o puedan
sacarse todas aquellas inquietudes que se les puedan presentar.
• AI3 Adquisición y mantenimiento de la infraestructura tecnológica

Objetivo: Proporcionar las plataformas apropiadas para soportar aplicaciones

de negocios
Para ello se realizara una evaluación del desempeño del hardware y software, la
provisión de mantenimiento preventivo de hardware y la instalación, seguridad
y control del software del sistema y toma en consideración:
• Evaluación de tecnología para identificar el impacto del nuevo hardware
o software sobre el rendimiento del sistema general.
• Mantenimiento preventivo del hardware con el objeto de reducir la
frecuencia y el impacto de fallas de rendimiento.
• Seguridad del software de sistema, instalación y mantenimiento para no
arriesgar la seguridad de los datos y programas ya almacenados en el mismo.
o AI4 Desarrollo y mantenimiento de procedimientos

Objetivo: Asegurar el uso apropiado de las aplicaciones y de las soluciones

tecnológicas establecidas.
Para ello se realiza un enfoque estructurado del desarrollo de manuales de
procedimientos de operaciones para usuarios, requerimientos de servicio y
material de entrenamiento y toma en consideración:
 • Manuales de procedimientos de usuarios y controles, de manera que los
mismos permanezcan en permanente actualización para el mejor desempeño y
control de los usuarios.
• Manuales de Operaciones y controles, de manera que estén en
permanente actualización.
• Materiales de entrenamiento enfocados al uso del sistema en la práctica
diaria.
o AI5 Instalación y aceptación de los sistemas

Objetivo: Verificar y confirmar que la solución sea adecuada para el propósito

deseado
Para ello se realiza una migración de instalación, conversión y plan de
aceptaciones adecuadamente formalizadas y toma en consideración:
• Capacitación del personal de acuerdo al plan de entrenamiento definido y
los materiales relacionados.
• Conversión / carga de datos, de manera que los elementos necesarios del
sistema anterior sean convertidos al sistema nuevo.
• Pruebas específicas (cambios, desempeño, aceptación final, operacional)
con el objeto de obtener un producto satisfactorio.
• Acreditación de manera que la Gerencia de operaciones y usuaria acepten
los resultados de las pruebas y el nivel de seguridad para los sistemas, junto
con el riesgo residual existente.
• Revisiones post implementación con el objeto de reportar si el sistema
proporciono los beneficios esperados de la manera mas económica.
o AI6 Administración de los cambios

Objetivo: Minimizar la probabilidad de interrupciones, alteraciones no

autorizadas y errores.
Esto se hace posible a través de un sistema de administración que permita el
análisis, implementación y seguimiento de todos los cambios requeridos y
llevados a cabo a la infraestructura de TI actual y toma en consideración:
• Identificación de cambios tanto internos como por parte de proveedores
• Procedimientos de categorización, priorización y emergencia de
solicitudes de cambios.
• Evaluación del impacto que provocaran los cambios.
• Autorización de cambios
• Manejo de liberación de manera que la liberación de software este regida
por procedimientos formales asegurando aprobación, empaque, pruebas de
regresión, entrega, etc.
• Distribución de software, estableciendo medidas de control especificas
para asegurar la distribución de software correcto al lugar correcto, con
integridad y de manera oportuna.

5. Dominio: Prestación y soporte

En este dominio se hace referencia a la entrega de los servicios requeridos, que
abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por
seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán
establecerse los procesos de soporte necesarios. Este dominio incluye el
procesamiento de los datos por sistemas de aplicación, frecuentemente
clasificados como controles de aplicación.
Procesos
o Ds1 Definición de niveles de servicio

Objetivo: Establecer una comprensión común del nivel de servicio requerido

Para ello se establecen convenios de niveles de servicio que formalicen los
criterios de desempeño contra los cuales se medirá la cantidad y la calidad del
servicio y se toma en consideración:
• Convenios formales que determinen la disponibilidad, confiabilidad,
desempeño, capacidad de crecimiento, niveles de soporte proporcionados al
usuario, plan de contingencia / recuperación, nivel mínimo aceptable de
funcionalidad del sistema satisfactoriamente liberado, restricciones (límites
en la cantidad de trabajo), cargos por servicio, instalaciones de impresión
central (disponibilidad), distribución de impresión central y procedimientos
de cambio.
• Definición de las responsabilidades de los usuarios y de la función de
servicios de información
• Procedimientos de desempeño que aseguren que la manera y las
responsabilidades sobre las relaciones que rigen el desempeño entre todas las
partes involucradas sean establecidas, coordinadas, mantenidas y
comunicadas a todos los departamentos afectados.
• Definición de dependencias asignando un Gerente de nivel de Servicio
que sea responsable de monitorear y reportar los alcances de los criterios de
desempeño del servicio especificado y todos los problemas encontrados
durante el procesamiento.
• Provisiones para elementos sujetos a cargos en los acuerdos de niveles de
servicio para hacer posibles comparaciones y decisiones de niveles de servicios
contra su costo.
• Garantías de integridad
• Convenios de confidencialidad
• Implementación de un programa de mejoramiento del servicio.
o Ds2 Administración de servicios prestados por terceros

Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes

estén claramente definidas, que cumplan y continúen satisfaciendo los
requerimientos
Para ello se establecen medidas de control dirigidas a la revisión y monitoreo de
contratos y procedimientos existentes, en cuanto a su efectividad y suficiencia,
con respecto a las políticas de la organización y toma en consideración:
• Acuerdos de servicios con terceras partes a través de contratos entre la
organización y el proveedor de la administración de instalaciones este basado
en niveles de procesamiento requeridos, seguridad, monitoreo y
requerimientos de contingencia, así como en otras estipulaciones según sea
apropiado.
• Acuerdos de confidencialidad. Además, se deberá calificar a los terceros y
el contrato deberá definirse y acordarse para cada relación de servicio con un
proveedor.
 • Requerimientos legales regulatorios de manera de asegurar que estos
concuerde con los acuerdos de seguridad identificados, declarados y
acordados.
• Monitoreo de la entrega de servicio con el fin de asegurar el
cumplimiento de los acuerdos del contrato.
o Ds3 Administración de desempeño y capacidad

