Modelo de Gestión de TI
Ing. Víctor Manuel Montaño Ardila
RECORDEMOS
• Para muchas empresas, la información y la tecnología
que las soportan representan sus más valiosos activos,
aunque con frecuencia son poco entendidos. Las
empresas exitosas reconocen los beneficios de la
tecnología de información y la utilizan para impulsar el
valor de sus interesados (stakeholders). Estas empresas
también entienden y administran los riesgos asociados,
tales como el aumento en requerimientos regulatorios,
así como la dependencia crítica de muchos procesos de
negocio en TI.
Ing. Víctor Manuel Montaño Ardila
RECORDEMOS
• Estas empresas también entienden y administran los
riesgos asociados, tales como el aumento en
requerimientos regulatorios, así como la dependencia
crítica de muchos procesos de negocio en TI.
Ing. Víctor Manuel Montaño Ardila
RECORDEMOS
• El Gobierno De TI es responsabilidad de los ejecutivos,
del consejo de directores y consta de liderazgo,
estructuras y procesos organizacionales que garantizan
que la TI de la empresa sostiene y extiende las
estrategias y objetivos organizacionales.
Ing. Víctor Manuel Montaño Ardila
RECORDEMOS
• Más aún, el gobierno de TI integra e institucionaliza las
buenas prácticas para garantizar que la TI de la empresa
sirve como base a los objetivos del negocio. De esta
manera, el gobierno de TI facilita que la empresa
aproveche al máximo su información, maximizando así
los beneficios, capitalizando las oportunidades y
ganando ventajas competitivas.
Ing. Víctor Manuel Montaño Ardila
RECORDEMOS
• Para que la TI tenga éxito en satisfacer los
requerimientos del negocio, la dirección debe implantar
un sistema de control interno o un marco de trabajo. El
marco de trabajo de control COBIT contribuye a estas
necesidades de la siguiente manera:
1. Estableciendo un vínculo con los requerimientos
negocio
2. Organizando las actividades de TI en un modelo
procesos generalmente aceptado
3. Identificando los principales recursos de TI a
utilizados
4. Definiendo los objetivos de control gerenciales a
considerados
del
de
ser
ser
Ing. Víctor Manuel Montaño Ardila
Ing. Víctor Manuel Montaño Ardila
Ing. Víctor Manuel Montaño Ardila
Ing. Víctor Manuel Montaño Ardila
Modelo COBIT
Mejores prácticas para Gestión de
Tecnologías Informáticas
Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOS
MODELO COBIT
(Control Objectives for
Information Systems and
related Technology)
Modelo para evaluar y/o auditar la
gestión y control de los de
Sistemas de Información y
Tecnología relacionada (IT):
Es el resultado de una investigación con expertos de varios paises,
desarrollada por la “Information, Systems Audit and Control
Association “ISACA”.
Esta asociación se ha constituido en el organismo normalizador y
orientador en el control y la auditoría de los sistemas de Información
y Tecnología (IT).
El modelo CobIT ha sido aceptado y adoptado por organizaciones en
el ámbito mundial.
Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOS
Modelo COBIT
Origen
LEGISLADORES / REGULADORES
USUARIOS PRESTADORES
DE SERVICIOS
•INVERSION CONTROL TI
•BALANCE RIESGO/CONTROL
• BASE BENCHMARKING
• ACREDITACÍON CONTROL /SEGURIDAD
POR AUDITORES O TERCEROS
• CONFUSIÓN ESTANDARES
USUARIOS DE TI
ALTA GERENCIA
• MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL
• DESGASTE
OPINION V.S.
ALTA GCIA.
• CONSULTORES EN
CONTROL/SEG.
TI
AUDITORES
Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOS
 Proveer un marco único reconocido a nivel mundial de las
“mejores prácticas” de control y seguridad de TI
 Consolidar y armonizar estándares originados en diferentes
países desarrollados.
 Concientizar a la comunidad sobre importancia del control y la
auditoría de TI.
