Modelo de Gestión de TI

Modelo de Gestión de TIModelo de Gestión de TI

Ing. Víctor Manuel Montaño Ardila

RECORDEMOSRECORDEMOS• Para muchas empresas, la información y la tecnología

que las soportan representan sus más valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI.


RECORDEMOSRECORDEMOS• Estas empresas también entienden y administran los

riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI.


RECORDEMOSRECORDEMOS• El Gobierno De TI es responsabilidad de los ejecutivos,

del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.


RECORDEMOSRECORDEMOS•Más aún, el gobierno de TI integra e institucionaliza las

buenas prácticas para garantizar que la TI de la empresa sirve como base a los objetivos del negocio. De esta manera, el gobierno de TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.


RECORDEMOSRECORDEMOS• Para que la TI tenga éxito en satisfacer los

requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:1. Estableciendo un vínculo con los requerimientos del

negocio 2. Organizando las actividades de TI en un modelo de

procesos generalmente aceptado 3. Identificando los principales recursos de TI a ser

utilizados 4. Definiendo los objetivos de control gerenciales a ser

considerados


Modelo COBITModelo COBITMejores prácticas para Gestión de

Tecnologías Informáticas


CONCEPTO BÁSICOSCONCEPTO BÁSICOS

Es el resultado de una investigación con expertos de varios paises, desarrollada por la “Information, Systems Audit and Control Association “ISACA”.

Esta asociación se ha constituido en el organismo normalizador y orientador en el control y la auditoría de los sistemas de Información y Tecnología (IT).

El modelo CobIT ha sido aceptado y adoptado por organizaciones en el ámbito mundial.

Modelo para evaluar y/o auditar la gestión y control de los de Sistemas de Información y Tecnología relacionada (IT):

MODELO COBIT(Control Objectives for Information Systems and related Technology)


Modelo COBITModelo COBITOrigenOrigen

LEGISLADORES / REGULADORES USUARIOS PRESTADORES

DE SERVICIOS

• MARCO UNICOREFERENCIAPRACTICASSEGURIDAD Y CONTROL

ALTA

GER

ENCI

A

•INVERSION CONTROL TI•BALANCE RIESGO/CONTROL• BASE BENCHMARKING

USU

ARIOS DE TI

• ACREDITACÍON CONTROL /SEGURIDAD POR AUDITORES O TERCEROS

• CONFUSIÓN ESTANDARES

AUDITORES

• DESGASTE OPINION V.S.

ALTA GCIA.• CONSULTORES EN

CONTROL/SEG. TI




Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI

Consolidar y armonizar estándares originados en diferentes países desarrollados.

Concientizar a la comunidad sobre importancia del control y la auditoría de TI.

Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito

Aplica a todo tipo de organizaciones independiente de sus plataformas de TI

Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa



COSO : (Committe Of Sponsoring Org. of the Treadway Commission)

OECD : (Organizarion for Economic Cooperation and Development)

ISO 9003 : (International Standars Organization)

NIST : (National Institute of Standars and Technology)

DTI : (Departament of Trade and Industry of the U.K´)

ITSEC : (Information Technology Security Evaluation Criteria - Europa)

TCSEC : (Trusted Computer Evaluación Criteria - Orange Book- E.U)

IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)

IS : Auditing Standars Japón

COBITCOBITRepresentatividadRepresentatividad

ISACA - 95 paises 20.000 miembros

Investigación: E.U-Europa-Australia-Japón

Consolidación y armonización 18 estándares


CONCEPTO BÁSICOSCONCEPTO BÁSICOSPara satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT extrae de los más reconocidos modelos:


Requerimientos fiduciarios(informe COSO)

Eficacia y eficienciaConfiabilidad de la información Cumplimiento con leyes y

reglamentaciones

Requerimientos de seguridad(libro rojo, naranja,ISO 17799 y otros)

DisponibilidadIntegridad Confidencialidad



REGLA DE ORO DEL COBITREGLA DE ORO DEL COBIT

A fin, de proveer la información que la organización requiere para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada.


¿POR QUÉ COBIT?¿POR QUÉ COBIT?

La Tecnología se ve como un costo, no hay una terminología común con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prácticas que ayuden a generar conciencia de los riesgos mantiene la quimera del :

“ A mi no me va pasar..”


¿POR QUÉ COBIT?¿POR QUÉ COBIT?

La Dirección, a través de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de los sistemas de información.