Objetivo: Asegurar que la capacidad adecuada está disponible y que se esté

haciendo el mejor uso de ella para alcanzar el desempeño deseado.
Para ello se realizan controles de manejo de capacidad y desempeño que
recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de
aplicaciones, manejo y demanda de recursos y toma en consideración:
• Requerimientos de disponibilidad y desempeño de los servicios de
sistemas de información
• Monitoreo y reporte de los recursos de tecnología de información
• Utilizar herramientas de modelado apropiadas para producir un modelo
del sistema actual para apoyar el pronóstico de los requerimientos de
capacidad, confiabilidad de configuración, desempeño y disponibilidad.
• Administración de capacidad estableciendo un proceso de planeación
para la revisión del desempeño y capacidad de hardware con el fin de asegurar
que siempre exista una capacidad justificable económicamente para procesar
cargas de trabajo con cantidad y calidad de desempeño
• Prevenir que se pierda la disponibilidad de recursos mediante la
implementación de mecanismos de tolerancia de fallas, de asignación
equitativos de recursos y de prioridad de tareas.

Monitoreo
o Ds4 Asegurar el Servicio Continuo

Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y

continuar su provisión en caso de interrupciones
Para ello se tiene un plan de continuidad probado y funcional, que esté alineado
con el plan de continuidad del negocio y relacionado con los requerimientos de
negocio y toma en consideración:
• Planificación de Severidad
• Plan Documentado
• Procedimientos Alternativos
• Respaldo y Recuperación
• Pruebas y entrenamiento sistemático y singulares
o Ds5 Garantizar la seguridad de sistemas

Objetivo: salvaguardar la información contra uso no autorizados, divulgación,

modificación, daño o pérdida
Para ello se realizan controles de acceso lógico que aseguren que el acceso a
sistemas, datos y programas está restringido a usuarios autorizados y toma en
consideración:
• el acceso lógico junto con el uso de los autenticación y Autorización,
recursos de TI deberá restringirse a través de la instrumentación de
 mecanismos de autenticación de usuarios identificados y recursos asociados
con las reglas de acceso
• Perfiles e identificación de usuarios estableciendo procedimientos para
asegurar acciones oportunas relacionadas con la requisición, establecimiento,
emisión, suspensión y suspensión de cuentas de usuario
• Administración de llaves criptográficas definiendo implementando
procedimientos y protocolos a ser utilizados en la generación, distribución,
certificación, almacenamiento, entrada, utilización y archivo de llaves
criptográficas con el fin de asegurar la protección de las mismas
• Manejo, reporte y seguimiento de incidentes implementado capacidad
para la atención de los mismos
• Prevención y detección de virus tales como Caballos de Troya,
estableciendo adecuadas medidas de control preventivas, detectivas y
correctivas.
• Firewalls si existe una conexión con de Utilización Internet u otras
redes públicas en la organización

Monitoreo
o Ds6 Educación y entrenamiento de usuarios

Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la

tecnología y estén conscientes de los riesgos y responsabilidades involucrados
Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en
consideración:
• Curriculum de entrenamiento estableciendo y manteniendo
procedimientos para identificar y documentar las necesidades de
entrenamiento de todo el personal que haga uso de los servicios de
información
• Campañas de concientización, definiendo los grupos objetivos, identificar
y asignar entrenadores y organizar oportunamente las sesiones de
entrenamiento
• Técnicas de concientización proporcionando un programa de educación y
entrenamiento que incluya conducta ética de la función de servicios de
información
o Ds7 Identificación y asignación de costos

Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los

servicios de TI
Para ello se realiza un sistema de contabilidad de costos que asegure que éstos
sean registrados, calculados y asignados a los niveles de detalle requeridos y
toma en consideración:
• Los elementos sujetos a cargo deben ser recursos identificables, medibles
y predecibles para los usuarios
• Procedimientos y políticas de cargo que fomenten el uso apropiado de los
recursos de computo y aseguren el trato justo de los departamentos usuarios y
sus necesidades
• Tarifas definiendo e implementando procedimientos de costeo de prestar
servicios, para ser analizados, monitoreados, evaluados asegurando al mismo
tiempo la economía
Monitoreo
o Ds8 Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea
atendido apropiadamente
Para ello se realiza un Buró de ayuda que proporcione soporte y asesoría de
primera línea y toma en consideración:
• Consultas de usuarios y respuesta a problemas estableciendo un soporte
de una función de buró de ayuda
• Monitoreo de consultas y despacho estableciendo procedimientos que
aseguren que las preguntas de los clientes que pueden ser resueltas sean
reasignadas al nivel adecuado para atenderlas
• Análisis y reporte de tendencias adecuado de las preguntas de los clientes
y su solución, de los tiempos de respuesta y la identificación de tendencias
o Ds9 Administración de la configuración

Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no

autorizadas, verificar la existencia física y proporcionar una base para el sano
manejo de cambios
Para ello se realizan controles que identifiquen y registren todos los activos de
TI así como su localización física y un programa regular de verificación que
confirme su existencia y toma en consideración:
• Registro de activos estableciendo procedimientos para asegurar que sean
registrados únicamente elementos de configuración autorizados e
identificables en el inventario, al momento de adquisición
• Administración de cambios en la configuración asegurando que los
registros de configuración reflejen el status real de todos los elementos de la
configuración
• Chequeo de software no autorizado revisando periódicamente las
computadoras personales de la organización
• Controles de almacenamiento de software definiendo un área de
almacenamiento de archivos para todos los elementos de software válidos en
las fases del ciclo de vida de desarrollo de sistemas
o Ds10 Administración de Problemas

Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus
causas sean investigadas para prevenir que vuelvan a suceder.
Para ello se necesita un sistema de manejo de problemas que registre y dé
seguimiento a todos los incidentes, además de un conjunto de procedimientos
de escalamiento de problemas para resolver de la manera más eficiente los
problemas identificados. Este sistema de administración de problemas deberá
también realizar un seguimiento de las causas a partir de un incidente dado.
o Ds11 Administración de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos

durante su entrada, actualización, salida y almacenamiento.
Lo cual se logra a través de una combinación efectiva de controles generales y de
aplicación sobre las operaciones de TI. Para tal fin, la gerencia deberá diseñar
formatos de entrada de datos para los usuarios de manera que se minimicen lo
errores y las omisiones durante la creación de los datos.
Este proceso deberá controlar los documentos fuentes (de donde se extraen los
datos), de manera que estén completos, sean precisos y se registren
apropiadamente. Se deberán crear también procedimientos que validen los
datos de entrada y corrijan o detecten los datos erróneos, como así también
procedimientos de validación para transacciones erróneas, de manera que éstas
no sean procesadas. Cabe destacar la importancia de crear procedimientos para
el almacenamiento, respaldo y recuperación de datos, teniendo un registro físico
(discos, disquetes, CDs y cintas magnéticas) de todas las transacciones y datos
manejados por la organización, albergados tanto dentro como fuera de la
empresa.
La gerencia deberá asegurar también la integridad, autenticidad y
confidencialidad de los datos almacenados, definiendo e implementando
procedimientos para tal fin.
o Ds12 Administración de las instalaciones

Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y

al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas
humanas lo cual se hace posible con la instalación de controles físicos y
ambientales adecuados que sean revisados regularmente para su
funcionamiento apropiado definiendo procedimientos que provean control de
acceso del personal a las instalaciones y contemplen su seguridad física.
o Ds13 Administración de la operación

Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendo

llevadas a cabo regularmente y de una manera ordenada
Esto se logra a través de una calendarización de actividades de soporte que sea
registrada y completada en cuanto al logro de todas las actividades. Para ello, la
gerencia deberá establecer y documentar procedimientos para las operaciones
de tecnología de información (incluyendo operaciones de red), los cuales
deberán ser revisados periódicamente para garantizar su eficiencia y
cumplimiento.
6. Dominio: Monitoreo
Todos los procesos de una organización necesitan ser evaluados regularmente a
través del tiempo para verificar su calidad y suficiencia en cuanto a los
requerimientos de control, integridad y confidencialidad. Este es, precisamente,
el ámbito de este dominio.
Procesos
o M1 Monitoreo del Proceso

Objetivo: Asegurar el logro de los objetivos establecidos para los procesos de TI.
Lo cual se logra definiendo por parte de la gerencia reportes e indicadores de
desempeño gerenciales y la implementación de sistemas de soporte así como la
atención regular a los reportes emitidos.
Para ello la gerencia podrá definir indicadores claves de desempeño y/o factores
críticos de éxito y compararlos con los niveles objetivos propuestos para evaluar
el desempeño de los procesos de la organización. La gerencia deberá también
medir el grado de satisfacción del los clientes con respecto a los servicios de
información proporcionados para identificar deficiencias en los niveles de
servicio y establecer objetivos de mejoramiento, confeccionando informes que
indiquen el avance de la organización hacia los objetivos propuestos.
o M2 Evaluar lo adecuado del Control Interno

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para

los procesos de TI.
Para ello la gerencia es la encargada de monitorear la efectividad de los
controles internos a través de actividades administrativas y de supervisión,
comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su
efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de
monitoreo continuo por parte de la Gerencia deberán revisar la existencia de
puntos vulnerables y problemas de seguridad.
o M3 Obtención de Aseguramiento Independiente

Objetivo: Incrementar los niveles de confianza entre la organización, clientes y

proveedores externos. Este proceso se lleva a cabo a intervalos regulares de
tiempo.
Para ello la gerencia deberá obtener una certificación o acreditación
independiente de seguridad y control interno antes de implementar nuevos
servicios de tecnología de información que resulten críticos, como así también
para trabajar con nuevos proveedores de servicios de tecnología de información.
Luego la gerencia deberá adoptar como trabajo rutinario tanto hacer
evaluaciones periódicas sobre la efectividad de los servicios de tecnología de
información y de los proveedores de estos servicios como así también
asegurarse el cumplimiento de los compromisos contractuales de los servicios
de tecnología de información y de los proveedores de estos servicios.
o M4 Proveer Auditoria Independiente

Objetivo: Incrementar los niveles de confianza y beneficiarse de

recomendaciones basadas en mejores prácticas de su implementación, lo que se
logra con el uso de auditorias independientes desarrolladas a intervalos
regulares de tiempo. Para ello la gerencia deberá establecer los estatutos para la
función de auditoria, destacando en este documento la responsabilidad,
autoridad y obligaciones de la auditoria. El auditor deberá ser independiente del
auditado, esto significa que los auditores no deberán estar relacionados con la
sección o departamento que esté siendo auditado y en lo posible deberá ser
independiente de la propia empresa. Esta auditoria deberá respetar la ética y los
estándares profesionales, seleccionando para ello auditores que sean
técnicamente competentes, es decir que cuenten con habilidades y
conocimientos que aseguren tareas efectivas y eficientes de auditoria.
La función de auditoria deberá proporcionar un reporte que muestre los
objetivos de la auditoria, período de cobertura, naturaleza y trabajo de auditoria
realizado, como así también la organización, conclusión y recomendaciones
relacionadas con el trabajo de auditoria llevado a cabo.
Los 34 procesos propuestos se concretan en 32 objetivos de control detallados
anteriormente.
Un Control se define como "las normas, estándares, procedimientos, usos y
costumbres y las estructuras organizativas, diseñadas para proporcionar
garantía razonable de que los objetivos empresariales se alcanzaran y que los
eventos no deseados se preverán o se detectaran, y corregirán"
Un Objetivo de Control se define como "la declaración del resultado deseado o
propuesto que se ha de alcanzar mediante la aplicación de procedimientos de
control en cualquier actividad de TI"
En resumen, la estructura conceptual se puede enfocar desde tres puntos de
vista:
-Los recursos de las TI
-Los criterios empresariales que deben satisfacer la información
-Los procesos de TI

Las tres dimensiones condeptuales de COBIT

7. Aplicación de las Normas COBIT
A continuación, analizaremos como se deberían aplicar las Normas COBIT en
una Organización, utilizando para ello la Guía de Auditoria presentada en la
pagina Web www.isaca.org, la misma indica los pasos a seguir para auditar cada
uno de los procesos de TI de la norma. Este reporte lo confeccionamos dándole
el formato de un informe de auditoría:
Informe de Auditoria
• Entidad Auditada: ARCO IRIS SCHOOL
• Alcance de la auditoría: Esta auditoría comprende solamente al área de
Recursos Humanos de la Arco Iris School, con respecto al cumplimiento del
proceso "Administración de Recursos Humanos" de la norma COBIT.
• Norma Aplicada: COBIT, específicamente el proceso de TI Po7
"Administración de Recursos Humanos"
• Relevamiento:

Organización: Colegio Privado que brinda un servicio de educación a niños de

nivel inicial y primario.
Objetivos de la Organización:
• Ofrecer el servicio de una excelente educación con orientación bilingüe
(Español - Ingles), artística, deportiva y ecológica en forma personalizada a
los niños de nivel inicial y primario, y obtener por el servicio un beneficio
monetario acorde a las ofertas educativa que brinda la Institución (según si el
inscripto participa de escolaridad simple o doble)
 • Incrementar cada año el número de inscriptos para obtener mayor
rentabilidad y ampliar la comunidad educativa.
• Transmitir a la comunidad en general el perfil institucional y los
beneficios que los alumnos obtienen por una educación personalizada.