 Enlaza los objetivos y estrategias de los negocios con la
estructura de control de la TI, como factor crítico de éxito
 Aplica a todo tipo de organizaciones independiente de sus
plataformas de TI
 Ratifica la importancia de la información, como uno de los
recursos más valiosos de toda organización exitosa
Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOS
ISACA - 95 paises 20.000 miembros
COBIT
Representatividad
Investigación: E.U-Europa-Australia-Japón
Consolidación y armonización 18 estándares
COSO
: (Committe Of Sponsoring Org. of the Treadway Commission)
OECD
: (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST
: (National Institute of Standars and Technology)
DTI
: (Departament of Trade and Industry of the U.K´)
ITSEC
: (Information Technology Security Evaluation Criteria - Europa)
TCSEC
: (Trusted Computer Evaluación Criteria - Orange Book- E.U)
IIA SAC
: (Institute of Internal Auditors - Systems Auditability and Control)
IS
: Auditing Standars Japón
Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOS
Para satisfacer los objetivos del negocio la información debe
cumplir con criterios que COBIT extrae de los más reconocidos
modelos:
•Calidad
Requerimientos de calidad
(ISO 9000-3)
•Costo
•Entrega
Ing. Víctor Manuel Montaño Ardila
CONCEPTO BÁSICOS
Requerimientos fiduciarios
(informe COSO)
Requerimientos de seguridad
(libro rojo, naranja,
ISO 17799 y otros)
Eficacia y eficiencia
Confiabilidad de la información
Cumplimiento con leyes y
reglamentaciones
Disponibilidad
Integridad
Confidencialidad
Ing. Víctor Manuel Montaño Ardila
REGLA DE ORO DEL COBIT
A fin, de proveer la información que la
organización requiere para lograr sus
objetivos, los recursos de TI deben ser
administrados por un conjunto de
procesos, agrupados de forma
adecuada y normalmente aceptada.
Ing. Víctor Manuel Montaño Ardila
¿POR QUÉ COBIT?
La Tecnología se ve como un costo,
no hay una terminología común
con el negocio, y se recorta el
presupuesto en la seguridad, ya
que la falta de difusion de normas
y buenas prácticas que ayuden a
generar conciencia de los riesgos
mantiene la quimera del :
“ A mi no me va pasar..”
Ing. Víctor Manuel Montaño Ardila
¿POR QUÉ COBIT?
Gobierno de Tecnología de Información
El rol de la Dirección
La Dirección, a través de su
Gobierno
Corporativo
debe
garantizar la debida diligencia por
parte de todos los individuos
involucrados en la administración,
uso,
diseño,
desarrollo,
mantenimiento u operación de los
sistemas de información.
Ing. Víctor Manuel Montaño Ardila
QUIÉNES NECESITAN REGLAS DE JUEGO
DEFINIDAS?
• Los Mandos Gerenciales para saber que
deben exigir, como medir los resultados y
cuales son sus responsabilidades en esos
temas.
•
Balancear el riesgo y la inversión en control
de un ambiente a menudo impredecible
• El Auditor para sustentar sus opiniones sobre
los riesgos y la adecuación de la tecnología a
las mejores prácticas. Ser asesores proactivos
del negocio
Ing. Víctor Manuel Montaño Ardila
ADEMÁS...
• El Área usuaria para saber que puede pedir a
tecnología y que se le va a exigir sobre el control
de
los
procesos
del
negocio.
Son los interesados en saber si los recursos de
Tecnología
de
Información
se
utilizan
adecuadamente y les ayudan a alcanzar sus
objetivos
• El Gerente de Tecnología para definir un acuerdo
de servicios y justificar su inversión
• Los Organismos estatales de control, para saber
que es lo mínimo que pueden exigir.
Ing. Víctor Manuel Montaño Ardila
ORIENTACIÓN DE COBIT
Su orientación hacia el negocio consiste en vincular
objetivos de negocio con objetivos de TI, facilitar
métricas y modelos de madurez para medir su éxito, e
identificar las responsabilidades asociadas del negocio
y los propietarios de los procesos de TI.
“ENFOCADO EN EL NEGOCIO, ORIENTADO
A PROCESO, BASADO EN CONTROLES Y
DIRIGIDO POR MEDIDAS.”
Ing. Víctor Manuel Montaño Ardila
DEFINICIONES
CONTROL
Objetivos de
Control de IT
Las Pólíticas, Procedimientos, Prácticas y
Estructuras Organizacionales, diseñadas
para asegurar razonablemente el logro
de los objetivos del negocio y que los
eventos indeseables serán prevenidos o
detectados o corregidos.
Son declaraciones del resultado
esperado o del propósito a lograr
mediante la implementación de los
controles en una actividad de IT
específica.