Gobierno de Tecnología de InformaciónGobierno de Tecnología de InformaciónEl rol de la DirecciónEl rol de la Dirección


QUIÉNES NECESITAN REGLAS DE JUEGO QUIÉNES NECESITAN REGLAS DE JUEGO DEFINIDAS?DEFINIDAS?

•Los Mandos Gerenciales para saber que deben exigir, como medir los resultados y cuales son sus responsabilidades en esos temas.

• Balancear el riesgo y la inversión en control de un ambiente a menudo impredecible

•El Auditor para sustentar sus opiniones sobre los riesgos y la adecuación de la tecnología a las mejores prácticas. Ser asesores proactivos del negocio


ADEMÁS...ADEMÁS...

•El Área usuaria para saber que puede pedir a tecnología y que se le va a exigir sobre el control de los procesos del negocio. Son los interesados en saber si los recursos de Tecnología de Información se utilizan adecuadamente y les ayudan a alcanzar sus objetivos

•El Gerente de Tecnología para definir un acuerdo de servicios y justificar su inversión

•Los Organismos estatales de control, para saber que es lo mínimo que pueden exigir.


ORIENTACIÓN DE COBITORIENTACIÓN DE COBITSu orientación hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar métricas y modelos de madurez para medir su éxito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI.

“ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES Y DIRIGIDO POR MEDIDAS.”


DEFINICIONESDEFINICIONES


PRINCIPIOSPRINCIPIOSSe refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable.

Efectividad

Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos.

Eficiencia

Relativa a la protección de la información sensitiva de su revelación no autorizada.Confidencialidad


PRINCIPIOSPRINCIPIOSSe refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas.

Disponibilidad

Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión.

Confiabilidad


NECESIDAD DE RESPUESTA A LOS RETOS NECESIDAD DE RESPUESTA A LOS RETOS DE TIDE TI

Qué no se interrumpa el servicio Qué aporte valor Administrar los costos Dominar la complejidad Alineación con el Negocio Cumplimiento de Regulaciones Seguridad.

Los 7 retos:


BUEN GOBIERNO DE TIBUEN GOBIERNO DE TI

Dirigir y controlar

Con responsabilidad

Con imputabilidad (Accountability)

Mediante actividades (Procesos)

Principios, participantes, ámbito, ventajas …

Los 4 principios:


NECESIDAD DE RESPUESTA A LOS RETOS DE NECESIDAD DE RESPUESTA A LOS RETOS DE TITI

Principios, participantes, ámbito, ventajas …

Los participantes (stakeholders):

Internos Externos


BUEN GOBIERNO DE TIBUEN GOBIERNO DE TIPrincipios, participantes, ámbito, ventajas … Las 5 áreas:

Alineación estratégica Aportación de Valor Gestión de Riesgos Gestión de Recursos Medidas de Rendimiento


BUEN GOBIERNO DE TIBUEN GOBIERNO DE TIPrincipios, participantes, ámbito, ventajas …

Las 5 ventajas:Las 5 ventajas:

Confianza de la Alta Dirección TI es co-responsable al negocio Retorno de Inversión Superior Servicios más confiables Mayor transparencia


MARCOS DE BUEN GOBIERNO Y DE TIMARCOS DE BUEN GOBIERNO Y DE TI

Las 5 características generales de un buen marco:Las 5 características generales de un buen marco:

Enfocado al Negocio Orientado a Procesos Generalmente aceptado Utilice un lenguaje común Cumpla con los requisitos regulatorios


Propuesta de SoluciónPropuesta de SoluciónExpectativas sobre COBIT (1)Expectativas sobre COBIT (1)

Alta Gerencia:Alta Gerencia:Utilizar los procesos de COBIT para lograr un lenguaje

común entre el negocio y TI y asignar responsabilidades claras

Gerencias Usuarias:Gerencias Usuarias:Utilizar los objetivos de control de COBIT para determinar

las necesidades que serán cubiertas por los Acuerdos de Niveles de Servicio


Propuesta de SoluciónPropuesta de Solución

Expectativas sobre COBIT (2)Expectativas sobre COBIT (2)

Auditoría Interna:Auditoría Interna:Utilizar los objetivos de control de COBIT como un criterio

para evaluar y definir el alcance a revisar

Gerente TI:Gerente TI:Utilizar los objetivos de control de COBIT para:1. Estructurar los procesos 2. Establecer objetivos de los procesos3. Medir el desempeño de los procesos / gestión4. Generar políticas y procedimientos


