WIXLIB

MARCO REFERENCIALRESUMEN EJECUTIVOUn elemento crítico para el éxito y la supervivencia delas organizaciones, es la administración efectiva de lainformación y de la Tecnología de Información (TI)Relacionada. En esta sociedad global (donde lainformación viaja a través del “ciberespacio” sin lasrestricciones de tiempo, distancia y velocidad) estacriticidad emerge de:zLa creciente dependencia en información y en lossistemas que proporcionan dicha informaciónzLa creciente vulnerabilidad y un amplio espectro deamenazas, tales como las “ciber amenazas” y laguerra de información1zLa escala y el costo de las inversiones actuales yfuturas en información y en tecnología deinformación; yzEl potencial que tienen las tecnologías para cambiarradicalmente las organizaciones y las prácticas denegocio, crear nuevas oportunidades y reducircostosPara muchas organizaciones, la información y latecnología que la soporta, representan los activos masvaliosos de la empresa. Es más, en nuestro competitivoy rápidamente cambiante ambiente actual, la Gerenciaha incrementado sus expectativas relacionadas con laentrega de servicios de TI. Por lo tanto, laAdministración requiere niveles de servicio quepresenten incrementos en calidad, en funcionalidad y enfacilidad de uso, así como un mejoramiento continuo yuna disminución de los tiempos de entrega; al tiempoque demanda que esto se realice a un costo más bajo.Muchas organizaciones reconocen los beneficiospotenciales que la tecnología puede proporcionar. Lasorganizaciones exitosas, sin embargo, tambiéncomprenden y administran los riesgos asociados conla implementación de nuevas tecnologías.Hay numerosos cambios en TI y en su ambiente deoperación que enfatiza la necesidad de un mejor manejorelacionado con los riesgos de TI. La dependencia en lainformación electrónica y en los sistemas de TI sonesenciales para soportar los procesos críticos delnegocio. Adicionalmente, el ambiente regulatoriodemanda control estricto sobre la información. Esto a suvez conduce a un incremento de los desastres en lossistemas de información y al incremento del fraudeelectrónico. La Administración de los riesgosrelacionados con TI está siendo entendido como unaspecto clave en el gobierno o dirección empresarial.Dentro del Gobierno Empresarial, el Gobierno /Gobernabilidad de TI2 se está volviendo mas y masimportante y está definido como una estructura derelaciones y procesos para dirigir y controlar a laempresa con el fin que ésta pueda cumplir sus metasdando valor agregado mientras balancea sus riesgosversus el retorno sobre TI y sus procesos. El Gobiernode TI es parte integral del éxito de la Gerencia de laEmpresa al asegurar mejoras medibles, eficientes yefectivas de los procesos relacionados de la empresa. ElGobierno de TI provee las estructuras que unen losprocesos de TI, los recursos de TI y la información conlas estrategias y los objetivos de la empresa. Además, elGobierno de TI integra e institucionaliza buenas (omejores) prácticas de planeación y organización,adquisición e implementación, entrega de servicios ysoporte y monitorea el desempeño de TI para asegurarque la información de la empresa y las tecnologíasrelacionadas soportan sus objetivos del negocio. ElGobierno de TI conduce a la empresa a tomar totalventaja de su información logrando con esto maximizarsus beneficios, capitalizar sus oportunidades y obtenerventaja competitivaGOBIERNO DE TIUna estructura de relaciones y procesos para dirigiry controlar la empresa con el objeto de alcanzar losobjetivos de la empresa y añadir valor mientras sebalancean los riesgos versus el retorno sobre TI y susprocesos.Las organizaciones deben cumplir con requerimientosde calidad, fiduciarios y de seguridad, tanto para suinformación, como para sus activos. La Administracióndeberá además optimizar el empleo de sus recursosdisponibles, los cuales incluyen: personal, instalaciones,tecnología, sistemas de aplicación y datos. Para cumplircon esta responsabilidad, así como para alcanzar sus12Guerra de información (information warfare)Gobierno de TI (IT Governance) Governance es un término que representa el sistema de control o administración que establece la alta gerencia para asegurar el logrode los objetivos de una Organización.IT GOVERNANCE INSTITUTE5