Ing. Víctor Manuel Montaño Ardila
PRINCIPIOS
Efectividad
Se refiere a la información que es relevante para
el negocio y que debe ser entregada de manera
correcta, oportuna, consistente y usable.
Eficiencia
Se refiere a la provisión de información a través
del óptimo (más productivo y económico) uso
de los recursos.
Confidencialidad
Relativa a la protección de la información
sensitiva de su revelación no autorizada.
Integridad
Se refiere a la exactitud y completitud de la
información, así como su validez, en
concordancia con los valores y expectativas del
negocio.
Ing. Víctor Manuel Montaño Ardila
PRINCIPIOS
Disponibilidad
Cumplimiento
Confiabilidad
Se refiere a la que la información debe estar
disponible cuando es requerida por los procesos
del negocio ahora y en el futuro. Involucra la
salvaguarda de los recursos y sus capacidades
asociadas.
Se refiere a cumplir con aquellas leyes,
regulaciones y acuerdos contractuales, a los que
están sujetos los procesos del negocio.
Se refiere a la provisión de la información
apropiada a la alta gerencia, para operar la
entidad y para ejercer sus responsabilidades
finacieras y de cumplir con los reportes de su
gestión.
Ing. Víctor Manuel Montaño Ardila
NECESIDAD DE RESPUESTA A LOS RETOS
DE TI
Los 7 retos:
 Qué no se interrumpa el servicio
 Qué aporte valor
 Administrar los costos
 Dominar la complejidad
 Alineación con el Negocio
 Cumplimiento de Regulaciones
 Seguridad.
Ing. Víctor Manuel Montaño Ardila
BUEN GOBIERNO DE TI
Principios, participantes, ámbito, ventajas …
Los 4 principios:
 Dirigir y controlar
 Con responsabilidad
 Con imputabilidad (Accountability)
 Mediante actividades (Procesos)
Ing. Víctor Manuel Montaño Ardila
NECESIDAD DE RESPUESTA A LOS RETOS DE TI
Principios, participantes, ámbito, ventajas …
Los participantes (stakeholders):
 Internos
 Externos
Ing. Víctor Manuel Montaño Ardila
BUEN GOBIERNO DE TI
Principios, participantes, ámbito, ventajas …
Las 5 áreas:
 Alineación estratégica
 Aportación de Valor
 Gestión de Riesgos
 Gestión de Recursos
 Medidas de Rendimiento
Ing. Víctor Manuel Montaño Ardila
BUEN GOBIERNO DE TI
Principios, participantes, ámbito, ventajas …
Las 5 ventajas:
 Confianza de la Alta Dirección
 TI es co-responsable al negocio
 Retorno de Inversión Superior
 Servicios más confiables
 Mayor transparencia
Ing. Víctor Manuel Montaño Ardila
MARCOS DE BUEN GOBIERNO Y DE TI
Las 5 características generales de un buen marco:
 Enfocado al Negocio
 Orientado a Procesos
 Generalmente aceptado
 Utilice un lenguaje común
 Cumpla con los requisitos regulatorios
Ing. Víctor Manuel Montaño Ardila
Propuesta de Solución
Expectativas sobre COBIT (1)
Alta Gerencia:
Utilizar los procesos de COBIT para lograr un lenguaje
común entre el negocio y TI y asignar responsabilidades
claras
Gerencias Usuarias:
Utilizar los objetivos de control de COBIT para
determinar las necesidades que serán cubiertas por los
Acuerdos de Niveles de Servicio
Ing. Víctor Manuel Montaño Ardila
Propuesta de Solución
Expectativas sobre COBIT (2)
Auditoría Interna:
Utilizar los objetivos de control de COBIT como un criterio
para evaluar y definir el alcance a revisar
Gerente TI:
Utilizar los objetivos de control de COBIT para:
1. Estructurar los procesos
2. Establecer objetivos de los procesos
3. Medir el desempeño de los procesos / gestión
4. Generar políticas y procedimientos
Ing. Víctor Manuel Montaño Ardila
Fase 1
Levantamiento de procesos actuales
Recursos
de TI
 Datos
 Sistemas de
Aplicación
 Infraestructura
Tecnológica
 Instalaciones
Físicas
 Recursos humanos
Procesos de
trabajo
Criterios
de Información
 Planeación y organización
 Adquisición e implantación
de soluciones
 Entrega de servicio y
soporte
 Monitoreo





Efectividad
Eficiencia
Confidencialidad
Integridad
Disponibilidad
 Cumplimiento
 Confiabilidad
Ing. Víctor Manuel Montaño Ardila
Fase 1
Levantamiento de procesos actuales
Recursos
de TI
Recursos
de TI
Procesos de
trabajo
Criterios
de Información
 Objetivos de Control
 Factores Críticos de Éxito
 Indicadores de Resultados
 Indicadores de Desempeño
Ing. Víctor Manuel Montaño Ardila
EL MODELO DEL MARCO DE TRABAJO DE COBIT
Administración, Control, Alineación y Monitoreo de Cobit.