Departamento de administración de personal: Comprende todo lo relacionado

con el desarrollo y administración de políticas y programas que provean una
estructura organizativa eficiente, empleados calificados, tratamiento equitativo,
oportunidades de progreso, satisfacción en el trabajo y adecuada seguridad de
empleo.
Depende de la Gerencia de Administración.
Políticas y estrategias del Departamento de Administración de personal
Políticas
Estrategias
Para con el
Personal
Objetivo: perfeccionar al personal con el perfil Institucional
Seleccionar docentes que respondan a los requerimientos del proyecto
educativo institucional
Realizar durante la selección de personal talleres de capacitación y evaluación
de inteligencia emocional y desarrollo de la persona.
Seleccionar docentes con muy buenas referencias
Los docentes de asignaturas especiales (plástica, música, deportes, etc.) deben
tener experiencias mínimas en mas de una escuela y estar abalados con
referencias por escrito
Respetar las decisiones personales de los docentes y no docentes.
Antes de que un personal forme parte de la institución debe conocer y firmar las
Normativas Institucionales donde se especifican todas las medidas, deberes y
derechos de todo el personal docente y no docente
La dirección general realiza periódicamente evaluaciones del rendimiento de
trabajo individual y grupal mediante entrevistas. (grupales y personales)
Educativas
Objetivo: Lograr una excelencia educativa
Brindar una educación excelente y personalizada
Confeccionar un PEI (Proy. Educ. Inst.) con los objetivos que cubran las
orientaciones Bilingüe, deportiva, ecológica y artística.
Realizar periódicamente talleres de capacitación docente a nivel institucional
donde se promueve la inteligencia emocional y el desarrollo personal.
La Dirección académica debe evaluar constantemente el trabajo de los
docentes y elevar los informes a la dirección general.
Funciones – Subfunsiones - Tareas:
1-Realizar el reclutamiento: lograr que todos los puestos estén cubiertos por
personal competente que cubran el perfil institucional por un costo razonable.
 a. Buscar los postulantes (docentes y no docentes)

• Análisis de las necesidades del cargo

• Desarrollo de especificaciones de trabajo
• Análisis de las fuentes de empleados potenciales
• Atracción de los posibles postulantes

a. Realizar el proceso de selección: Análisis de la capacidad de los

aspirantes para decidir cual tiene mayores posibilidades.

• Entrevistar los postulantes

• Realizar talleres de Pruebas de inteligencia emocional.
• Evaluación de los postulantes en base a los resultados de los talleres.
• Confección y entrega de los diferentes tipos de contratos de trabajo
(contratos temporales, a plazo fijo, contratos de prueba, pasantías, etc.)

a. Instrucción y entrega de materiales: Entrenamiento, información y

entrega de materiales necesarios a los empleados contratados (o nuevos)
para que cumplan sus obligaciones eficientemente.

• Orientación de los nuevos empleados mediante talleres de capacitación

y entrega de documentación con las normativas (reglas con las que se rige la
institución)
• Seguimiento de la actuación de los empleados (y empleados nuevos
también).
• Compra de materiales didácticos u otros servicios para entregar a los
docentes y así los mismos puedan dictar sus clases eficientemente.

a. Despidos: Terminación legal de las relaciones con los empleados en la

forma mas beneficiosa para ellos y el colegio.

• Realización de la entrevista de egreso

• Análisis de las bajas

a. Determinar los servicios sociales para los empleados.

• Determinación de servicio médicos y otros para los empleados (y

alumnos) que cubran la seguridad e integridad física del personal dentro de la
organización.
• Prepara la documentación para la gestión de obras sociales del
personal.

2-Administrar sueldos y jornales: lograr que todos los empleados estén

remunerados adecuada, equitativamente y en tiempo.
a. Clasificar la posición, responsabilidades y requerimientos de los
empleados

• Preparación de las normativas institucionales donde están las

especificaciones de trabajo
• Revisión periódica y corrección de las normativas.
 • Fijar los valores monetarios de los puestos en forma justa y equitativa,
respecto a otros puestos en el colegio y a puestos similares en el mercado de
trabajo.
• Efectuar los pagos correspondientes a los sueldos mensuales (el pago y
entrega de recibos de sueldo se efectúa en la propia institución)

a. Control de Horarios: Fijación de horas de trabajo y periodos de

inasistencia con goce de haberes o sin el, que sean justos tanto para el
empleado como para el colegio.

• Planificación y administración de políticas sobre horarios de trabajos o

inasistencias.
• Planificación y administración de planes de vacaciones.

3- Promocionar las Relaciones institucionales: Asegurar que las relaciones de

trabajo entre la dirección general y los empleados al igual que la satisfacción en
el trabajo y oportunidad de progreso del personal, sean desarrollados y
mantenidos siguiendo los mejores intereses del colegio y de los empleados.
También su función es la de desarrollar proyectos de Relaciones Institucionales
con el medio externo (otras instituciones escolares, clubes, etc.)
a. Realizar negociaciones colectivas: Lograr concordancia con las
organizaciones de empleados reconocidas oficialmente y establecidas
legalmente, de la manera que mejor contemple los intereses de la escuela y
los docentes.

• Negociación de convenios
• Interpretación y administración de estos

a. Controlar la disciplina del personal

• Fijar reglas de conducta y disposiciones mediante las normativas

institucionales
• Establecer y administrar las medidas disciplinarias con respecto a
inasistencias injustificadas.

a. Investigación de Personal:

• Investigación de referencias de trabajos anteriores.

