Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

Transcripción

1 Anexo III COBIT Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control En COBIT se define control como: El conjunto de políticas, procedimientos, prácticas y estructuras organizativas diseñadas para crear una seguridad razonable de que se lograrán los objetivos del negocio y de que se toman acciones para detectar, prevenir o corregir los efectos de eventos indeseables. Análogamente, objetivo de control se define como: Una declaración del resultado deseado o propósito a ser alcanzado, implementando procedimientos de control en alguna actividad particular. A continuación se listan los objetivos de control que establece COBIT, relacionados con los procesos de TI. I - PLANIFICACIÓN Y ORGANIZACIÓN 1. Definición de un plan estratégico de TI OC-1.1. OC-1.2. OC-1.3. OC-1.4. OC-1.5. OC-1.6. TI como parte del plan de la organización a corto y largo plazo Plan a largo plazo de TI Plan a largo plazo de TI - enfoque y estructura Cambios al plan a largo plazo de TI Planificación a corto plazo para la función de TI Evaluación de sistemas existentes 2. Definición de la arquitectura de Información 219

2 220 OC-2.1. OC-2.2. OC-2.3. OC-2.4. Modelo de la arquitectura de información Diccionario de datos y reglas de sintaxis de los datos de la corporación Esquema de clasificación de datos Niveles de seguridad 3. Determinación de la dirección tecnológica OC-3.1. OC-3.2. OC-3.3. OC-3.4. OC-3.5. Planificación de la infraestructura tecnológica Monitorización de tendencias futuras y regulaciones Contingencias en la infraestructura tecnológica Planes de adquisición de hardware y software Estándares de tecnología 4. Definición de la organización y de las relaciones de TI OC-4.1. OC-4.2. OC-4.3. OC-4.4. OC-4.5. OC-4.6. OC-4.7. OC-4.8. OC-4.9. OC OC OC OC OC Comité de planificación o dirección de la función de TI Ubicación de los TI en la organización Revisión de logros organizacionales Funciones y responsabilidades Responsabilidad de la función de aseguramiento de calidad Responsabilidad de la función de seguridad lógica y física Propiedad y custodia Propiedad de datos y sistemas Supervisión Segregación de funciones Asignación de personal para TI Descripción de puestos para el personal de la función de TI Personal clave de TI Procedimientos para personal contratado

3 OC Relaciones 5. Manejo de la Inversión en TI OC-5.1. OC-5.2. OC-5.3. Presupuesto operativo anual para la función de servicio de información Monitorización de costo - beneficio Justificación de costo - beneficio 6. Comunicación de la dirección y expectativas de la gerencia OC-6.1. OC-6.2. OC-6.3. OC-6.4. OC-6.5. OC-6.6. OC-6.7. OC-6.8. OC-6.9. OC OC Ambiente positivo de control de la información Responsabilidad de la gerencia en cuanto a políticas Comunicación de las políticas de la organización Recursos para la implementación de políticas Mantenimiento de políticas Cumplimiento de políticas, procedimientos y estándares Compromiso con la calidad Política sobre el marco de referencia para la seguridad y el control interno Derechos de propiedad intelectual Políticas específicas Comunicación para estimular la conciencia de seguridad en TI 7. Administración de recursos humanos OC-7.1. OC-7.2. OC-7.3. OC-7.4. OC-7.5. OC-7.6. Reclutamiento y promoción de personal Personal calificado Entrenamiento de personal Entrenamiento cruzado para desarrollar personal de respaldo Procedimientos de evaluación de antecedentes del personal Evaluación de desempeño de los empleados 221

4 222 OC-7.7. Cambios de puesto y despidos 8. Asegurar el cumplimiento de requerimientos externos OC-8.1. OC-8.2. OC-8.3. OC-8.4. OC-8.5. OC Evaluación de Riesgos OC-9.1. OC-9.2. OC-9.3. OC-9.4. OC-9.5. OC-9.6. OC-9.7. OC-9.8. Revisión de requerimientos externos Prácticas y procedimientos para el cumplimiento de requerimientos externos Cumplimiento con regulaciones de seguridad y ergonomía Privacidad, propiedad intelectual y flujo de datos Comercio electrónico Cumplimiento con contratos de seguros Evaluación de riesgos del negocio Enfoque de la evaluación de riesgos Identificación de riesgos Medición de riesgos Plan de acción contra riesgos Aceptación de riesgos Selección de medidas preventivas Compromiso con la evaluación de riesgos 10. Administración de proyectos OC OC OC OC OC OC OC Marco de acción para la administración de proyectos Participación de los departamentos usuarios en la iniciación de proyectos Miembros y responsabilidades del equipo del proyecto Definición del proyecto Aprobación del proyecto Aprobación de las fases del proyecto Plan maestro del proyecto