OBJETIVOS DE NEGOCIO
Drivers de Gobernabilidad
Gente
Infraestructura
Información
Aplicaciones
Resultados de Negocio
Criterios de
Información
Recursos
de TI
El marco de trabajo COBIT,
relaciona los requerimientos
de información y de gobierno
a los objetivos de la función
de servicio de TI. El modelo
de procesos COBIT permite
que las actividades de TI y los
recursos que los soportan
sean
administrados
y
controlados basados en los
objetivos de control de COBIT,
y alineados y monitoreados
usando las métricas KGI y KPI
de COBIT
Indicadores clave
de Rendiemiento
Procesos de TI
Procesos
de TI
Indicadores clave
de Objetivos
Objetivos de TI
Objetivos de Control de
Alto Nivel
Ing. Víctor Manuel Montaño Ardila
Información
Procesos
Procesos
Personas
Dominios
Aplicaciones
Dominios
Infraestructura
ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL
Criterios de Información
Actividades
Actividades
Ing. Víctor Manuel Montaño Ardila
CLASIFICACIÓN
Agrupamiento lógico de procesos, a
menudo se concibe como dominios de
responsabilidad dentro de una estructura
y se relaciona con el ciclo de vida
aplicable a los procesos de Tecnología de
Información.
Dominios
Una serie de actividades o tareas
vinculadas
naturales.
Procesos
Actividades
o tareas
con
cortes
(de
control)
Son necesarias para lograr un resultado
mensurable. Las actividades tienen un
ciclo de vida mientras que las tareas son
discretas.
Ing. Víctor Manuel Montaño Ardila
Ing. Víctor Manuel Montaño Ardila
CobiT: enfoque e implementación
Resumen Ejecutivo
Herramientas de
implementación
•
•
•
•
•
Marco Referencial-Esquema
Objetivos de Alto Nivel
Lineamientos
Gerenciales
Modelos de
Madurez
Objetivos de Control
Detallados
Factores Críticos
de Exito
Resumen Ejecutivo
Casos de Estudio
Preguntas Frecuentes
Presentaciones Power Point
Guías de Implementación
•Diagnóstico Conciencia Administrativa
•Diagnóstico Control de TI
Guías de
Auditoría
Indicadores
Clave de
Rendimiento
Prácticas de
Control
Indicadores
Clave de Logros
Ing. Víctor Manuel Montaño Ardila
DOMINIOS DEL COBIT
Planeación y Organización
• Abarca aspectos estratégicos y tácticos
• Se vincula con la identificación de la forma en que
la tecnología de información puede contribuir más
adecuadamente con el logro de los objetivos del
negocio.
• Incluye las actividades de planificar, comunicar y
administrar la realización de la visión estratégica
desde distintas perspectivas.
Ing. Víctor Manuel Montaño Ardila
DOMINIO
Planificación y Organización
Proceso: PO1
Definición de un plan estratégico de TI
Proceso: PO2
Definición de la arquitectura de la información
Proceso: PO3
Determinación de la dirección tecnológica
Proceso: PO4
Definición de la organización y el relacionamiento en TI
Proceso: PO5
Administración de la inversión en TI
Proceso: PO6
Comunicación de los objetivos y directivas de la gerencia
Proceso: PO7
Administración de los recursos humanos
Proceso: PO8
Aseguramiento del cumplimiento de los requerimientos externos
Proceso: PO9
Evaluación de riesgos
Proceso: PO10
Administración de proyectos
Proceso: PO11
Administración de la calidad
Ing. Víctor Manuel Montaño Ardila
DOMINIOS DEL COBIT
Adquisición e Implementación
 Identificación, desarrollo o adquisición de
soluciones de Ti
 Implantación e integración en el proceso de
negocio.