• Confirmar las referencias y otras documentaciones a la administración
general.
• Investigar y verificar la documentación presentada por los empleados
que luego conformaran el legajo de los mismos (DNI, títulos oficiales,
registración en la Junta de clasificaciones, etc.)

5-Generar Informes
• Confeccionar todos los informes mensuales, semestrales y anuales con
las estadísticas, resúmenes, etc. de las gestiones administrativas del
personal.
 • Diagnóstico:

De acuerdo con el Dominio "Planificación y Organización" y el Proceso

"Administración de Recursos Humanos", nosotros hemos desarrollado un
análisis, donde identificamos con que normas esta cumpliendo la organización
y con cuales no, a partir de allí definiremos que es lo que la escuela debería
hacer para cumplir con las normas COBIT.
La organización ARCO IRIS SCHOOL, según nuestro parecer y de acuerdo a lo
relevado, creemos que se ajusta bastante bien a las normas COBIT en cuanto
al proceso en cuestión, puesto que la misma cumple con las siguientes
actividades o tareas del mismo:
Reclutamiento y Promoción personal, ya que la Dirección evalúa regularmente
los procesos necesarios para asegurar que las practicas de reclutamiento y
promoción de personal tengan excelentes resultados, considerando factores
como la educación del personal, la experiencia y la responsabilidad.
Personal Calificado, puesto que se verifica que el personal que lleva tareas
especificas este capacitado y para ello se realizan Talleres Docentes.
Entrenamiento de Personal, ya que en cuanto ingresa el personal y durante su
permanencia en el establecimiento tiene a su disposición toda la información
que necesite, así como también la permanente capacitación. Aunque es
importante destacar que no hay un manual de Funciones, ni de Procedimientos,
por lo cual los empleados pueden tener dudas con respecto a sus funciones.
Evaluación de Desempeño de los Empleados, ya que el establecimiento
implementa un proceso de evaluación de desempeño de los empleados y
asesora a los mismos sobre su desempeño o conducta de manera apropiada.
Aunque las evaluaciones de rendimiento no están definidas formalmente y por
ende se puede llegar a tener problemas por la subjetividad de la persona que
esta evaluando el desempeño.
Cambios de puestos y Despidos, puesto que cuando se toman tales acciones
se trata de que sean oportunas y apropiadas, de tal manera que los controles
internos y la seguridad no se vean perjudicados por estos eventos.
s importante destacar que ARCO IRIS SCHOOL tienes dificultados en cuanto a:
Respaldo de Personal, puesto que no cuenta con suficiente personal de
respaldo para solucionar posibles ausencias. Tampoco el personal encargado
de puestos delicados como ser el Tesorero toma vacaciones interrumpidas con
duración suficiente como para probar la habilidad de la organización para
manejar casos de ausencia y detectar actividades fraudulentas.
Procedimientos de Acreditación de Personal, puesto que las investigaciones de
seguridad asociada a la contratación no son llevadas a cabo.
• Conclusiones:

Por lo tanto, podemos especificar que para que la escuela cumpla con las
normas COBIT en cuanto al proceso "Administración de Recursos Humanos"
deberá:
• Realizar manuales de funciones, de manera que estén definidos todos
los puestos de trabajo y sus correspondientes funciones.
• Realizar manuales de Procedimientos, de manera que los empleados
 puedan identificar cuales son las tareas que deben realizar de acuerdo a su
puesto y funciones.
• Establecer Procedimientos de Acreditación, ya que de lo contrario se
pueden tener serios problemas por no haber realizado correctamente las
investigaciones de seguridad.
• Proporcionar un entrenamiento "cruzado" de manera de tener personal
de respaldo con la finalidad de solucionar posibles ausencias, ya que la
escuela no puede contar con suficiente personal por su economía actual.

• Definir y publicar formalmente las evaluaciones de rendimiento, de

manera de aplicarlas a la hora de hacer la evaluación de desempeño para
evitar problemas con el personal docente y no docente.
8. Apéndice I
COBIT como Producto, incluye:
• Resumen Ejecutivo: es un documento dirigido a la alta gerencia
presentando los antecedentes y la estructura básica de COBIT Además,
describe de manera general los procesos, los recursos y los criterios de
información, los cuales conforman la "Columna Vertebral" de COBIT.
• Marco de Referencia (Framework): Incluye la introducción contenida en
el resumen ejecutivo y presenta las guías de navegación para que los lectores
se orienten en la exploración del material de COBIT haciendo una
presentación detallada de los 34 procesos contenidos en los cuatro dominios.
• Objetivos de Control: Integran en su contenido lo expuesto tanto en el
resumen ejecutivo como en el marco de referencia y presenta los objetivos de
control detallados para cada uno de los 34 procesos.

En total se describen 302 objetivos de control detallados (de 3 a 30 objetivos

por cada uno de los procesos)
• Guías de Auditoria: Se hace una presentación del proceso de auditoria
generalmente aceptado (relevamiento de información, evaluación de control,
evaluación de cumplimiento y evidenciación de los riesgos).

Este documento incluye guías detalladas para auditar cada uno de los 34
procesos teniendo en cuenta los 302 objetivos de control detallados.
• Guías de Administración: Se enfoca de manera similar a los otros
productos e integra los principios del Balance Business Scorecard.

Para ayudar a determinar cuales son los adecuados niveles de seguridad y

control integra los conceptos de:
–Modelo de madurez CMM (prácticas de Control)
–Indicadores claves de Desempeño de los procesos de TI
–Factores Críticos de Éxito a tener en cuenta para mantener bajo control los
procesos de TI.
• Guías Gerenciales: Incluidas en la Tercera Edición, las mismas proveen
modelos de madurez, factores críticos de éxito, indicadores claves de objetivos
e indicadores claves de desempeño para los 34 procesos de TI de COBIT. Estas
guías proveen a la gerencia herramientas que permiten la auto evaluación y
poder seleccionar opciones para implementación de controles y mejoras sobre
la información y la tecnología relacionada. Las guías fueron desarrolladas por
 un panel de 40 expertos en seguridad y control, profesionales de
administración de TI y de administración de desempeño, analistas de la
industria y académicos de todo el mundo.
• Herramientas de implementación: Muestra algunas de las lecciones
aprendidas por aquellas organizaciones que han aplicado COBIT e incluye una
guía de implementación con dos herramientas: Diagnóstico de conciencia
Administrativa y Diagnóstico de Control en TI

