Capitulo 2 de Cisa

i
CISA Capitulo 2:
Gobierno y Gestion de Ti
Certified Information
Systems Auditor'
An RCP Certgicat[on
Senior) Una: Generalidades

D e l i n i c i b u
7 0 O b j e t i v o s
7 0
T a r e a s y C o n a c i m i e n t o s R e l a c i o n a d o s .................................................................................
70 Recarsos Sugeridos para Estudios Posteriores 79
Prquatas de Autoevaluaeion............................................................................................................................
80
Respuestas a las preguntas de Autoevaluacion..............................................................................................
81
Seccion Dos: Contenido
2.1 Referencia Rapida...............................................................................................................83

21 Cobierno Corporativo .......................................................................................................84
23 Gobierno de TI de Ia Empresa...........................................................................................84
2.4 Estrategia de Sistemas de inform:16ln 93
2.5 Modelos do madurez y tnejoramiento de procesos.....................................................94
2.6 Practieas de Inversion y Asignacion de TI 95
2.7 Political y procedimientos 95
Capitulo 2—Gobierno y Gestion de Ti Seccian Uno: Generalidades
Cr.j.,, i„,- Cer___Ma! 3.Information
, ,
1.4:Y C1 7 11ri,
ke I W.% Systemstkicitor
2.S Gestion de riesgos 98

2.9 Practices de gestion de sistemas de informaeion 100
2.10 Estructura organizativa y responsabilidades de SI......................................................111
2,11 Auditoria a Ia estructura e implementation del gobierno de TI ................................118
2.12 Planilicacian de continuidad del negocio......................................................................119
2 . 1 3 A u d i t o r i a d o c o n t i n u i d a d d e l
n e g o e i o 1 3 2
2.14 Casos do estudio............................................................................................................. 134
2,15 Respuestas a preguntas de casos de estudia................................................................ 137
Manual de Preparackin of Examen CISA 2015 69

ISACA. Todos Ins derechos reservados
DEFINICION
Seccion Uno:
Generalidades El gobiemo y Ia gestiOn de TI es
una parte integral del gobiemo de
la empresa y esta constituido par el
as_
liderazgo y estructuras y procesos y los objetivos de Ia
organizacionales que garantizan organizacion.
que la T1 de la empresa sostiene y T2.2 Evaluar la estructura
extiende Ia estrategia y los organizacional de TI y la
objetivos de la empresa (adaptado gestion de recursos
de IT Governance Institute, Board hwitanos (personal) para
Briefing On IT Governance, 2" determinar si respaldan
Edicion, USA, 2003). El las estrategias y los
conocimiento del gobiemo de TI es objetivos de la organizacion.
fundamental para el trabajo del T2.3 Evaluar la estrategia de TI,
auditor de Si y forma las bases para incluyendo Ia direccion de
el desarrollo de las practicas y Ti, y los procesos para el
mecanismos de control correctos desarrollo, Ia aprobacion, la
para la supervision y revision de la iinplementaciOn y el
gerencia. mantenirniento de la
estrategia para que este
alineada con las estrategias
OBJETIVOS y los objetivos de la
organizacion.
El objetivo de este dominio es T2.4 Evaluar las politicas, los
garantizar que el candidate a CISA estandares y los
comprende y puede ofrecer garantia procedimientos de TI de la
de que se ban implementado el organizacion y los procesos
liderazgo y las estructuras y los para su desarrollo,
procesos organizacionales aprobaciOn,
necesarios para lograr los objetivos implementacion,
y apoyar la estrategia de In mantenimiento y monitoreo
empresa. a fin de determinar si
respaldan la estrategia de TI
Este dominio represents el 14 y cumplen con los
por ciento del examen C1SA requerirnientos legales y
(aproxintadamente 28 regulatorios.
preguntas). T2.5 Evaluar la adecuacion del
sistema de gestion de la
TAREAS Y CONOCIMIENTOS calidad para determinar si
respalda las estrategias y
RELACIONADOS nos
objetivos de la organizaciOn
TAREAS de forma rentable.
T2.6 Evaluar Ia gestion de TI y
El dominio de gobiemo de TI
el main toreo de controles