MARCO REFERENCIALobjetivos, la Administración debe entender el estado desus propios sistemas de TI y decidir el nivel deseguridad y control que deben proveer estos sistemas.total responsabilidad de todos los aspectos relacionadoscon dichos procesos de negocio. En particular, estoincluye el proporcionar controles adecuados.Los Objetivos de Control para la Información y lasTecnologías Relacionadas (COBIT), ahora en estatercera edición, ayuda a satisfacer las múltiplesnecesidades de la Administración estableciendo unpuente entre los riesgos del negocio, los controlesnecesarios y los aspectos técnicos. Provee buenasprácticas a través de un dominio y el marco referencialde los procesos y presenta actividades en una estructuramanejable y lógica. Las “Buenas prácticas” de COBITreúne el consenso de expertos - quienes ayudarán aoptimizar la inversión de la información yproporcionarán un mecanismo de medición quepermitirá juzgar cuando las actividades van por elcamino equivocado.El Marco de Referencia de COBIT proporciona, alpropietario de procesos de negocio, herramientas quefacilitan el cumplimiento de esta responsabilidad. ElMarco de Referencia comienza con una premisa simpley práctica:La Administración debe asegurar que los sistemas decontrol interno o el marco referencial están funcionandoy soportan los procesos del negocio y debe tenerclaridad sobre la forma como cada actividad individualde control satisface los requerimientos de información eimpacta los recursos de TI. El impacto sobre losrecursos de TI son resaltados en el Marco de Referenciade COBIT junto con los requerimientos del negocio quedeben ser alcanzados: eficiencia, efectividad,confidencialidad, integridad, disponibilidad,cumplimiento y confiabilidad de la información. Elcontrol, que incluye políticas, estructuras, prácticas yprocedimientos organizacionales, es responsabilidad dela administración.La administración, mediante este gobierno corporativo,debe asegurar que todos los individuos involucrados enla administración, uso, diseño, desarrollo,mantenimiento u operación de sistemas de informaciónactúen con la debida diligencia.Un Objetivo de Control en TI es una definición delresultado o propósito que se desea alcanzarimplementando procedimientos de control específicosdentro de una actividad de TI.La orientación al negocio es el tema principal deCOBIT. Está diseñado no solo para ser utilizado porusuarios y auditores, sino que, lo más importante, estadiseñado para ser utilizado por los propietarios de losprocesos de negocio como una guía clara y entendible.A medida que ascendemos, las prácticas de negociorequieren de una mayor delegación y empoderamiento3de los dueños de los procesos para que estos tengan6Con el fin de proporcionar la información que laempresa necesita para alcanzar sus objetivos, losrecursos de TI deben ser administrados por unconjunto de procesos de TI agrupados en formanatural.El Marco de Referencia continúa con un conjunto de 34Objetivos de Control de alto nivel, uno para cada uno delos Procesos de TI, agrupados en cuatro dominios:Planeación y Organización, Adquisición eImplementación, Entrega de servicios y Soporte yMonitoreo. Esta estructura cubre todos los aspectos deinformación y de tecnología que la soporta.Administrando adecuadamente estos 34 Objetivos deControl de alto nivel, el propietario de procesos denegocio podrá asegurar que se proporciona un sistemade control adecuado para el ambiente de tecnología deinformación.El Marco de Referencia de COBIT provee además unaguía o lista de verificación para el Gobierno de TI. ElGobierno de TI proporciona las estructuras queencadenan los procesos de TI, los recursos de TI y lainformación con los objetivos y las estrategias de laempresa. El Gobierno de TI integra de una formaóptima el desempeño de la Planeación y Organización,la Adquisición e Implementación, la Entrega deServicios y Soporte y el Monitoreo. El Gobierno de TIfacilita que la empresa obtenga total ventaja de suinformación y así mismo maximiza sus beneficios,capitalizando sus oportunidades y obteniendo ventajacompetitivaAdicionalmente, correspondiendo a cada uno de los 34objetivos de control de alto nivel, existe una Guía odirectriz de Auditoría o de aseguramiento que permitela revisión de los procesos de TI contra los 318objetivos detallados de control recomendados porCOBIT para proporcionar a la Gerencia la certeza de sucumplimiento y/o sugerencias para su mejoramiento.3Empoderamiento (empowerment)IT GOVERNANCE INSTITUTE