5 OC OC Plan de aseguramiento de la calidad de sistemas Planificación de métodos de aseguramiento de calidad OC Administración formal de riesgos de proyectos OC Plan de prueba OC Plan de entrenamiento OC Plan de revisión post implementación 11. Administración de calidad OC OC OC OC OC OC OC OC OC Plan general de calidad Enfoque de aseguramiento de calidad Planificación de aseguramiento de calidad Revisión de aseguramiento de calidad sobre el cumplimiento de estándares y procedimientos Metodología del ciclo de desarrollo de sistemas Metodología del ciclo de desarrollo de sistemas para realizar cambios mayores a la tecnología actual Actualización de la metodología del ciclo de desarrollo de sistemas Coordinación y comunicación Marco de referencia para la adquisición y mantenimiento de la infraestructura de tecnología OC Relaciones con terceras partes como implementadores OC Estándares para la documentación de programas OC Estándares para pruebas de programas OC Estándares para pruebas de sistemas OC Pruebas piloto/en paralelo OC Documentación de las pruebas de sistemas OC Evaluación de aseguramiento de la calidad sobre el cumplimiento de estándares de desarrollo 223

6 OC Revisión de aseguramiento de calidad sobre el logro de los objetivos de TI OC Métricas de calidad OC Reportes de revisiones de aseguramiento de calidad II - ADQUISICIÓN E IMPLEMENTACIÓN 1. Identificación de soluciones 224 OC-1.1. OC-1.2. OC-1.3. OC-1.4. OC-1.5. OC-1.6. OC-1.7. OC-1.8. OC-1.9. OC OC OC OC OC OC OC OC OC Definición de requerimientos de información Formulación de acciones alternativas Formulación de estrategias de adquisición. Requerimientos de servicios de terceros Estudio de factibilidad tecnológica Estudio de factibilidad económica Arquitectura de información Reporte de análisis de riesgos Controles de seguridad económica Diseño de huellas de auditoría Ergonomía Selección de software de sistemas Control del proceso de adquisición Adquisición de productos de software Mantenimiento de software de terceras partes Contratos de programación de aplicaciones Aceptación de facilidades Aceptación de tecnología 2. Adquisición y mantenimiento de software de aplicaciones OC-2.1. Métodos de diseño

7 OC-2.2. OC-2.3. OC-2.4. OC-2.5. OC-2.6. OC-2.7. OC-2.8. OC-2.9. OC OC OC OC OC OC OC OC Cambios significativos a sistemas actuales Aprobación del diseño Definición y documentación de requerimientos de archivos Especificaciones de programas Diseño para la recopilación de datos fuente Definición y documentación de requerimientos de entrada de datos Definición de interfases Interfases usuario-máquina Definición y documentación de requerimientos de procesamiento Definición y documentación de requerimientos de salidas de datos Controlabilidad Disponibilidad como factor clave de diseño Medidas de protección de la integridad de TI en programas de aplicaciones Pruebas de software de aplicación Materiales de consulta y soporte para usuario Reevaluación del diseño del sistema 3. Adquisición y mantenimiento de arquitectura de tecnología OC-3.1. OC-3.2. OC-3.3. OC-3.4. OC-3.5. OC-3.6. OC-3.7. Evaluación de nuevo hardware y software Mantenimiento preventivo para hardware Seguridad del software del sistema Instalación del software del sistema Mantenimiento del software del sistema Controles para cambios del software del sistema Utilización y seguimiento de los programas utilitarios 225