contienc 11 tareas:
(por ejemplo, monitoreo
T2.1 Evaluar Ia efectividad de
continuo, aseguratniento
la estructura de gobiemo
de la calidad [QA]) para
de TI para determinar si
determinar si cumplen
las decisiones, las
con las politicas, los
direcciones y el
estandares y los
desempeilo de TI
procedimientos de Ia
respaldan las estrategias
organizacion.
T2,7 Evaluar las practicas de T2.10 Evaluar las practicas de
inversion, use y asignacion monitoreo y
de recursos de T1, aseguramiento para
incluyendo criterios tie dcterminar si el consejo
priorizacian, para de direcciOn y la alta
determinar si estan direccion reciben infant-
alineados con las melon suticiente y
estrategias y los objetivos oportuna sobre el
de Ia organizaciOn. desempefio de T1.
T2.8 Evaluar las estrategias y las T2.11 Evaluar el plan de
politicas de contratacion de continuidad del negocio de
TI y Las practicas de la organizacion para detemt
gestiOn de contratos para Mar la capacidad de la
determinar si respaldan las organizaciOn de continuar
estrategias y los objetivos de con las operaciones
la organiz.aciOn. esenciales del negocio
T2.9 Evaluar las practicas de durante el periodo de una
gestion de riesgos para interrupciOn de TI.
determinar si los riesgos de
la organizaciOn
relacionados con TI se CONOCIMIENTOS RELACIONADOS
gestionan adecuadamente. El candidate a CISA debe
comprender bien cada uno de los
temas a areas delineadas pot los
conocimientos relacionados. Estes
conocimientos son la base del
examen.
Existen 16 conocimientos
relacionados en el dominio que
cubren el gobiemo y Ia gestiOn de
TI:
CR2.1 Conocimiento del gobiemo,
Ia gestion, la seguridad y los
marcos de control de TI, asi
coma los estandares, las
directrices y las practicas
relacionadas
CR2.2 Conocimiento del proposito
de Ia estrategia, las
politicas, los estandares y
los procedimientos de TI
para una organizacion y los
elementos esenciales de
cada uno de ellos
CR2.3 Conocimiento de la
estructura organizacional,
los roles y las
responsabilidades
relacionados con TI practicas para monitorear
CR2.4 Conocimiento de los y reportar ei desempefio
procesos para el desarrollo, de TI (por ejemplo,
la implementaciOn y el cuadros de mando
mantenimiento de la (balanced scorecards),
estrategia, las politicas, los indicadores clave de
estandares y los desemperio [KPI]).
procedimientos de TI CR2.14 Conocimiento de las
CR2.5 Conocimiento de la direccion practicas de gestion de
de la tecnologia y la recursos humanos
arquitectura de TI de Ia (personal) de TI utilizadas
organizacion y sus para invocar el plan de
implicaciones para continuidad del negocio
establecer direcciones CR2.15 Conocirniento del analisis
estrategicas a largo plazo del impacto en el negocio
CR2.6 Conocirniento de leyes, (BIA) relacionado con el plan
regulaciones y estandares de continuidad del negocio
relevantes de Ia industria (BCP)
que afecten a la CR2.16 Conocimiento de los
organizaciOn estandares y procedimientos
CR2.7 Conocimiento de para el desarrollo y el
sistemas de gestion de la manteniiniento del plan de
calidad CR2.8 Conocimiento continuidad del negocio
del use de modelos de madurez (BCP) y metoclos de prueba
CR2.9 Conocimiento de las tecnicas
de optimizaciOn de procesos Relackin de las tareas con los
CR2.10 Conocimiento de las conocimientos relacionados Los
practicas de inversion y asignaciOn enunciados de las tareas retie* lo
de recursos de TI, que se espera que el candidata a
incluyendo criterios de CISA sepa hacer. Los enunciados
priorizacion (por ejemplo: tie conocimientos indican cada una
gestiOn de portafolios, de las areas donde el candidato a
gestion del valor, gestion CISA debe tener una buena
de proyectos) comprension para llevar a cabo las
CR2.11 Conocimiento de procesos tareas. Las relaciones entre las
de seleccion de proveedores tareas y los conocimientos
de TI, gestion de contratos, relacionados se muestran en la
gestion de relaciones y figura 2.1 hasta donde es posible
monitoreo del desemperio, hacerlo. NOtese que aun cuando a
incluyendo relaciones de menudo se presenta ma.s de una
outsourcing de terceros correspondencia, cada tares, por lo
CR2.12 Conocimiento de Ia gestion general, se relaciona con Inas de
de riesgos de Ia empresa un conocimiento.
CR2.13 Conocirniento de las
70 Manual de Preparacion al Examen CISA 2015