MARCO REFERENCIALLas Guías o Directrices Gerenciales de COBIT,desarrolladas recientemente, ayudan a la Gerencia acumplir de una forma mas efectiva con lasnecesidades y requerimientos del Gobierno de TI. LasDirectrices son acciones genéricas orientadas aproveer a la Administración la dirección paramantener bajo control la información de la empresa ysus procesos relacionados, para monitorear el logro delas metas organizacionales, para monitorear eldesempeño de cada proceso de TI y para llevar a caboun benchmarking de los logros organizacionales.En los próximos años las Directivas de lasOrganizaciones necesitarán demostrar que estánlogrando incrementar sus niveles de seguridad ycontrol. COBIT es una herramienta que ayuda a losDirectivos a colocar un puente entre losrequerimientos de control, los aspectos técnicos y losriesgos del negocio y adicionalmente informa a losaccionistas o dueños de la empresa el nivel de controlalcanzado. COBIT habilita el desarrollo de una políticaclara y de buenas prácticas de control de TI a través delas organizaciones, a nivel mundial.Específicamente COBIT provee Modelos de Madurezpara el control sobre los procesos de TI de tal formaque la Administración puede ubicarse en el puntodonde la organización está hoy, donde está en relacióncon los “mejores de su clase” en su industria y con losestándares internacionales y así mismo determinar adonde quiere llegar; Factores Críticos de Éxito(Critical Success Factors), que definen o determinacuales son las mas importantes directrices que debenser consideradas por la Administración para lograrcontrol sobre y dentro de los procesos de TI.Indicadores Claves del logro / Objetivos o deResultados (Key Goal Indicators) los cuales definenlos mecanismos de medición que indicarán a laGerencia—después del hecho– si un proceso de TI hasatisfecho los requerimientos del negocio; y losIndicadores Clave de desempeño (KeyPerformance Indicators) los cuales son indicadoresprimarios que definen la medida para conocer qué tanbien se está ejecutando el proceso de TI frente ocomparado contra el objetivo que se busca.Por lo tanto, COBIT está diseñado para ser laherramienta de gobierno de TI que ayude alentendimiento y a la administración de los riesgosasí como de los beneficios asociados con lainformación y sus tecnologías relacionadas.Las Directrices Gerenciales de COBIT son genéricas y sonacciones orientadas al propósito de responder lossiguientes tipos de preguntas gerenciales: ¿Qué tan lejosdebemos ir y se justifica el costo respecto al beneficioobtenido? ¿Cuáles son los indicadores de buendesempeño? ¿Cuáles son los factores críticos de éxito?¿Cuáles son los riesgos de no lograr nuestros objetivos?¿Qué hacen otros? ¿Cómo nos podemos medir ycomparar?COBIT contiene adicionalmente un Conjunto deHerramientas de Implementación que proporcionalecciones aprendidas por empresas que rápida yexitosamente aplicaron COBIT en sus ambientes detrabajo. Incluye dos herramientas particularmenteútiles - Diagnóstico de Sensibilización Gerencial(Management Awareness Diagnostic) y Diagnósticode Control en TI (IT Control Diagnostic) - paraproporcionar asistencia en el análisis del ambiente decontrol de TI en una organización.IT GOVERNANCE INSTITUTE7