 Cambios y mantenimiento de los sistemas
existentes para garantizar la natural
continuidad del ciclo de vida para estos
sistemas.
Ing. Víctor Manuel Montaño Ardila
DOMINIO
Adquisición e Implementación
Proceso: AI12 Identificación de soluciones
Proceso: AI13 Adquisición y mantenimiento de software de aplicación
Proceso: AI14 Adquisición y mantenimiento de la infraestructura tecnológica
Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI
Proceso: AI16 Instalación y certificación de sistemas
Proceso: AI17 Administración de cambios
Ing. Víctor Manuel Montaño Ardila
DOMINIOS DEL COBIT
Entrega y Soporte
• Prestación efectiva de los servicios
requeridos, que comprenden desde
las operaciones tradicionales sobre
aspectos de seguridad y continuidad
hasta la capacitación.
• Procesos de soporte necesarios.
• Procesamiento real de los datos por
los sistemas de aplicación.
Ing. Víctor Manuel Montaño Ardila
DOMINIO
Entrega y Soporte
Proceso: DS18 Definición de los niveles del servicio
Proceso: DS19 Administración de los servicios prestados terceros
Proceso: DS20 Administración de la capacidad y del desempeño del sistema
Proceso: DS21 Aseguramiento de la continuidad del servicio
Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas
Proceso: DS23 Identificación e imputación de costos
Ing. Víctor Manuel Montaño Ardila
DOMINIO
Entrega y Soporte
Proceso: DS24 Educación y capacitación de los usuarios
Proceso: DS25 Asistencia y asesoramiento a los clientes de TI
Proceso: DS26 Administración de la configuración
Proceso: DS27 Administración de problemas e incidentes
Proceso: DS28 Administración de datos
Proceso: DS29 Administración de instalaciones
Proceso: DS30 Administración de las operaciones
Ing. Víctor Manuel Montaño Ardila
DOMINIOS DE COBIT
Monitoreo
 Evaluar regularmente todos los procesos de
TI para determinar su calidad
y el
cumplimiento de los requerimientos de
control.
 Seguimiento
de la gerencia sobre los
procesos de control de la organización
 Garantía independiente provista por la
auditoria interna y externa u obtenida de
fuentes alternativas.
Ing. Víctor Manuel Montaño Ardila
DOMINIO
Monitoreo
Proceso: ME31 Monitoreo de los procesos
Proceso: ME32 Evaluación de la adecuación del control interno
Proceso: ME33 Obtención de aseguramiento independiente
Proceso: ME34 Provisión de auditoria independiente
Ing. Víctor Manuel Montaño Ardila
AI1
Identificar soluciones
de IT
P S
AI2
Adquirir y mantener
software aplicativo
Adquirir y mantener
arquitectura tecnológica
Desarrollar y mantener
procedimientos de IT
Instalar y acreditar
sistemas
Administrar los cambios
P P
S
P P
S
P P
S
P
S S
P P
P P
AI3
AI4
AI5
AI6
PERSONAS
DATOS
Adquisición e
Implementación
FACILIDADES
Navegación
(Matriz)
TECNOCLOGÍA
DOMINIO AI:
APLICACIONES
COBIT
EFECTIVIDAD
EFICIENCIA
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
CUMPLIMIENTO
CONFIABILIDAD
PROCESOS
S S
S S
CRITERIOS
S
RECURSOS
Ing. Víctor Manuel Montaño Ardila
DEFINICIÓN DE PROCESOS DE TI
PO1: Definir el Plan estratégico de IT
La función de servicios de información debería asegurar que hay planes a
corto y largo plazo para administrar y orientar todos los recursos de IT de la
organización. Estos planes deben ser actualizados de manera correcta y
oportuna para adecuarlos a los cambios de las condiciones de la IT.
La
evaluación de los sistemas existentes debe realizarse antes de desarrollar o
modificar el plan estratégico de IT. Así mismo, la función de administración
de los servicios de información debe asegurar que el plan estratégico de IT es
consistente con los objetivos del negocio, y los planes a corto y largo plazo de
la organización.