I S A C A . To d o s l o s d e r e c h o s r e s e r v a d o s .
natidn Catifiedl
'or' CISA systems ',also Capitulo 2-Gobierno y Gestion de Ti
Seccion Una: Generalidades
Figura 2.1-Mapeo (Mapping) de Tareas y Conocimientos Relacionado

Enunciado de tarea
T2.1 Evaluar la efectividad de Ia estructura de gobierno CR2.1 Conocimiento del gobierno, Ia gestiOn, Ia segu
de TI pare determinar si las decisiones, las asi coma los estandares, las directrices y las pr
direcciones y el desempeiio de TI respaldan las CR2.2 Conocimiento del prop) sito de Ia estrategia, las
estrategias y los objetivos de la organizacion. procedimientos de TI para una organizacion y lo
les uno de ellos
CR2.3 Conocimiento de la estruct
roles y las responsabildades re
T2.2 Evaluar la estructura organizacional de TI y la CR2.1 Conocimiento del gobierno, la gestiOn, Ia segur
la s gestiOn de recursos humanos (personal) para como los estandares, las directrices y las practi
determinar si respaldan las estrategias y los CR2.3 Conocimiento de la estructura organizacional, lo
objetivos de la organizaciOn. relacionados con TI
T2.3 Evaluar la estrategia de TI, incluyendo la CR2.1 Conocimiento del gobierno, Ia gestion, la segur
direcciOn de TI, y los procesos para el desarrollo, como los estandares, las directrices y las practi
Ia aprobaciOn, la implementacidn y el CR2.2 Conocimiento del proposito de Ia estrategia, las
mantenimiento de Ia estrategia pare que este procedimientos de TI pare una organizacion y lo
as alineada con In estrategias y los objetivos de la uno de ellos
organizacion. CR2.4 Conocimiento de los procesos para el
mantenimiento de Ia estrategia, las politicas, los
CR2.5 Conocimiento de la direcciOn de la tecnologia y
y sus implicaciones para establecer direcciones
T24 Evaluar las politicas, los estandares y los CR2.1 Conocimiento del gobierno, Ia gestion, la segur
procedimientos de TI de la organizacion y los procesos coma los estandares, las directrices y las pract
para su desarrollo, aprobaciOn, implementacion, CR2.6 Conocimiento de leyes, regulaciones y estanda
mantenimiento y monitoreo a fin de determiner sl afecten a la organizacidn
respaldan is estrategia de 11 y cumplen con los
requerimientos legales y regulatorios.
12.5 Evaluar Ia adecuacien del sistema de gestiOn de CR2.1 Conocimiento del gobierno, Ia gestien, la segur
la calidad pare determiner si respalda las camp los estandares, las directrices y las practi
estrategias y los objetivos de Ia organizacion de CR2.7 Conocimiento de sistemas de gestion de Ia cali
forma rentable.
12.6 Evaluar Ia gestiOn de Ti y el monitoreo de controles
(par ejemplo, monitoreo continuo, aseguramiento de Ia
calidad [0A]) para determinar si cumplen con las CR2.1 Conocimiento del gobierno, Ia gestion, la segur
polkas, los estandares y los procedimientos coma los estandares, las directrices y las pract
CR2.8 Conocimiento del uso de modelos de madurez
12.7 Evaluar las practices de inversion, uso y , CR2.1 Conocimiento del gobierno, Ia gestien, la se
asignacien de recursos de T1, incluyendo asi como los estandares, las directrices y las pr
criterios de priarizaclan, para determinar si estan CR2.9 Conocimiento de las tecnicas de optimization d
alineados con las estrategias y los objetivos de Ia CR2.10 Conocimiento de las practicas de inversion y as
organizacion. incluyendo criterios de priorizacion (par ejemplo
valor, gestiOn de proyectos)
12.8 Evaluar las estrategias y las politicas de CR2.1 Conocimiento del gobierno, la gestiOn, Ia segur
contratacion de TI y las practices de gest* de como los estandares, las directrices y las practi
contratos para determinar si respaldan las CR2.1 1 Conocimiento de procesos de selecciOn de prov
estrategias y los objetivos de la organizacion. contratos, gestiOn de relaciones y monitoreo
relaciones de outsourcing de lerceros
T2,9 Evaluar las practicas de gestiOn de riesgos para CR2.1 Conocimiento del gobierno, la gestion, la segur
determiner si los riesgos de Ia organizacion asi como los estandares, las directrices y las pr
relacionados con TI se gestionan adecuadamente. CR2.1 2 Conocimiento de Ia gestiOn de riesgos de fa em
12.10 Evaluar las practices de monitoreo y CR2.1 Conocimiento del gobierno, la gestien, Ia segur
aseguramiento para determiner si el consejo de como los estandares, las directrices y las practi
direcciOn y la alta direcciOn reciben informacien CR2.13 Conocimiento de las practices para monitorear y
suficiente y oportuna sobre el desempeno de TI. ejemplo, madras de mando (balanced sc
desempefio [KPI]).
T2.11 Evaluar el plan de continuidad del negocio de la CR2.1 Conocimiento del gobierno, Ia gestion, Ia segur
organizacion pare determiner la capacidad de Ia como los estandares, las directrices y las practi
organizacion de continuer con las operaciones CR2.14 Conocimiento de las practices de gestion de
esenciales del negocio durante el periodo de una utilizadas para invocar el plan de continuidad de
interrupcien de TI. CR2.1 5 Conocimiento del andlisis del impacto en el ne
continuidad del negocio (BCP)
CR2.16 Conocimiento de los estandares y procedimiento
mantenimiento del plan de continuidad del nego
Manual de Preparacicin al Examen CISA 2015

71
ISALCA. Todos los derechos reservados
Seccicin Uno: Generalidades
Capitulo 2—Gobierno y Gestion de TI
LIrSAL.CCRIfIrglun
Gula de Referencia de Conocimientos Relacionados

Cada Lino de los conocimientos relacionados se explica en fund& de los
conceptos subyacentes y Ia relevancia del concept() relacionado para el
auditor de SI. Es esencial que ei candidata al examen entienda los conceptos.
Los conocimicntos relacionados constituyen lo que el auditor de SI debe saber
para llevar a cabo las tareas. Consecuentemente, en esla seccion solo se
detallan los conociinientos relacionados.
Las secciones identificadas en CR2. I -CR2.16 se describcn de lbrma etas detallada

en la seccion dos de este capitula.
CR2.1 Conocimiento del gobierno, la gestion, la seguridad y los