Como con cualquier investigación amplia e innovadora, COBIT será actualizado

cada tres años. Esto asegurara que el modelo y la estructura permanezcan
vigentes. La validación también permite asegurar que los 41 materiales de
referencia primarios no hayan cambiado, y, si hubieran cambiado, reflejas eso
en el documento
9. Apéndice II
Relaciones de Objetivo de Control, Dominios, Procesos y Objetivos de Control
PLANEACIÓN Y ORGANIZACIÓN 4.15 Relaciones
1.0 Definición de un Plan Estratégico 5.0 Manejo de la Inversión en
de Tecnología de Información Tecnología de Información
1.1 Tecnología de Información como 5.1 Presupuesto Operativo Anual para
parte del Plan de la Organización a la Función de Servicio de información
corto y largo plazo 5.2 Monitoreo de Costo - Beneficio
1.2 Plan a largo plazo de Tecnología de 5.3 Justificación de Costo - Beneficio
Información
6.0 Comunicación de la dirección y
1.3 Plan a largo plazo de Tecnología de aspiraciones de la gerencia
Información - Enfoque y Estructura
6.1 Ambiente positivo de control de la
1.4 Cambios al Plan a largo plazo de información
Tecnología de Información
6.2 Responsabilidad de la Gerencia en
1.5 Planeación a corto plazo para la cuanto a Políticas
función de Servicios de Información
6.3 Comunicación de las Políticas de la
1.6 Evaluación de sistemas existentes Organización
2.0 Definición de la Arquitectura de 6.4 Recursos para la implementación
Información de Políticas
2.1 Modelo de la Arquitectura de 6.5 Mantenimiento de Políticas
Información
6.6 Cumplimiento de Políticas,
2.2 Diccionario de Datos y Reglas de Procedimientos y Estándares
cinta de datos de la corporación
6.7 Compromiso con la Calidad
2.3 Esquema de Clasificación de Datos
6.8 Política sobre el Marco de
2.4 Niveles de Seguridad Referencia para la Seguridad y el
3.0 Determinación de la dirección Control Interno
tecnológica 6.9 Derechos de propiedad intelectual
3.1 Planeación de la Infraestructura 6.10 Políticas Específicas
Tecnológica
6.11 Comunicación de Conciencia de
3.2 Monitoreo de Tendencias y Seguridad en TI
Regulaciones Futuras
7.0 Administración de Recursos
3.3 Contingencias en la Infraestructura Humanos
Tecnológica 7.1 Reclutamiento y Promoción de
3.4 Planes de Adquisición de Hardware Personal
y Software 7.2 Personal Calificado
3.5 Estándares de Tecnología 7.3 Entrenamiento de Personal
4.0 Definición de la Organización y de 7.4 Entrenamiento Cruzado o Respaldo
las Relaciones de TI de Personal
4.1 Comité de planeación o dirección 7.5 Procedimientos de Acreditación de
de la función de servicios de Personal
información
7.6 Evaluación de Desempeño de los
4.2 Ubicación de los servicios de Empleados
información en la organización
7.7 Cambios de Puesto y Despidos
4.3 Revisión de Logros
Organizacionales 8.0 Aseguramiento del Cumplimiento
de Requerimientos Externos
4.4 Funciones y Responsabilidades
8.1 Revisión de Requerimientos
4.5 Responsabilidad del aseguramiento Externos
de calidad
8.2 Prácticas y Procedimientos para el
4.6 Responsabilidad de la seguridad Cumplimiento de Requerimientos
lógica y física Externos
4.7 Propiedad y Custodia 8.3 Cumplimiento de los Estándares de
4.8 Propiedad de Datos y Sistemas Seguridad y Ergonomía
4.9 Supervisión 8.4 Privacidad, Propiedad Intelectual y
4.10 Segregación de Funciones Flujo de Datos
4.11 Asignación de Personal para 8.5 Comercio Electrónico
Tecnología de Información 8.6 Cumplimiento con Contratos de
4.12 Descripción de Puestos para el Seguros
Personal de la Función de TI 9.0 Evaluación de Riesgos
4.13 Personal clave de TI 9.1 Evaluación de Riesgos del Negocio
4.14 Procedimientos para personal por 9.2 Enfoque de Evaluación de Riesgos
contrato 9.3 Identificación de Riesgos
9.4 Medición de Riesgos
9.5 Plan de Acción contra Riesgos