Ing. Víctor Manuel Montaño Ardila
OBJETIVOS DE CONTROL DE TI - DETALLADOS
DOMINIO PO: Planeación y Organización
PROCESO: PO1: Definir el Plan Estratégico de TI
Y tiene en consideración:
Objetivos de Control - Detallados
1
2
3
La TI como
Enfoque y
Plan
a
parte de los
estructura
largo
planes a
del Plan a
plazo
de
corto/largo
largo plazo
la
TI
plazo de la
de la TI
empresa
4
Cambios
al Plan a
largo
plazo
de la TI
5
Plan corto
plazo de
la función
de
servicios
de TI
Evaluación objetivos de control detallados
Ing. Víctor Manuel Montaño Ardila
PRODUCTOS DE COBIT
Ing. Víctor Manuel Montaño Ardila
INTERRELACIÓN DE LOS COMPONENTES DE COBIT
Negocio
Información
Requerimientos
Procesos de TI
Objetivos
de Control
Para resultados
Implementado
con
Indicadores
Clave de
Desempeño
Indicadores
Clave de
Metas
Metas de
las Actividades
Guías de
Auditoría
Practicas
de Control
Modelo de
Madurez
Ing. Víctor Manuel Montaño Ardila
CONTROLES GENERALES
Controles Generales
sobre procesos de
TI
Controles sobre
procesos de negocio
que utilizan TI
•
•
•
•
Desarrollo de soluciones
Administración de Cambios
Seguridad
Operación del Computador
•
•
•
•
•
Integridad (completitud)
Precisión
Validez
Autorización
Segregación de Funciones
Ing. Víctor Manuel Montaño Ardila
CONTROLES DE APLICACIÓN - ORIGEN





Preparación de Datos (AC1)
Autorización de documentos fuente (AC2)
Recolección de datos fuente (AC3)
Manejo de errores en documentos fuente (AC4)
Retención de documentos fuente (AC5)
Autorización
de Datos
Ingreso de
Datos
ORIGEN
INPUT
Procesamiento
de Datos
Salida de
Datos
OUTPUT
ENTORNO CON TERCEROS
Ing. Víctor Manuel Montaño Ardila
Los procedimientos de manejo de errores durante la generación
de los datos aseguran de forma razonable la detección, el
reporte y la corrección de errores e irregularidades.





Los procedimientos garantizan que todos los documentos
fuente autorizados son completos y precisos, debidamente
justificados y transmitidos de manera oportuna para su
captura.
Preparación de Datos (AC1)
Autorización de documentos fuente (AC2)
Recolección de datos fuente (AC3)
Manejo de errores en documentos fuente (AC4)
Retención de documentos fuente (AC5)
El personal autorizado, actuando dentro de su autoridad,
prepara los documentos fuente de forma adecuada y existe
una segregación de funciones apropiada con respecto a la
generación y aprobación de los documentos fuente.
Existen procedimientos para garantizar que los documentos
fuente originales son retenidos o pueden ser reproducidos
por la organización durante un lapso adecuado de tiempo
para facilitar el acceso o reconstrucción de datos así como
para satisfacer los requerimientos legales.
Los departamentos usuarios implementan y dan seguimiento
a los procedimientos de preparación de datos. En este
contexto, el diseño de los formatos de entrada asegura que
los errores y las omisiones se minimicen. Los procedimientos
de manejo de errores durante la generación de los datos
aseguran de forma razonable que los errores y las
irregularidades son detectadas, reportadas y corregidas
Ing. Víctor Manuel Montaño Ardila
CONTROLES DE APLICACIÓN - INPUT
Autorización
de Datos
Ingreso de
Datos
ORIGEN
INPUT
Procesamiento
de Datos
Salida de
Datos
OUTPUT
ENTORNO CON TERCEROS
Ing. Víctor Manuel Montaño Ardila
Los datos de transacciones, ingresados para ser procesados
(generados por personas, por sistemas o entradas de
interfases) están sujetos a una variedad de controles para
verificar su precisión, integridad y validez. Los procedimientos
también garantizan que los datos de entrada son validados y
editados tan cerca del punto de origen como sea posible.



Existen y se siguen procedimientos para la corrección y recaptura de datos que fueron ingresados de manera
incorrecta.
Procedimientos de autorización de captura de datos
(AC6)
Verificación de precisión, integridad y autorización
(AC7)
Manejo de errores en la entrada de datos (AC8)
Los procedimientos aseguran que solo el personal autorizado
capture los datos de entrada.