marcos de control de Ti, asi como los estandares, las directrices y las
practicas relaclonadas
Explicacion Conceptos clave Refe
Para proporcionar alas partes interesadas Ia garantia de que los servicios de TI se Entendimiento de los 2.3.1 M
alinean con Ia vision, misian y objetivos del negocio, la alta gerencia debe aplicar un marcos de gobierno
marco de gobierno de TI. Los marcos de gobiemo de TI generalmente incluyen: dell 2.3.4 G
· Alineacion estrategica de los objetivos de TI con los objetivos del negocio
· Entrega de valor de TI
Entendimiento de roles 2.10
· Gest& de riesgos
y responsabilidades
· Administracion de recursos
relacionados con el 2.10.1
· Gest& del desemperio
gobierno de Ti
El marco de gobierno de TI permite a las partes interesadas asegurarse de que la
estrategia de TI, junto con su interpretacien en las actividades, esta completamente Mejores practicas y 2.7.1 P
alineada con el negocio. Esto incluye el rol efectivo de Ia gerencia ejecutiva de come se alinean con el
negocios en Ia creacien, el mantenimiento y la implementacion de Ia estrategia y gobierno de TI
gobierno de TI mediante los comites a nivel de direccion y a nivel ejecutivo. Practicas actuales de 2.9.2 P
Los comites, compuestos de "lideres de negocio". examinaran y aprobaran la sourcing y su impact()
en el gobiemo de Ti
estrategia de TI—junto con sus estandares, procedimientos y directrices Impacto de los 2.11.2
asociadas—con respecto a Ia estrategia, las metas y los objetivos del negocio requerimientos
para asegurarse quo: de gobierno de Ti
· La tecnologia permitira el logro de esos objetivos empresariales a trues en compromisos
de una implementacion oportuna y un desemperio adecuado de las contractuales
instalaciones necesarias.
· Los costos de TI serail minimizados en la provision de dichas instalaciones
para obtener el mejor valor de los recursos de TL
· Los roles y las responsabilidades, dentro de las funciones de TI y del
negocio, estan claramente definidos.
En todo momento, el marco de gobierno considerara los riesgos de negocios
Para mitigarcon
asociados los riesgos,
TI paralas organizaciones
garantizar que losidentifican
riesgos losse controles
tratan deque manera
consideran
adecuada criticos para la buena gest& de la empresa. Cada objetivo de control
y apropiada.
Se deriva del riesgo quo intenta manejar. El conocimiento de varios marcos de
Las organizaciones
control ayuda a identificarsiguen
los varios estandares,
objetivos basados enrequeridos
de control adecuados las mejores parapracticas
generalmente
organizacion. Los marcos de control, tales como COBIT, ISO (Internationallas
aceptadas. Estos estandares son de caracter generic° y
empresas deben
Organization adoptarlos segfin
for Standardization) susse
y otros, necesidades especificas.
usan para guiar Los estandares
a la gerencia para y
directrices de TI internacionales proporcionan abundante informacien
astalecer practices de TI; para monitorear, medir y mejorar el desempeno de dichas de analisis
comparativo
practices: (benchmarking)
y para para practices
ofrecer las mejores el gobierno de TI y facilitan
especificas que puedanun enfoque
adaptarseuniforme
a
de las practicas de gobierno de Ti sobre una base global.
las necesidades particulares del negocio. Estes marcos apoyan los procesos de
gobierno de 1-1 en
El conocimiento deunalos organized&
estandares yyson importentesinternacionales
las directrices repositories dede practices
TI de
gobierno de TI.
proporciona unaEl referencia
conocimiento de diferentes
disponible para elmarcos
auditordedecontrol
SI conayuda
el fin al
deauditor
evaluarde
SI a hacer analisis comparativo (benchmarking)
las iniciativas de gobierno de TI y is posician de
actuallos controles identificados por la
72
organization,
Manual dedePreparachin
las organizaciones. al Examen CISA 2015
ISACA. Todos los derechos reservados.
El conocimiento y entendimiento de estos marcos de control y su importancia para el
Section
gobierno de TI son esenciales para impulsar Una: Generalidades
Ia eficiencia y la efectividad en los Capitu
esfuerzos del gobierno de TI.
Cuando se hap implemented°, los marcos de control permiten a una organization dell
monitorear y medir el desempeno con respecto alas estrategias, political y practices
de TI al definir controles especificos, procedimientos y las mejores practices que se
C pueden
R 2 . 1 Cutilizer
o n o ceni reln gobierno
i e n t o ddeeTI.
l gLos
o bmarcos
i e r n oproporcionan
, l a g e s t ilaoestructura
n , l a s necesaria
eguridad y los marcos
para implementer politicas de gestiOn del desempeno clue, gestiOn
de control de TI, asI como los estandares, las directrices y las practicas de cumplimiento
r eylgestiOn
a c i o n de
a drecursos
a s ( c ode n tTI.
. ) Debido a la general aoeptaci6n de estos marcos,
tamblen son utilizados para medir el desempeno de los proveedores slave de
servicios de TI, proveedores y sodas Explication
externos. El examen CISA evaluara el Conceptos slave Referencia
entendimiento que tiene el auditor de SI de los marcos y como estospueden utilizarse a
pare garantizar la seguridad, integridad y disponibilidad de lainformacibn y su
procesamiento.
Propesito de los marcos de control y Dirndl se utilizan en Ia gestiOn de desempelio y recursos en una organized& d
2.3 Gobierno de Ia Ti de Ia empresa 2.9.7 Optimization del rendimiento
CR2.2 Conocimiento del proposito de la estrategia, las politicas,

los estandares y los procedimientos de Ti para una organizacion
y los elementos esenciales de calla uno de ellos
ExplicaciOn Conceptos slave Refere
a
Para que seen efectivos. los esfuerzos de gobierno de TI requieren de Controles de gestiOn 2.3 G
un marco formal. Las organizaciones desarrollan soluciones de TI para sabre las decisiones, 2.3.1 M
automatizar los procesos para lograr las metes y los objetivos, En direction y desempeno d
consecuencia, el loco de la implantation de TI debe ser consistente con de TI
la estrategia y los objetivos del negocio. Las organizaciones deben
definir las estrategias, politicas, estandares y procedimientos operativos
73
Naturaleza y propOsito 2.4 E
de las estrategias de TI I
Manual de Preparacicin al Examen CISA 2015 ISACA. Todos los derechos

reservados
Capitulo 2—Gobierno y Gesticin de TI Section Gene
An INAGY CAninnlar
CR2.3 Conocimiento de la estructura organizacional, los roles y
responsabilidades reIacionados con TI