8 4. Desarrollo y mantenimiento de procedimientos 226 OC-4.1. OC-4.2. OC-4.3. OC-4.4. Requerimientos operativos y niveles de servicio Manual de procedimientos para usuarios Manual de operaciones Material de entrenamiento 5. Instalación y acreditación de sistemas OC-5.1. OC-5.2. OC-5.3. OC-5.4. OC-5.5. OC-5.6. OC-5.7. OC-5.8. OC-5.9. OC OC OC OC OC Entrenamiento Desempeño y magnitud del software de aplicación Plan de implementación Conversión del sistema Conversión de datos Estrategias y planes de prueba Pruebas de cambios Criterios de desempeño de pruebas en paralelo/piloto Prueba de aceptación final Pruebas de seguridad y acreditación Prueba operacional Migración a producción 6. Administración de cambios OC-6.1. OC-6.2. OC-6.3. OC-6.4. OC-6.5. OC-6.6. Evaluación del cumplimiento de requerimientos del usuario Revisión gerencial post - implementación Inicio y control de solicitudes de cambio Evaluación de impacto Control de cambios Cambios de emergencia Documentación y procedimientos Mantenimiento autorizado

9 OC-6.7. OC-6.8. Política de implementación de software Distribución de software III - ENTREGA DE SERVICIOS Y SOPORTE 1. Definición de niveles de servicio OC-1.1. OC-1.2. OC-1.3. OC-1.4. OC-1.5. OC-1.6. OC-1.7. Marco de referencia para los acuerdos de nivel de servicio Aspectos sobre los acuerdos de nivel de servicio Procedimientos de ejecución Monitorización y reporte Revisión de acuerdos y convenios de niveles de servicio Elementos sujetos a cargo Programa de mejoramiento del servicio 2. Administración de servicios prestados por terceros OC-2.1. OC-2.2. OC-2.3. OC-2.4. OC-2.5. OC-2.6. OC-2.7. OC-2.8. Interfaces con proveedores Relaciones con dueños Contratos con terceros Calificación de terceros Contratos de outsourcing Continuidad de servicios Relaciones de seguridad Monitorización 3. Administración de desempeño y capacidad OC-3.1. OC-3.2. OC-3.3. OC-3.4. OC-3.5. Requerimientos de disponibilidad y desempeño Plan de disponibilidad Monitorización y reporte Herramientas de modelaje Manejo de desempeño proactivo 227

10 228 OC-3.6. OC-3.7. OC-3.8. OC-3.9. Pronóstico de cargas de trabajo Administración de capacidad de recursos Disponibilidad de Recursos Calendarios de utilización de recursos 4. Aseguramiento de servicio continuo OC-4.1. OC-4.2. OC-4.3. OC-4.4. OC-4.5. OC-4.6. OC-4.7. OC-4.8. OC-4.9. OC OC OC OC Marco de referencia de continuidad de TI Estrategia y filosofía de continuidad de TI Contenido del plan de continuidad de TI Minimización de requerimientos de continuidad de TI Mantenimiento del plan de continuidad de TI Pruebas del plan de continuidad de TI Capacitación sobre el plan de continuidad de TI Distribución del plan de continuidad de TI Procedimientos de procesamiento alternativo para departamentos usuarios Recursos críticos de TI Centro de cómputo y hardware de respaldo Almacenamiento de respaldos fuera de las oficinas Procedimientos de retorna de un plan de continuidad de TI 5. Asegurar la seguridad de los sistemas OC-5.1. OC-5.2. OC-5.3. OC-5.4. OC-5.5. OC-5.6. Administrar medidas de seguridad Identificación, autenticación y acceso Seguridad de acceso a datos en línea Administración de cuentas de usuario Revisión gerencial de cuentas de usuario Control hecho por los usuarios sobre las cuentas de usuario

11 OC-5.7. OC-5.8. OC-5.9. OC OC OC OC OC OC OC OC OC OC OC OC Vigilancia de la seguridad Clasificación de datos Administración centralizada de identificación y derechos de acceso Reportes de violaciones y de actividades de seguridad Manejo de incidentes Reacreditación Confianza en contrapartes Autorización de transacciones No rechazo Sendero seguro Protección de funciones de seguridad Administración de llaves criptográficas Prevención, detección y corrección de software "malicioso" Arquitecturas de firewalls y conexión a redes públicas Protección de valores electrónicos 6. Identificación y atribución de costos OC-6.1. OC-6.2. OC-6.3. Elementos sujetos a cargo Procedimientos de costeo Procedimientos de cargo y facturación a usuarios 7. Educación y entrenamiento de usuarios OC-7.1. OC-7.2. OC-7.3. Identificación de necesidades de entrenamiento Organización de entrenamiento Entrenamiento sobre principios y conciencia de seguridad 8. Apoyo y asistencia a los clientes de TI OC-8.1. OC-8.2. Escritorio de ayuda Registro de llamadas del usuario 229