9.6 Aceptación de Riesgos ADQUISICIÓN E IMPLEMENTACIÓN

10.0 Administración de proyectos
10.1 Marco de Referencia para la
Administración de Proyectos
10.2 Participación del Departamento
Usuario en la Iniciación de Proyectos
10.3 Miembros y Responsabilidades
del Equipo del Proyecto
10.4 Definición del Proyecto
1.0 Identificación de Soluciones
1.1 Definición de Requerimientos de
Información
1.2 Formulación de Acciones
Alternativas
1.3 Formulación de Estrategias de
Adquisición.
1.4 Requerimientos de Servicios de
10.5 Aprobación del Proyecto
10.6 Aprobación de las Fases del
Proyecto
10.7 Plan Maestro del Proyecto
10.8 Plan de Aseguramiento de la
Calidad de Sistemas
10.9 Planeación de Métodos de
Aseguramiento
10.10 Administración Formal de
Riesgos de Proyectos
10.11 Plan de Prueba
10.12 Plan de Entrenamiento
10.13 Plan de Revisión Post
Implementación
11.0 Administración de Calidad
11.1 Plan General de Calidad
11.2 Enfoque de Aseguramiento de
Calidad
11.3 Planeación del Aseguramiento de
Calidad
11.4 Revisión de Aseguramiento de
Calidad sobre el Cumplimiento de
Estándares y Procedimientos de la
Función de Servicios de Información
11.5 Metodología del Ciclo de Vida de
Desarrollo de Sistemas
11.6 Metodología del Ciclo de Vida de
Desarrollo de Sistemas para Cambios
Mayores a la Tecnología Actual
11.7 Actualización de la Metodología
del Ciclo de Vida de Desarrollo de
Sistemas
11.8 Coordinación y Comunicación
11.9 Marco de Referencia de
Adquisición y Mantenimiento para la
Infraestructura de Tecnología
11.10 Relaciones con Terceras Partes
como Implementadores
11.11 Estándares para la
Documentación de
Programas
11.12 Estándares para Pruebas de
Programas
Terceros
1.5 Estudio de Factibilidad Tecnológica
1.6 Estudio de Factibilidad Económica
1.7 Arquitectura de Información
1.8 Reporte de Análisis de Riesgos
1.9 Controles de Seguridad
Económicos
1.10 Diseño de Pistas de Auditoría
1.11 Ergonomía
1.12 Selección de Software de Sistema
1.13 Control de Abastecimiento
1.14 Adquisición de Productos de
Software
1.15 Mantenimiento de Software de
Terceras Partes
1.16 Contratos de Programación de
Aplicaciones
1.17 Aceptación de Instalaciones
1.18 Aceptación de Tecnología
2.0 Adquisición y Mantenimiento de
Software de Aplicación
2.1 Métodos de Diseño
2.2 Cambios Significativos a Sistemas
Actuales
2.3 Aprobación del Diseño
2.4 Definición y Documentación de
Requerimientos de Archivos
2.5 Especificaciones de Programas
2.6 Diseño para la Recopilación de
Datos Fuente
2.7 Definición y Documentación de
Requerimientos de Entrada de Datos
2.8 Definición de Interfases
2.9 Interfases Usuario-Máquina
2.10 Definición y Documentación de
Requerimientos de Procesamiento
2.11 Definición y Documentación de
Requerimientos de Salida de Datos
2.12 Controlabilidad
2.13 Disponibilidad como Factor Clave
de Diseño
11.13 Estándares para Pruebas de
Sistemas
11.14 Pruebas Piloto/En Paralelo
11.15 Documentación de las Pruebas 2.15 Pruebas de Software de
del Sistema
11.16 Evaluación del Aseguramiento de 2.16 Materiales de Consulta y Soporte
la Calidad sobre el Cumplimiento de
Estándar de Desarrollo
11.17 Revisión del Aseguramiento de Sistema
Calidad sobre el Logro de los Objetivos 3.0 Adquisición y Mantenimiento de
de la Función de Servicios de
Información
11.18 Métricas de Calidad
11.19 Reportes de Revisiones de
Aseguramiento de la Calidad
4.0 Desarrollo y Mantenimiento de
Procedimientos relacionados con
Tecnología de Información
4.1 Futuros Requerimientos y Niveles
de Servicios Operacionales
4.2 Manual de Procedimientos para
Usuario
4.3 Manual de Operación
4.4 Material de Entrenamiento
5.0 Instalación y Acreditación de
Sistemas
5.1 Entrenamiento
5.2 Adecuación del Desempeño del
Software de Aplicación
5.3 Conversión
5.4 Pruebas de Cambios
5.5 Criterios y Desempeño de Pruebas
en Paralelo/Piloto
5.6 Prueba de Aceptación Final
5.7 Pruebas y Acreditación de
2.14 Estipulación de Integridad de TI
en programas de software de
aplicaciones
Aplicación
para Usuario
2.17 Reevaluación del Diseño del
Arquitectura de Tecnología
3.1 Evaluación de Nuevo Hardware y
Software
3.2 Mantenimiento Preventivo para
Hardware
3.3 Seguridad del Software del Sistema
3.4 Instalación del Software del
Sistema
3.5 Mantenimiento del Software del
Sistema
3.6 Controles para Cambios del
Sofware del Sistema
3.2 Plan de Disponibilidad
3.3 Monitoreo y Reporte
3.4 Herramientas de Modelado
3.5 Manejo de Desempeño Proactivo
3.6 Pronóstico de Carga de Trabajo
3.7 Administración de Capacidad de
Recursos
3.8 Disponibilidad de Recursos
3.9 Calendarización de recursos
4.0 Aseguramiento de Servicio
Continuo
4.1 Marco de Referencia de
Continuidad de Tecnología de
Información
4.2 Estrategia y Filosofía de
Continuidad de Tecnología de
Información
4.3 Contenido del Plan de Continuidad
de Tecnología de Información
4.4 Minimización de requerimientos de
Seguridad
5.8 Prueba Operacional
5.9 Promoción a Producción 5.10
Evaluación de la Satisfacción de los
Requerimientos del Usuario
5.11Revisión Gerencial Post -
Implementación
6.0 Administración de Cambios
6.1 Inicio y Control de Requisiciones de Información
Cambio
6.2 Evaluación del Impacto
6.3 Control de Cambios
6.4 Documentación y Procedimientos 4.9 Procedimientos de Respaldo de
6.5 Mantenimiento Autorizado
6.6 Política de Liberación de Software
6.7 Distribución de Software
ENTREGA DE SERVICIOS Y
SOPORTE
1.0 Definición de Niveles de Servicio
1.1 Marco de Referencia para el
Convenio de Nivel de Servicio
1.2 Aspectos sobre los Acuerdos de
Nivel de Servicio
1.3 Procedimientos de Ejecución
1.4 Monitoreo y Reporte
1.5 Revisión de Convenios y Contratos 5.3 Seguridad de Acceso a Datos en
de Nivel de Servicio
1.6 Elementos sujetos a Cargo
1.7 Programa de Mejoramiento del
Servicio
2.0 Administración de Servicios
prestados por
Terceros
2.1 Interfases con Proveedores
2.2 Relaciones de Dueños
2.3 Contratos con Terceros
2.4 Calificaciones de terceros
2.5 Contratos con Outsourcing