Explication Conceptos clan Refer
Las empresas deben definir claramente la estructura organizacional para Entendimiento de los 2.3.2 C
demostrar cOmo son capaces de lograr Ia prestacion de servicios, roles relatives de cada 2.3
seguridad, gest& de riesgos y calidad de information adecuadas que Ia nivel de Ia estructura de
organizacien requiere. organizacional en el 2.9.3 G
gobierno de TI
La definicion de la estructura organizacional puede requerir la descripcian 2.10
y documented& de las responsabilidades de las funciones principales pare
garantizar la segregation de funciones adecuadas y para identificar guien 2.10.1
en Ia organized& usa y gestiona varias informaciones y recursos. El
auditor de SI debe comprender claramente la estructura organizacional y
los roles y responsabilidades del personal en todos los niveles dentro de
Ia estructura gerencia! de TI, asi como en otras areas de Ia organizacien
donde puedan existir responsabilidades o funciones relacionadas con II
(par ejernplo, propietarics de dates y sistemas), de rnanera que los
requerimientos de cada persona responsable seen transparentes.
CR2.4 Conocimiento de los procesos para el desarrollo, la

implementaciOn y el mantenimiento de la estrategia, las Conceptos clue
politicos, los estandares y los procedimientos de Ti
Explication Referencia en el Manual de Preparacitin
al Examen CISA 2015
La alta direction debe definir un proceso para desarrollar las estrategias de
TI due logren los objetivos del negocio. Las estrategias de TI deben basarse
plenamente en los objetivos definidos del negocio.
El exit° de Ins esfuerzos de gobierno de TI de una organizacien depende de
la calidad de los procesos de gobierno que se relacionan con el desarrollo y
la implemented& de estrategias, politicas, estanderes y procedimientos de
TI. La estrategia dell se debe someter a una revisiOn peribdica pare
asegurar que continue siendo apropiada para atender las necesidades y
riesgos del negocio, tante emergentes come en desarrollo. Un gobierno
(governance) adecuado requiere que todas esas modificaciones seen
consideradas y aprobadas par Ia gerencia ejecutiva del negocio. Las
organizaciones de TI usan practices gerenciales especificas para utilizer y
proteger sus recursos de informaci6n. Estes practices Forman parte del
programa de gobierno de Ti y el auditor de Si debe entenderfo.
CR2.5 Conocimiento de la direccion de la tecnologia y la arquitectura

de Ti de la organizaciOn y sus implicaciones para establecer
direcciones estrategicas a Conceptos clave Referenda en el Manual de Preparacion
largo plazo al Examen CISA 2015
74
Manual de Preparacicin al Examen CISA 2015

2.4.1 Factores que

Planificacion estrategica
contribuyen al desarrollo
y Ia implementacien de
una estrategia de TI
La arquitectura corporative acf0a como un facilitador para los esfuerzos de
Factores que contribuyen
gobiemo de Ti en Ia vinculadiOn de los objetivos de Ti y de los objetivos de2.3.4 Gobierno de la seguridad de la
a un efectivo gobierno y
information
negocio. La arquitectura corporative se hate alas compleja debido a Ia
2.9.6 gerencia
Gest& de Ia seguridad
de seguridad de la
disponibilidad de varias soluciones para apoyar los procesos de negodios. Al
de Ia informed&
definir la arquitectura corporative, una organized& debe tomer en considered& las informaciOn
estrategias de TI, los planes de crecimiento del negocio y Ia disponibilidad de TI
Alineacion de politicas
pare alcanzar los objetivos de vested& de servicios. Los activos de Ti deben
con is arquitectura
gestionarse adecuadamente para lograr estos objetivos. Basados en los objetivos
corporative y su relation
de Ia empresa, hay varies modelos de arquitectura de TI que pueden utilizarse.
con el gobierno de TI
El auditor de SI debe ester consciente de que fa entrada crave para determiner
la direcc& estrategica de largo plaza de una organized& de Ti es la revision, el
analisis y Ia evaluaciiin de su arquitectura de TI. La revision, el analisis y la Importancia de los
evaluacion pueden tomer la forma de un mapa de ruta e ilustrar los estados diferentos elementos de
actuates y futures. La revisiOn de Is arquitectura de TI de la empresa y su use la arquitectura de la
Explicaciem
puede ayudar a determiner si la gerencia sigue su estrategia de TI y si esa empresa y su irnpacto
estrategia necesita adaptarse a los cambios de las necesidades del negocio. en el2.3.5
gobierno de TI 2.7.1
arquitectura Politicas
corporative
n
WM rrnatkin
CISA systernsAuditer . Seccidn Uno: Generalidades Capitulo 2—
13 .W.L . Gerirrinon
Explicacion Referencia en el Manual de Preparacifin