Fase 1Fase 1Levantamiento de procesos actuales

Procesos de trabajo

Recursos de TI

Criteriosde Información

Datos Sistemas de

Aplicación Infraestructura Tecnológica Instalaciones

Físicas Recursos humanos

Planeación y organización Adquisición e implantación

de soluciones Entrega de servicio y

soporte Monitoreo

Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad


Fase 1Fase 1Levantamiento de procesos actuales

Procesos de trabajoRecursos

de TI

Criteriosde Información

Objetivos de ControlObjetivos de Control

Factores Críticos de ÉxitoFactores Críticos de Éxito

Indicadores de ResultadosIndicadores de Resultados

Indicadores de DesempeñoIndicadores de Desempeño

Recursos de TI


EL MODELO DEL MARCO DE TRABAJO DE COBITEL MODELO DEL MARCO DE TRABAJO DE COBIT

OBJETIVOS DE NEGOCIO

Aplic

acio

nes

Info

rmac

ión

Infr

aest

ruct

ura

Gent

e

Criterios deInformación

Recursos de TI

Procesosde TI

Objetivos de Control de Alto Nivel

Indicadores clavede Objetivos

Indicadores clavede Rendiemiento

Resultados de Negocio

Drivers de Gobernabilidad

Procesos de TI

Objetivos de TI

El marco de trabajo COBIT, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las métricas KGI y KPI de COBIT

Administración, Control, Alineación y Monitoreo de Cobit.


ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROLALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL

Dominios

Procesos

Actividades

Efectividad

Proc

eso s

y O

b jeti

vos d

e Co

ntro

l de

TI

Recursos TIPe

rson

as

Aplic

acio

nes

Infr

aest

ruct

ura

Dominios

Procesos

Actividades

Info

rmac

ión

EficienciaIntegridad

Disponibilidad

Confidencialidad

Confiabilidad

Cumplimiento

Criterios de Información


CLASIFICACIÓNCLASIFICACIÓN Agrupamiento lógico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y se relaciona con el ciclo de vida aplicable a los procesos de Tecnología de Información.

Una serie de actividades o tareas vinculadas con cortes (de control) naturales.

Son necesarias para lograr un resultado mensurable. Las actividades tienen un ciclo de vida mientras que las tareas son discretas.

Procesos

Actividades o tareas

Dominios


• Resumen Ejecutivo • Casos de Estudio • Preguntas Frecuentes• Presentaciones Power Point• Guías de Implementación

•Diagnóstico Conciencia Administrativa•Diagnóstico Control de TI

Resumen Ejecutivo

Marco Referencial-Esquema Objetivos de Alto Nivel

Lineamientos Gerenciales

Objetivos de Control Detallados

Guías de Auditoría

Modelos de Madurez

Factores Críticos de Exito

Indicadores Clave de

Rendimiento

Indicadores Clave de Logros

Herramientas de implementación

CobiT: enfoque e implementaciónCobiT: enfoque e implementación

Prácticas de Control


DOMINIOS DEL COBITDOMINIOS DEL COBIT

•Abarca aspectos estratégicos y tácticos

•Se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos del negocio.

•Incluye las actividades de planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas.

Planeación y OrganizaciónPlaneación y Organización


DOMINIODOMINIOPlanificación y OrganizaciónPlanificación y Organización

Proceso: PO1Proceso: PO1 Definición de un plan estratégico de TIDefinición de un plan estratégico de TI

Proceso: PO2Proceso: PO2 Definición de la arquitectura de la informaciónDefinición de la arquitectura de la información

Proceso: PO3Proceso: PO3 Determinación de la dirección tecnológicaDeterminación de la dirección tecnológica

Proceso: PO4Proceso: PO4 Definición de la organización y el relacionamiento en TIDefinición de la organización y el relacionamiento en TI

Proceso: PO5Proceso: PO5 Administración de la inversión en TIAdministración de la inversión en TI

Proceso: PO6Proceso: PO6 Comunicación de los objetivos y directivas de la gerenciaComunicación de los objetivos y directivas de la gerencia

Proceso: PO7Proceso: PO7 Administración de los recursos humanosAdministración de los recursos humanos

Proceso: PO8Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externosAseguramiento del cumplimiento de los requerimientos externos

Proceso: PO9Proceso: PO9 Evaluación de riesgosEvaluación de riesgos

Proceso: PO10Proceso: PO10 Administración de proyectosAdministración de proyectos

Proceso: PO11Proceso: PO11 Administración de la calidadAdministración de la calidadIng. Víctor Manuel Montaño Ardila


Identificación, desarrollo o adquisición de soluciones de Ti

Implantación e integración en el proceso de negocio.

Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas.

Adquisición e ImplementaciónAdquisición e Implementación


DOMINIODOMINIOAdquisición e ImplementaciónAdquisición e Implementación

Proceso: AI12Proceso: AI12 Identificación de solucionesIdentificación de soluciones

Proceso: AI13Proceso: AI13 Adquisición y mantenimiento de software de aplicaciónAdquisición y mantenimiento de software de aplicación

Proceso: AI14Proceso: AI14 Adquisición y mantenimiento de la infraestructura tecnológicaAdquisición y mantenimiento de la infraestructura tecnológica

Proceso: AI15Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TIDesarrollo y mantenimiento de procedimientos de TI

Proceso: AI16Proceso: AI16 Instalación y certificación de sistemasInstalación y certificación de sistemas

Proceso: AI17Proceso: AI17 Administración de cambiosAdministración de cambios



• Prestación efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación.

• Procesos de soporte necesarios.

• Procesamiento real de los datos por los sistemas de aplicación.

Entrega y SoporteEntrega y Soporte


DOMINIODOMINIOEntrega y SoporteEntrega y Soporte

Proceso: DS18Proceso: DS18 Definición de los niveles del servicioDefinición de los niveles del servicio

Proceso: DS19Proceso: DS19 Administración de los servicios prestados tercerosAdministración de los servicios prestados terceros

Proceso: DS20Proceso: DS20 Administración de la capacidad y del desempeño del sistemaAdministración de la capacidad y del desempeño del sistema

Proceso: DS21Proceso: DS21 Aseguramiento de la continuidad del servicioAseguramiento de la continuidad del servicio

Proceso: DS22Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemasEstablecimiento de pautas para la seguridad de los sistemas

Proceso: DS23Proceso: DS23 Identificación e imputación de costosIdentificación e imputación de costos


DOMINIODOMINIOEntrega y SoporteEntrega y Soporte

Proceso: DS24Proceso: DS24 Educación y capacitación de los usuariosEducación y capacitación de los usuarios

Proceso: DS25Proceso: DS25 Asistencia y asesoramiento a los clientes de TIAsistencia y asesoramiento a los clientes de TI

Proceso: DS26Proceso: DS26 Administración de la configuraciónAdministración de la configuración

Proceso: DS27Proceso: DS27 Administración de problemas e incidentesAdministración de problemas e incidentes

Proceso: DS28Proceso: DS28 Administración de datosAdministración de datos

Proceso: DS29Proceso: DS29 Administración de instalacionesAdministración de instalaciones

Proceso: DS30Proceso: DS30 Administración de las operacionesAdministración de las operaciones


DOMINIOS DE COBITDOMINIOS DE COBIT

Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control.

Seguimiento de la gerencia sobre los procesos de control de la organización

Garantía independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas.

MonitoreoMonitoreo


DOMINIODOMINIOMonitoreoMonitoreo

Proceso: ME31Proceso: ME31 Monitoreo de los procesosMonitoreo de los procesos

Proceso: ME32Proceso: ME32 Evaluación de la adecuación del control internoEvaluación de la adecuación del control interno

Proceso: ME33Proceso: ME33 Obtención de aseguramiento independienteObtención de aseguramiento independiente

Proceso: ME34Proceso: ME34 Provisión de auditoria independienteProvisión de auditoria independiente


PROCESOS

AI1 Identificar soluciones de IT

Administrar los cambios

Adquirir y mantener software aplicativoAdquirir y mantener arquitectura tecnológicaDesarrollar y mantener procedimientos de ITInstalar y acreditar sistemas

AI2

AI3

AI4

AI5

AI6

P S

PP S S

PP S

S

PP S S S

P S S

PP P SP

CRITERIOS RECURSOS

EFEC

TIVI

DAD

EFIC

IEN

CIA

CON

FIDE

NCI

ALID

ADIN

TEGR

IDAD

DISP

ON

IBIL

IDAD

CUM

PLIM

IEN

TOCO

NFI

ABIL

IDAD

APLI

CACI

ON

ESTE

CNO

CLO

GÍA

FACI

LIDA

DES

DATO

SPE

RSO

NAS

DOMINIO AI:Adquisición e

Implementación

COBITNavegación

(Matriz)


DEFINICIÓN DE PROCESOS DE TI DEFINICIÓN DE PROCESOS DE TI

PO1: Definir el Plan estratégico de ITPO1: Definir el Plan estratégico de IT

La función de servicios de información debería asegurar que hay planes a corto y

largo plazo para administrar y orientar todos los recursos de IT de la organización.