Ing. Víctor Manuel Montaño Ardila
CONTROLES DE APLICACIÓN PROCESAMIENTO



Autorización
de Datos
Ingreso de
Datos
ORIGEN
INPUT
Integridad en el procesamiento de datos (AC9)
Validación y edición del procesamiento de datos
(AC10)
Manejo de errores en el procesamiento de datos
(AC11)
Procesamiento
de Datos
Salida de
Datos
OUTPUT
ENTORNO CON TERCEROS
Ing. Víctor Manuel Montaño Ardila
Los procedimientos garantizan que la validación,
la autenticación y la edición del procesamiento
de datos se realizan tan cerca como sea posible
del punto de generación. Los individuos aprueban
decisiones vitales que se basan en sistemas de
inteligencia artificial.
Los procedimientos para el procesamiento de
datos aseguran que la separación de funciones se
mantiene y que el trabajo realizado de forma
rutinaria
se
verifica.
Los
procedimientos
garantizan que existen controles de actualización
adecuados, tales como totales de control de
corrida-a-corrida, y controles de actualización de
archivos maestros



Los procedimientos de manejo de errores en el
procesamiento de datos permiten que las
transacciones erróneas sean identificadas sin ser
procesadas y sin una indebida interrupción del
procesamiento de otras transacciones válidas.
Procedimientos de autorización de captura
de datos (AC6)
Verificación de precisión, integridad y
autorización (AC7)
Manejo de errores en la entrada de datos
(AC8)
Ing. Víctor Manuel Montaño Ardila
CONTROLES DE APLICACIÓN - OUTPUT





Autorización
de Datos
Ingreso de
Datos
ORIGEN
INPUT
Manejo y retención de salidas (AC12)
Distribución de Salidas (AC13)
Cuadre y conciliación de salidas (AC14)
Revisión de Salidas y Manejo de errores
(AC13)
Provisión de seguridad para reportes de salida
(AC14)
Procesamiento
de Datos
Salida de
Datos
OUTPUT
ENTORNO CON TERCEROS
Ing. Víctor Manuel Montaño Ardila
Existen procedimientos para garantizar que se
mantiene la seguridad de los reportes de salida,
tanto para aquellos que esperan ser distribuidos
como para aquellos que ya están entregados a
los usuarios.
Los procedimientos garantizan que tanto el
proveedor como los usuarios relevantes revisan
la precisión de los reportes de salida. También
existen procedimientos para la identificación y el
manejo de errores contenidos en las salidas.





Manejo y retención de salidas (AC12)
Distribución de Salidas (AC13)
Cuadre y conciliación de salidas (AC14)
Revisión de Salidas y Manejo de errores
(AC13)
Provisión de seguridad para reportes de
salida (AC14)
Las salidas cuadran rutinariamente con los
totales de control relevantes. Las pistas de
auditoría facilitan el rastreo del procesamiento de
las transacciones y la conciliación de datos
alterados.
Los procedimientos para la distribución de las
salidas de TI se definen, se comunican y se les
da seguimiento.
El manejo y la retención de salidas provenientes
de aplicaciones de TI siguen procedimientos
definidos y tienen en cuenta los requerimientos
de privacidad y de seguridad.
Ing. Víctor Manuel Montaño Ardila
CONTROLES DE APLICACIÓN – ENTORNO CON TERCEROS
Autorización
de Datos
Ingreso de
Datos
ORIGEN
INPUT
Procesamiento
de Datos
Salida de
Datos
OUTPUT
ENTORNO CON TERCEROS


Autenticidad e Integridad (AC15)
Protección de información sensitiva durante
su transmisión y transporte (AC16)
Ing. Víctor Manuel Montaño Ardila
Se proporciona una protección adecuada
contra accesos no autorizados, modificaciones
y envíos incorrectos de información sensitiva
durante la transmisión y el transporte.


Autenticidad e Integridad (AC15)
Protección de información sensitiva durante
su transmisión y transporte (AC16)
Se verifica de forma apropiada la autenticidad
e integridad de la información generada fuera
de la organización, ya sea que haya sido
recibida por teléfono, por correo de voz, como
documento en papel, fax o correo electrónico,
antes
de
que
se
tomen
medidas
potencialmente críticas.
Ing. Víctor Manuel Montaño Ardila
Descargar

COBIT Mejores prácticas de Tecnologías Informáticas