Conceptos slave
al Examen CISA 2015
La naturaleza compleja de TI y Ia conectividad global 2,9.2 Practices
introducers de sourcing
varlos Impacto de los
2.10.2 SegregaciOn
riesgos pare Ia inforrnaciOn que las organizacicnes recoiectan, de funciones dentro
almacenan,requerimientos
procesan y distribuyen, Con el fin de proteger los intereses dedelasSIpartes legislativos en las
interesadas, se han promulgado varies requerimientos 2,10.3
legalesControles de practicas
segregacian
y regulatorios. de
de sourcing y
Los requenmientos principales de cumplimiento que se consideran funciones en la segregacion de
globalmente reconocidos incruyen Ia proteccirin de is2.11privacidadAuditoria
y la a lafunciones
estructura a
ponlidencialidad de los dates personaies, los derechos de propiedadiniplementaciOn del gobierno de
TI 2.11.1
intelectual y Ia confiabilidad de la informacidn tinancrera. Adennas„Revisidn
hay de documentacidn
2.11.2 Revisidn
algunos requerimientos de cumplimiento quo son especificos de compromisos
de la Industrie.
contractuales
Los requerimientos legislativos y regulatorlos relacionados con el acceso
yuso de los recursos, sistemas y dates de TI deben revisarse para evaluar
si La organizacion de Ti protege los activos de TI y gestiona de rnanera
elective el riesgo asociado, Para el examen CISA, el auditor de SI detie
ester consciente de estos conceptos reconocidos globatmente; sin
IN
embargo, no se evaluara el conocimiento de regulaciones y Iegislaciones
especificas,
CR2.6 Conocimiento de !eyes, regulaciones y este" nderes refevantes de la

Industrie que afecten a la organizacion
CR2.7 Conocimiento de slstemas de &satin de la calidad
Expllcaolon Conceptos slav
La efectividad y eflciencia de los estuerzos de gobierno de Ti en Ia Comprension de
organized& dependen de las estrategias de gest& de calidad y de las tecnicas de gestidn p
politicas quo se integran en el marco de gobierno de TI. mejorar continuamen
desempeno de TI
La olaservancia de los procesos y tecnicas gerenciales de procesos
Conocimiento de
coffespondientes se relaciona con Ia efectividad y Ia eficiencia de Ia
estandares de calidad
organized& de SI. Las estrategias y las politicas de gestian de Ia calidad
describen cOrno se mantienen, utilizan y mejoran con el tiempo las
estrategias de TI, las politicas, los procedirnientos y los estandares a
maids que Ia organizaciiin cambia. Las politicas, los procedimientos y les
estandares de Ti son efectivos cuando se usan y cuando cumplen las
necesidades y los requerimientos de Ia organizacien. El proposito de las
estrategias de gestiOn de Ia calidad es facilitar y promover Ia calidad de
las politicas y procedimientos de TI basados en una variedad de marcos
estandar. El use de estandares de calidad dentro de una organizacion de
SI garantiza La operabilidad de Ia organizacidn de Ti.
CR2.8 Conocimiento del use de modelos de madurez
Explication Conceptos slave
Los modelos de rnadurez y de mejcra de procesos ayudan a las ernpresas Practices actuales 2.5 Mo
a evaluar el estado actual de su entorno de controles internos en pare medir el estado pr
cornparacion con el estado deseado y ayudan a identificar actividades para de madurez de Ia
avanzar hacia el estado deseado. Eats evaluaciOn es importante para el organizaciOn
auditor de SI porgue los resultados ilustran a Ia direccion ejecutiva la Impacto de las practices 2.9.2 Pract
efectividad, el cumplimiento y Ia relevancia de sus procedimientos, de sourcing en el estado
herramientas y procesos de TI coma soporte de alineacion con las de madurez actual y en
necesidades del negocio. Esta evaluaciOn Iambi& puede usarse pare el estado de madurez
revisal' las practices de gestiOn dentro de Ti pare determinar el deseado
cumplimiento con las estrategias y politicas organizacionales de TI.
Rol de is gerencia de 2.9.5 Gesti
calidad en Ia reduccion
de Ia brecha entre el
estado actual y el
estado deseado
Manual d e Preparacion of Examen CM 2015
ISACA. Todos los derechos reservados
75
Capitulo 2—Gobierno y Gestion de Ti
Seccion Una: Generalidades CISAertsie1insied inokuilu'amal=
Explicacien Conceptos clave Referenda en el Manual de Preparacion

al Examen CISA 2015
Las tecnicas de optimizaciOn de procesos Practices
ayudan a actuales en a
las empresas 2.9.7 Optimized& del desempeno
eliminar actividades innecesarias, lo que conlleva
la optimizaciOn
un increment°
de de las
eficiencias y un use adecuado de los recursos. procesos
La optimizacion de
procesos requiere evaluar el estado actual del entorno en comparacian
con un diselio Optima y luego identificar las actividades que pueden
eliminarse pare realizar Ia trigracian al estado deseado.
CR2.9 Conocimiento de las tecnicas de optimizaciOn de procesos
CR2.10 Conocimiento de las practicas de inversion y asignacion