MARCO REFERENCIALPROCESOS DE TI DEFINIDOS DENTRO DE LOS CUATRODOMINIOS DE COBIT8IT GOVERNANCE INSTITUTE

MARCO REFERENCIALEL MARCO REFERENCIAL DE COBITLA NECESIDAD DE CONTROL EN TECNOLOGIA DEINFORMACIONEn los últimos años , ha sido cada vez más evidente lanecesidad de un Marco Referencial para la seguridad yel control de tecnología de información (TI). Lasorganizaciones exitosas requieren una apreciación y unentendimiento básico de los riesgos y limitaciones de TIa todos los niveles dentro de la empresa con el fin deobtener un efectiva dirección y controles adecuados.LA ADMINISTRACION (MANAGEMENT) debedecidir cual es la inversión razonable en seguridad y encontrol en TI y cómo lograr un balance entre riesgos einversiones en control en un ambiente de TIfrecuentemente impredecible. Mientras la seguridad ylos controles en los sistemas de información ayudan aadministrar los riesgos, no los eliminan.Adicionalmente, el exacto nivel de riesgo nunca puedeser conocido ya que siempre existe un grado deincertidumbre.Finalmente, la Administración debe decidir el nivel deriesgo que está dispuesta a aceptar. Juzgar cual puedeser el nivel tolerable, particularmente cuando se tiene encuenta contra el costo, puede ser una decisión difícilpara la Administración. Por esta razón, laAdministración necesita un marco de referencia de lasprácticas generalmente aceptadas de control y seguridadde TI para compararlos contra el ambiente de TIexistente y planeado.Existe una creciente necesidad entre los USUARIOSde los servicios de TI, de estar protegidos a través de laacreditación y la auditoría de servicios de TIproporcionados internamente o por terceras partes, queaseguren la existencia de controles y seguridadesadecuadas. Actualmente, sin embargo, es confusa laimplementación de buenos controles de TI en sistemasde negocios por parte de entidades comerciales,entidades sin fines de lucro o entidadesgubernamentales. Esta confusión proviene de losdiferentes métodos de evaluación, tales como ITSEC,TCSEC, evaluaciones ISO9000, nuevas evaluaciones decontrol interno COSO, etc. Como resultado, losusuarios necesitan que se establezca una base generalcomo un primer paso.Frecuentemente, los AUDITORES han tomado elliderazgo en estos esfuerzos internacionales deestandarización, debido a que ellos enfrentancontinuamente la necesidad de sustentar y apoyar suopinión acerca de los controles internos frente a laGerencia. Sin contar con un marco referencial, ésta seconvierte en una tarea demasiado complicada. Incluso,la administración consulta cada vez más a los auditorespara que la asesoren en forma proactiva en lo referente aasuntos de seguridad y control de TI.EL AMBIENTE DE NEGOCIOS:COMPETENCIA, CAMBIO Y COSTOSLa competencia global es ya un hecho. Lasorganizaciones se reestructuran con el fin deperfeccionar sus operaciones y al mismo tiempoaprovechar los avances en TI para mejorar su posicióncompetitiva. La reingeniería en los negocios, lasreestructuraciones o right-sizing, el outsourcing, elempoderamiento, las organizaciones horizontales y elprocesamiento distribuido son cambios que impactan lamanera en la que operan tanto los negocios como lasentidades gubernamentales. Estos cambios han tenido ycontinuarán teniendo, profundas implicaciones para laadministración y las estructuras de control operacionaldentro de las organizaciones en todo el mundo.La especial atención prestada a la obtención de ventajascompetitivas y a la eficiencia en costos implica unadependencia creciente en la tecnología como elcomponente más importante en la estrategia de lamayoría de las organizaciones. La automatización delas funciones organizacionales, por su naturaleza, dictala incorporación de mecanismos de control máspoderosos en las computadoras y en las redes, tanto paralas basadas en hardware como las basadas en software.Además, las características estructurales fundamentalesde estos controles están evolucionando al mismo pasoque las tecnologías de computación y las redes.Dentro del marco referencial de cambios acelerados, silos administradores, los especialistas en sistemas deinformación y los auditores desean en realidad sercapaces de cumplir con sus tareas en forma efectiva ,deberán aumentar y mejorar sus habilidades tanrápidamente como lo demandan la tecnología y elambiente. Debemos comprender la tecnología decontroles involucrada y su naturaleza cambiante sideseamos emitir y ejercer juicios razonables y prudentesal evaluar las prácticas de control que se encuentran enlos negocios típicos o en las organizacionesgubernamentales.IT GOVERNANCE INSTITUTE9