2.6 Continuidad de Servicios
2.7 Relaciones de Seguridad
Continuidad de Tecnología de
Información
4.5 Mantenimiento del Plan de
Continuidad de Tecnología de
Información
4.6 Pruebas del Plan de Continuidad
de Tecnología de Información
4.7 Capacitación sobre el Plan de
Continuidad de Tecnología de
4.8 Distribución del Plan de
Continuidad de Tecnología de
Información
Procesamiento para Departamentos
Usuarios
4.10 Recursos críticos de Tecnología
de Información
4.11 Centro de Cómputo y Hardware
de respaldo
4.12 Procedimientos de Refinamiento
del Plan de Continuidad de TI
5.0 Garantizar la Seguridad de
Sistemas
5.1 Administrar Medidas de Seguridad
5.2 Identificación, Autenticación y
Acceso
Línea
5.4 Administración de Cuentas de
Usuario
5.5 Revisión Gerencial de Cuentas de
Usuario
5.6 Control de Usuarios sobre Cuentas
de Usuario
5.7 Vigilancia de Seguridad
5.8 Clasificación de Datos
5.9 Administración Centralizada de
Identificación y Derechos de Acceso
5.10 Reportes de Violación y de
Actividades de Seguridad
5.11 Manejo de Incidentes
5.12 Re-acreditación
2.8 Monitoreo
3.0 Administración de Desempeño y
Capacidad
3.1 Requerimientos de Disponibilidad y
Desempeño
6.0 Identificación y Asignación de
Costos
6.1 Elementos Sujetos a Cargo
6.2 Procedimientos de Costeo
6.3 Procedimientos de Cargo y
Facturación a Usuarios
7.0 Educación y Entrenamiento de
Usuarios
7.1 Identificación de Necesidades de
Entrenamiento
7.2 Organización de Entrenamiento
7.3 Entrenamiento sobre Principios y
Conciencia de Seguridad
8.0 Apoyo y Asistencia a los Clientes
de Tecnología de Información
8.1 Buró de Ayuda
8.2 Registro de Preguntas del Usuario
8.3 Escalamiento de Preguntas del
Cliente
8.4 Monitoreo de Atención a Clientes
8.5 Análisis y Reporte de Tendencias
9.0 Administración de la Configuración
9.1 Registro de la Configuración
9.2 Base de la Configuración
9.3 Registro de Estatus
9.4 Control de la Configuración
5.13 Confianza en Contrapartes
5.14 Autorización de Transacciones
5.15 No Rechazo
5.16 Sendero Seguro
5.17 Protección de funciones de
seguridad
5.18 Administración de Llave
Criptográfica
5.19 Prevención, Detección y
Corrección de Software "Malicioso"
5.20 Arquitecturas de FireWalls y
conexión a redes públicas
5.21 Protección de Valores
Electrónicos
ser Desechada
11.19 Administración de
Almacenamiento
11.20 Períodos de Retención y
Términos de Almacenamiento
11.21 Sistema de Administración de la
Librería de Medios
11.22 Responsabilidades de la
Administración de la Librería de Medios
de proveedores externos de servicios
11.23 Respaldo y Restauración
11.24 Funciones de Respaldo
11.25 Almacenamiento de Respaldo
11.26 Archivo
11.27 Protección de Mensajes
Sensitivos
11.28 Autenticación e Integridad
11.29 Integridad de Transacciones
Electrónicas
11.30 Integridad Continua de Datos
Almacenados
12.0 Administración de Instalaciones
12.1 Seguridad Física
12.2 Discreción de las Instalaciones de
Tecnología de Información
12.3 Escolta de Visitantes
12.4 Salud y Seguridad del Personal
9.5 Software no Autorizado 12.5 Protección contra Factores
9.6 Almacenamiento de Software Ambientales
10.0 Administración de Problemas e 12.6 Suministro Ininterrumpido de
Incidentes Energía
10.1 Sistema de Administración de 13.0 Administración de Operaciones
Problemas 13.1 Manual de procedimientos de
10.2 Escalamiento de Problemas Operación e Instrucciones
10.3 Seguimiento de Problemas y 13.2 Documentación del Proceso de
Pistas de Auditoría Inicio y de Otras Operaciones
11.0 Administración de Datos 13.3 Calendarización de Trabajos
11.1 Procedimientos de Preparación de 13.4 Salidas de la Calendarización de
Datos Trabajos Estándar
11.2 Procedimientos de Autorización de 13.5 Continuidad de Procesamiento
Documentos Fuente 13.6 Bitácoras de Operación
11.3 Recopilación de Datos de 13.7 Operaciones Remotas
Documentos Fuente MONITOREO
11.4 Manejo de Errores de 1.0 Monitoreo del Proceso
Documentos Fuente
1.1 Recolección de Datos de Monitoreo
11.5 Retención de Documentos Fuente
1.2 Evaluación de Desempeño
11.6 Procedimientos de Autorización de
Entrada de Datos 1.3 Evaluación de la Satisfacción de
Clientes
11.7 Chequeos de Exactitud,
Suficiencia y Autorización 1.4 Reportes Gerenciales
11.8 Manejo de Errores en la Entrada 2.0 Evaluar lo adecuado del Control
de Datos Interno
11.9 Integridad de Procesamiento de 2.1 Monitoreo de Control Interno
Datos 2.2 Operación oportuna del Control
11.10 Validación y Edición de Interno
Procesamiento de Datos 2.3 Reporte sobre el Nivel de Control
11.11 Manejo de Error en el Interno
Procesamiento de Datos 2.4 Seguridad de operación y
11.12 Manejo y Retención de Salida de aseguramiento de Control Interno
Datos 3.0 Obtención de Aseguramiento
11.13 Distribución de Salida de Datos Independiente
11.14 Balanceo y Conciliación de Datos 3.1 Certificación / Acreditación
de Salida Independiente de Control y Seguridad
de los servicios de TI
11.15 Revisión de Salida de Datos y
Manejo de Errores 3.2 Certificación / Acreditación
Independiente de Control y Seguridad
11.16 Provisiones de Seguridad para de proveedores externos de servicios
Reportes de Salida
3.3 Evaluación Independiente de la
11.17 Protección de Información Efectividad
Sensible durante transmisión y
transporte
11.18 Protección de Información Crítica
a
de los Servicios de TI
3.4 Evaluación Independiente de la
Efectividad de proveedores externos de
servicios
3.5 Aseguramiento Independiente del
Cumplimiento de leyes y
requerimientos regulatorios y
compromisos contractuales
3.6 Aseguramiento Independiente del
Cumplimiento de leyes y
requerimientos regulatorios y
compromisos contractuales
3.7 Competencia de la Función de
Aseguramiento Independiente
3.8 Participación Proactiva de Auditoría
4.0 Proveer Auditoría Independiente
4.1 Estatutos de Auditoría
4.2 Independencia
4.3 Ética y Estándares Profesionales
4.4 Competencia
4.5 Planeación
4.6 Desempeño del Trabajo de
Auditoría
4.7 Reporte
4.8 Actividades de Seguimiento