de recursos de Ti, incluyendo
Conceptos clave Referencia en el Manual de
criterios de priorizackin (por Preparacion al Examen CISA
ejemplo: gestion de portafollos, 2015 de inversion y asignacik
Conciencia de practices 2.6 Practices
gestion del valor, gestion de actuales en inversiones de recursos de TI
proyectos) y asignacion de
Explicacion recursos de 11
Las organizaciones irnpfentan
Rol de las practices de 2.9.4 Practices de gestiOn financiera
recursos de TI pare garentizar la
prestaciOn y el valor de los gestion financiera en Ia
servicios y evalUen Ia prestacien y gestion de portafolios
el valor de los servicios en relaciOn de 11
con la inversion en TI. El
conocimiento de las practices de
inversion y asignacion de recursos
de 11 es esencial pore justificar la
inversion en el gobierno de TI a las
partes interesadas. Los metodos de
asignaciOn de recursos para les
inversiones de TI permiten un enfoque predecible y cotterente para autorizar rondos
para las iniciativas de TI que demuestren la generaciOn de beneficios tangibles para la
organizacion. Se ejecutan practices especificas para evaluar las iniciativas de TI, tales
comp analisis de castosibeneficios y el consumo de recursos planificados y
pronosticados, para garantizar que la gerencia financia proyectos a iniciativas que
respondan a las necesidades de la organizacion. Los costes y beneficios deben
revisarse perindicamente durante Ia ejecucien de dichas iniciativas.
CR2.21 Conocimiento de procesos de seteccion proveedores de Ti,
gestion de contratos, gestion de r 4aciones y monitoreo del
desemperio, incluyendo relaciones de outsourcing de terceros
ExplIcacion Conceptos clave Refe
Con Ia tendencia creciente del outsourcing de la infraestructura de TI a Impacto de las practices 2.9.2 P
proveedores de servicios externos. es esencial conocer los Oltirrics de sourcing en el
enfoques en estrategias de contratacion, procesos y practices de gestiOn gobierno de TI
de contratos. El outsourcing de TI (y las soluoiones relacionadas, tales 2.10.1
Relacion entre gestion
como gestion de procesos y gestiOn de infraestructuras) puede ayudar a
de proveedores y el
reducir los costos yio complementer una experiencia propia de la
gobierno dell de la
empresa. Sin embargo, el outsourcing tambien puede introducir riesgos
entidad de outsourcing
adicionales. Por consiguiente, es esencial que el auditor de SI comprenda
los enfoques mes salidos de estrategias de contrataciOn, procesos y Terminos contractuales 2.11.2
practices de gestion de contratos, tales como que conceptos criticos se y su impacto en el
deben incluir en on contrato de externalizaciiin (outsourcing) y los manejo del gobierno de
reguerimientos del caso de negocio. TI de Ia entidad de
outsourcing
76 Manual de Preparacicin al Examen CISA 2015

ISACA. Todos los derechos reservados_
Seccion Uno: Generalidades Capitulo 2—Gobierno y Gestic:in de TI
CCertifedtritorrnation CISA
tritSyst
,
t.rnemsAuditor'
CR2.12 Conocimiento de la gestion de riesgos de la