12 230 OC-8.3. OC-8.4. OC-8.5. Escalamiento de consultas de clientes Monitorización de atención a clientes y cierre de llamadas Análisis y reporte de tendencias 9. Administración de la configuración OC-9.1. OC-9.2. OC-9.3. OC-9.4. OC-9.5. OC-9.6. OC-9.7. OC-9.8. Registro de la configuración Definiciones de base (estándares) de los ítems de configuración Registro de estatus Control de configuraciones Software no autorizado Almacenamiento de software Procedimientos de administración de configuraciones Responsabilidades en relación al software 10. Manejo de problemas e incidentes OC OC OC OC OC Administración de datos OC OC OC OC OC OC OC Sistema de administración de problemas Escalamiento de problemas Seguimiento de problemas y huellas de auditoría Autorizaciones de acceso de emergencia y temporales Prioridades de atención a emergencias Procedimientos de preparación de datos Procedimientos de autorización de documentos fuente Recopilación de datos desde documentos fuente Manejo de errores de documentos fuente Retención de documentos fuente Procedimientos de autorización de entrada de datos Chequeos de exactitud, suficiencia y autorización

13 OC OC Manejo de errores en la entrada de datos Integridad de procesamiento de datos OC Validación y edición en el procesamiento de datos OC Manejo de errores en el procesamiento de datos OC Manejo y retención de salidas OC Distribución de salidas OC Balanceo y conciliación de datos de salida OC Revisión de salidas y manejo de errores OC Provisiones de seguridad para reportes de salida OC Protección de información sensible durante transmisión y transporte OC Protección de información crítica a de los servicios de TI OC Administración de almacenamiento OC Períodos de retención y términos de almacenamiento OC Sistema de administración de almacenamiento OC Responsabilidades de la administración de los medios de almacenamiento OC Respaldo y restauración OC Jobs de Respaldo OC Almacenamiento de respaldo OC Archivos históricos OC Protección de mensajes sensitivos OC Autenticación e integridad OC Integridad de transacciones electrónicas OC Mantenimiento continuo de la integridad de los datos almacenados 12. Administración de instalaciones OC Seguridad física 231

14 OC OC OC OC OC Discreción de las instalaciones de TI Escolta de visitantes Salud y seguridad del personal Protección contra factores ambientales Suministro ininterrumpible de energía (UPS) 13. Administración de operaciones OC OC OC OC OC OC OC OC Manual de procedimientos de operación e instrucciones Documentación de procesos de inicio y otras operaciones Calendarios de trabajos Desviaciones de los calendarios de trabajos Continuidad de procesamiento Bitácoras de operación Salvaguarda de formas especiales y de dispositivos de salida Operaciones remotas IV - SEGUIMIENTO 1. Monitorización del proceso 232 OC-1.1. OC-1.2. OC-1.3. OC-1.4. Recolección de datos de monitorización Evaluación de desempeño Evaluación de la satisfacción de clientes Reportes gerenciales 2. Evaluar adecuación a normas de control interno OC-2.1. OC-2.2. OC-2.3. OC-2.4. Seguimiento del cumplimiento del control interno Cumplimiento oportuno del control interno Reporte sobre el nivel de control Interno Seguridad de operación y aseguramiento de control interno

15 3. Obtención de evaluación independiente OC-3.1. OC-3.2. OC-3.3. OC-3.4. OC-3.5. OC-3.6. OC-3.7. OC-3.8. Certificación/acreditación independiente del control y la seguridad de los servicios de TI Certificación/acreditación independiente del control y la seguridad de los proveedores externos de servicios Evaluación independiente de la efectividad Evaluación independiente de la efectividad de proveedores externos de servicios Aseguramiento independiente del cumplimiento de leyes, requerimientos regulatorios y compromisos contractuales Aseguramiento independiente del cumplimiento de leyes, requerimientos regulatorios y compromisos contractuales por parte de los proveedores externos de servicios Competencia de la función de aseguramiento independiente Participación proactiva de auditoría 4. Proveer auditoría independiente OC-4.1. OC-4.2. OC-4.3. OC-4.4. OC-4.5. OC-4.6. OC-4.7. OC-4.8. Esquemas de auditoría Independencia Ética y estándares profesionales Competencia Planificación Desempeño del trabajo de auditoría Reportes de auditoría Actividades de seguimiento 233

16 234