Estos planes deben ser actualizados de manera correcta y oportuna para

adecuarlos a los cambios de las condiciones de la IT. La evaluación de los

sistemas existentes debe realizarse antes de desarrollar o modificar el plan

estratégico de IT. Así mismo, la función de administración de los servicios de

información debe asegurar que el plan estratégico de IT es consistente con los

objetivos del negocio, y los planes a corto y largo plazo de la organización.


OBJETIVOS DE CONTROL DE TI - DETALLADOSOBJETIVOS DE CONTROL DE TI - DETALLADOS

11La TI como parte de los planes a corto/largo plazo de laempresa

22Plan a largo

plazo dela TI

33Enfoque y estructura del Plan a

largo plazo de la TI

44Cambios al Plan a largo plazo de la TI

Plan corto plazo de la función de servicios de TI

5

PROCESO: PO1:PROCESO: PO1: Definir el Plan Estratégico de TI

DOMINIO PO: Planeación y Organización

Objetivos de Control - DetalladosY tiene en consideración:

Evaluación objetivos de control detalladosEvaluación objetivos de control detallados


PRODUCTOS DE COBITPRODUCTOS DE COBIT


INTERRELACIÓN DE LOS COMPONENTES DE COBITINTERRELACIÓN DE LOS COMPONENTES DE COBITNegocio

Procesos de TI

Requerimientos Información

Objetivosde Control

Practicasde Control

Guías deAuditoría

Metas delas Actividades

Modelo deMadurez

IndicadoresClave de

Metas

IndicadoresClave de

Desempeño

Auditado porMedida para …

Implem

entado con

Transform

ado en

Para

des

empe

ño

Para Madurez

Controlado por

Logr

ando

Ef

ectiv

idad

yEfi

cien

cia

con

Para

resu

ltado

s


CONTROLES GENERALESCONTROLES GENERALES

Controles Generalessobre procesos de

TI

Controles sobre procesos de negocio

que utilizan TI

• Desarrollo de soluciones• Administración de Cambios• Seguridad• Operación del Computador

• Integridad (completitud)• Precisión• Validez• Autorización• Segregación de Funciones


CONTROLES DE APLICACIÓN - ORIGENCONTROLES DE APLICACIÓN - ORIGEN

Autorizaciónde Datos

ORIGEN

Ingreso deDatos

INPUT

Procesamientode Datos

Salida deDatos

OUTPUT

ENTORNO CON TERCEROS

Preparación de Datos (AC1) Autorización de documentos fuente (AC2) Recolección de datos fuente (AC3) Manejo de errores en documentos fuente (AC4) Retención de documentos fuente (AC5)


Los procedimientos de manejo de errores durante la generación de los datos aseguran de forma razonable la detección, el reporte y la corrección de errores e irregularidades.

El personal autorizado, actuando dentro de su autoridad, prepara los documentos fuente de forma adecuada y existe una segregación de funciones apropiada con respecto a la generación y aprobación de los documentos fuente.

Los procedimientos garantizan que todos los documentos fuente autorizados son completos y precisos, debidamente justificados y transmitidos de manera oportuna para su captura.

Existen procedimientos para garantizar que los documentos fuente originales son retenidos o pueden ser reproducidos por la organización durante un lapso adecuado de tiempo para facilitar el acceso o reconstrucción de datos así como para satisfacer los requerimientos legales.

Preparación de Datos (AC1) Autorización de documentos fuente (AC2) Recolección de datos fuente (AC3) Manejo de errores en documentos fuente (AC4) Retención de documentos fuente (AC5)

Los departamentos usuarios implementan y dan seguimiento a los procedimientos de preparación de datos. En este contexto, el diseño de los formatos de entrada asegura que los errores y las omisiones se minimicen. Los procedimientos de manejo de errores durante la generación de los datos aseguran de forma razonable que los errores y las irregularidades son detectadas, reportadas y corregidas


CONTROLES DE APLICACIÓN - INPUTCONTROLES DE APLICACIÓN - INPUT


ORIGEN

Ingreso deDatos

INPUT


Salida deDatos

OUTPUT



Existen y se siguen procedimientos para la corrección y re-captura de datos que fueron ingresados de manera incorrecta.