MARCO REFERENCIALAPARICION DEL GOBIERNO DE LA EMPRESA YDEL GOBIERNO DE TIPara lograr el éxito en esta economía de información,el Gobierno de la empresa y el Gobierno de TI nopueden ser consideradas separadamente y en distintasdisciplinas. El gobierno efectivo de la empresa enfocael conocimiento y la experiencia en forma individual ygrupal, donde puede ser mas productivo, monitoreadoy medido el desempeño así como provisto elaseguramiento para aspectos críticos. TI, por muchotiempo considerada aislada dentro del logro de losobjetivos de la empresa debe ahora ser consideradacomo una parte integral de la estrategia.El Gobierno de TI provee la estructura que une losprocesos de TI, los recursos de TI y las estrategias yobjetivos de la empresa. El Gobierno de TI integra einstitucionaliza de una manera óptima la planeación yorganización, la adquisición e implementación, laentrega de servicios y soporte y el monitoreo deldesempeño de TI. El Gobierno de TI es integral para eléxito del Gobierno de la Empresa asegurando unaeficiente y efectiva medición para mejorar los procesosde la empresa. El Gobierno de TI le permite a laempresa tomar ventaja total de su información, almaximizar sus beneficios, capitalizar susoportunidades y ganar ventaja competitiva.Las actividades de la empresa requieren informaciónde las actividades de TI con el fin de satisfacer losobjetivos del negocio. Organizaciones exitosasaseguran la interdependencia entre su plan estratégicoy sus actividades de TI. TI debe estar alineado y debepermitir a la empresa tomar ventaja total de suinformación para maximizar sus beneficios, capitalizaroportunidades y ganar ventaja competitiva.Observando en el contexto a la empresa y los procesosdel Gobierno de TI con mayor detalle, el gobierno dela empresa, el sistema por el cual las entidades sondirigidas y controladas direcciona y analiza elGobierno de TI. Al mismo tiempo, TI debería proveerinsumos críticos y constituirse en un componenteimportante de los planes estratégicos. De hecho TIpuede influenciar las oportunidades estratégicas de laempresa.Las empresas son gobernadas por buenas (o mejores)prácticas generalmente aceptadas para asegurar que laempresa cumpla sus metas asegurando que lo anterioresté garantizado por ciertos controles. Desde estosobjetivos fluye la dirección de la organización, la cualdicta ciertas actividades a la empresa usando suspropios recursos. Los resultados de las actividades dela empresa son medidos y reportados proporcionandoinsumos para el mantenimiento y revisión constante delos controles, comenzando el ciclo de nuevo.10IT GOVERNANCE INSTITUTE

MARCO REFERENCIALTambién TI es gobernado por buenas (o mejores)prácticas para asegurar que la información de laempresa y sus tecnologías relacionadas apoyan susobjetivos del negocio, estos recursos son utilizadosresponsablemente y sus riesgos son manejadosapropiadamente. Estas prácticas conforman una basepara la dirección de las actividades de TI las cualespueden ser enmarcadas en la Planeación yOrganización, Adquisición e Implementación,Entrega de Servicios y Soporte y Monitoreo para lospropósitos duales como son el manejo de riesgo(para obtener seguridad, confiabilidad ycumplimiento) y la obtención de beneficios(incrementando la efectividad y eficiencia). Losreportes son enfocados sobre los resultados de lasactividades de TI, los cuales son medidos contradiferentes prácticas y controles y el ciclo comienzaotra vez.Para asegurar que la Gerencia alcance los objetivos de negocios, ésta debe dirigir y administrar las actividades de TI para alcanzar unbalance efectivo entre el manejo de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividadesmas importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando que tan bien seestán desarrollando los procesos de TI. Aun mas, necesita tener la habilidad de avaluar el nivel de madurez de la organización contra lasmejores practicas industriales y los modelos internacionales. Para soportar estas necesidades la Gerencia necesita las DirectricesGerenciales de COBIT en las cuales se han identificado Factores Críticos de Exito específicos, Indicadores Claves por Objetivo eIndicadores Clave de Desempeño y un Modelo de Madurez asociado al Gobierno de TI, como se puede apreciar en el Apédice I.IT GOVERNANCE INSTITUTE11

MARCO REFERENCIALRESPUESTA A LAS NECESIDADESEn vista de estos continuos cambios, el desarrollo deeste Marco Referencial de objetivos de control para TI,conjuntamente con una investigación continua aplicadaa controles de TI basada en este marco referencial,constituyen el fundamento pa

4 marco referencial it governance institute reconocimientos comitÉ directivo de cobit erik guldentops, s.w.i.f.t. sc, bÉlgica john lainhart, pricewaterhousecoopers, usa eddy schuermans, pricewaterhousecoopers, bÉlgica john beveridge, state auditor s office, massachusetts, usa michael donahue, pricewaterhousecoopers, usa gary hardy, arthur andersen, reino unido ronald saull, great-west life .