Los datos de transacciones, ingresados para ser procesados (generados por personas, por sistemas o entradas de interfases) están sujetos a una variedad de controles para verificar su precisión, integridad y validez. Los procedimientos también garantizan que los datos de entrada son validados y editados tan cerca del punto de origen como sea posible.

Los procedimientos aseguran que solo el personal autorizado capture los datos de entrada.

Procedimientos de autorización de captura de datos (AC6)

Verificación de precisión, integridad y autorización (AC7)

Manejo de errores en la entrada de datos (AC8)


CONTROLES DE APLICACIÓN - PROCESAMIENTO


ORIGEN

Ingreso deDatos

INPUT


Salida deDatos

OUTPUT


Integridad en el procesamiento de datos (AC9) Validación y edición del procesamiento de datos

(AC10) Manejo de errores en el procesamiento de datos

(AC11)


Los procedimientos garantizan que la validación, la autenticación y la edición del procesamiento de datos se realizan tan cerca como sea posible del punto de generación. Los individuos aprueban decisiones vitales que se basan en sistemas de inteligencia artificial.

Los procedimientos de manejo de errores en el procesamiento de datos permiten que las transacciones erróneas sean identificadas sin ser procesadas y sin una indebida interrupción del procesamiento de otras transacciones válidas.

Los procedimientos para el procesamiento de datos aseguran que la separación de funciones se mantiene y que el trabajo realizado de forma rutinaria se verifica. Los procedimientos garantizan que existen controles de actualización adecuados, tales como totales de control de corrida-a-corrida, y controles de actualización de archivos maestros Procedimientos de autorización de captura

de datos (AC6) Verificación de precisión, integridad y

autorización (AC7) Manejo de errores en la entrada de datos

(AC8)


CONTROLES DE APLICACIÓN - OUTPUT


ORIGEN

Ingreso deDatos

INPUT


Salida deDatos

OUTPUT


Manejo y retención de salidas (AC12) Distribución de Salidas (AC13) Cuadre y conciliación de salidas (AC14) Revisión de Salidas y Manejo de errores (AC13) Provisión de seguridad para reportes de salida

(AC14)


Existen procedimientos para garantizar que se mantiene la seguridad de los reportes de salida, tanto para aquellos que esperan ser distribuidos como para aquellos que ya están entregados a los usuarios.

Los procedimientos garantizan que tanto el proveedor como los usuarios relevantes revisan la precisión de los reportes de salida. También existen procedimientos para la identificación y el manejo de errores contenidos en las salidas.

Las salidas cuadran rutinariamente con los totales de control relevantes. Las pistas de auditoría facilitan el rastreo del procesamiento de las transacciones y la conciliación de datos alterados.

Los procedimientos para la distribución de las salidas de TI se definen, se comunican y se les da seguimiento.

El manejo y la retención de salidas provenientes de aplicaciones de TI siguen procedimientos definidos y tienen en cuenta los requerimientos de privacidad y de seguridad.

Manejo y retención de salidas (AC12) Distribución de Salidas (AC13) Cuadre y conciliación de salidas (AC14) Revisión de Salidas y Manejo de errores

(AC13) Provisión de seguridad para reportes de

salida (AC14)


CONTROLES DE APLICACIÓN – ENTORNO CON TERCEROS


ORIGEN

Ingreso deDatos

INPUT


Salida deDatos

OUTPUT


Autenticidad e Integridad (AC15) Protección de información sensitiva durante

su transmisión y transporte (AC16)


Se proporciona una protección adecuada contra accesos no autorizados, modificaciones y envíos incorrectos de información sensitivadurante la transmisión y el transporte.

Se verifica de forma apropiada la autenticidad e integridad de la información generada fuera de la organización, ya sea que haya sido recibida por teléfono, por correo de voz, como documento en papel, fax o correo electrónico, antes de que se tomen medidas potencialmente críticas.

Autenticidad e Integridad (AC15) Protección de información sensitiva durante

su transmisión y transporte (AC16)


Modelo de Gestión de TI

Documents

Transcript of Modelo de Gestión de TI