empresa
Explicacidn Conceptos cla
La supervision de los riesgos del negocio relacionados con Ti de Ia 2.8 Proceso
Gest&de de
gestion de
riesgos
empresa es esencial para legrar un gobierno efectivo. 2 8 riesgos
1 Desarrollo
y aplicacion
de endeprograma de
A su vez, el conocimlento de las metodologias y herramientas de gestion de varies metodos
gestion de de
riesgos
riesgos es esencial para evaluar y mitigar les riesgos de negocio de Ia 2.8.2 analisis de riesgos
Proceso de gestion de riesgos de
El progreso de la erganizacidn junto con la ruts de gobierno de TI deben Componentes
organizacian relacionados con Ti. 2.8.3 Metodos de analisisdedeTiriesgos
tnedirse y menitorearse a times de herramientas efectivas, tales como los y su import
cuadros de mando (balanced scorecards, BSC) y los indicadores clave de para el gobierno
Las empresas pueden seguir diferentes modeles de gestiOn de riesgos
desempeno (KPI). Los BSC y KPI traducen las expectativas del gobierno de
para gestionar los riesgos. El auditor de SI debe estar consciente de los Ito de KPIs en el
TI en terminos quo el dueno del proceso pueda entender. Los resultados
conceptos relacionados con la gestion de riesgos, tales como marieje de la
revelan las capacidades de is organizacien de TI para alcanzar sus
identificacien. evaluacidn de valoraciones, respuesta, monitoreo y gobierno optimizacren del
objetivos y pueden usarse para determinar si es necesarto realizar cambios
de riesgos, etc. tin CISA debe conocer las tecnicas de respuesta ante el desempeno para u
en la estrategia de TI a largo plazo mientras due la organizacion de TI se
riesgo come evitar, tratar, transferiricompartir y aceptar. gobierno de TI ele
esfuerza por satisfacer las necesidades de la empresa.
El auditor de SI tambien debe saber quo los controles se identifican,
disenan e implementan basandose en un analisis de costo-beneficie
donde los beneficios derivan de Ia mitigacion de riesgos.
Explicacion Conceptos slave
Un au
se en-
flues
Los p
Manual de Preparacian al Examen CISA 2015 ,
Capitulo 2—Gobierno 77 y Gestion de Ti Session Uno: Generalidade CISAindivi
s
Zsttm
ISACA. Todos los derechos reservados Indus
ubica
y la n
en lo
gloID
CR2.14 Conocimiento de las praroticas de gestion de recursos humanos (personal) deE laTI ut
plan de continuidad del negocio rec
recut
Referencia en el Manual de PreparaciOn al Examen CISA 2015 plane
la or
a
El aliment° de Ia automatizacion de los procesos de negocios crea rotes en Rol de los procesos y las
la gestiOn optima de recursos humans (RR.HH.) asi coma en el tratamiento politicas de RR.HH. en el
de las deficiencies de control que se crean cuando los roles de trabajo se gobiemo de TI Un a
combinan mediante la autornatizacien de tareas. La evaluacidi del R CP/
desemperio, los planes de compensacian y el plan de slices& son GestiOn de RR.HH, y su el B(
importantes. El auditor de SI debe entender la necesidad de una buena capacidad de respuesta perk
gestion de recursos humanos con respecto a TI, particularmente la a las necesidades de
necesidad de eliminar los riesgos innecesarios a trays de lo siguiente: cambia de la
"leo
verificacian de las calificaciones, historial y referencias de los solicitantes: organizaciOn de TI
verificacian de las destrezas necesarias requeridas pare lograr los objetivos Comprensian de asuntos prUE
de TI, incluyendo los requisites de capaeitacien; y reconocimiento de la de RR.HH, y asignacidn grat
necesidad potencial de un despido inmediato del empleado en lugar de de responsabilidades quo a Ia
permitir un "period° de preaviso". se relacionan con el
obje
desarrollo y la ejecucion
mej
Un auditor de SI debe evaluar carno se integran en una empresa la de planes
de I;
respuesta a emergencies, Ia respuesta a incidentes y los procedimientos de
BCP. Es necesario analizar y evaluar fa gestiOn de RR.HH. y los per:
requerimientos relacionados con RCP, asi coma entender dm° se rnanejan
los eventos y cam° se mantienen las camunicaciones. El auditor de SI debe
ser consciente de las practicas que se siguen pare proteger al personal, RE(
incluyendo Ia asignacidn de responsabilidades y Ia secuencia de esfuerzos
quo se deben hacer en case de desastre. La relacionado con Ia seguridad
del personal, come los procedimientos de evacuation del edificio, no es de Bur
competencia del auditor de Ti. pero este debe compeer el rol del personal
Tool
de RR.HH. en la recuperacian siguiente a una interrupcion. La
responsabilidad de RR.HH. en la salud y seguridad de las personas
continuara y puede toner enfasis adicional, dependiendo de la naturaleza Cra
del incidente. Es bastante probable quo para el proceso de recuperacion se Bu.c
necesite personal temporal adicional, que tendra contactos con agencias
externas. Del mismo mode, se puede necesilar transporte para trasladar a Hilc
los empleados del lugar de trabajo normal al sitio de recuperacian, y es Mai
posible que RR.HH. deba hacer estos arreglos. El auditor de Si tambien
debe ser consciente de que, en on memento en que se espera que los ISA
individuos dediquen el 100 per ciento de sus esfuerzos al proceso de
recuperacian, el estres post-traumatico puede ser un factor quo reduzca su ISA
capacidad de cancentrarse en los esfuerzos para recuperarse. Sera
necesario que RR.HH. se ocupe de la tarea de manejar el estres
procurando que se proporcione asesoria y garantizando que ningtin aspecto ISC
personal innecesario pueda afectar Ia recuperackin, tales comp Tec.
5 preocupaciones sabre salario u otros pages.
os. IT !
2.9.1 GestiOn de Recursos Humanos
2.9.3 GestiOn de cambios
organizacionales
2.12.7 Desarrollo de planes de continuidad
del negocio
2.12.8 Otros problemas en el desarrollo de
los planes
2.13.5 EvaluaciOn de seguridad en
instalaciones externas
4.7.5 Organlzacian y asignacidn de
responsabilidades
CR2.15 Conocimiento del analisis del impacto en el negocio (BIA)

relacionado con el plan de continuidad del negocio (BCP)
Explicacion BIA yl3CP alineados. Para que un
Un auditor de SI debe poder determiner si un estan bien BOP sea efectivo y
eficiente. debe basarse en un BIA bien Conceptos Referencia en el Manual de Preparacion
documentado. Un BIA guia el objetivo de los slave al Examen CISA 2015
esfuerzos del BCP de una organizacion y
ayuda a equilibrar los costos en los que se Cam prension
incurrira con los beneficios correspondientes del BIA coma
para Ia organizacion. Es esencial que el impulsor slave
auditor de SI tenga una buena comprensiiin del proceso
del concepto de BIA para poder auditar Ia de BCP/DRP
efectividad y Ia eficlencia de on BCP. (plan de
recuperacian
de desastres)
2.12.6 Analisis de impacto en el negocio

1SACA. Todos los derechos roservados.
M
CI SA slt rs i Seccicin Uno: Generalidades C
in 11.14 , r-4 - MS10T
CR2.16 Conocimiento de
los estandares y
procedimientos para el
desarrollo y el
2.12.1 PlanificacionComprensian del del
mantenlmlento del plan
de continuidad
de continuidad del ciclo
negocio de SI de vide del
negoclo (BCP) y 2.12.3 Proceso de plan de desarrollo
planificacian de y
metodos de prueba continuidadmantenimiento
del negocio del BCP/
DRP
2.12.4 Politica de continuidad del negocio
Explication Conceptos slave R
2.12.5 Gest& de incidentes en la
planificacion de Ia continuidad del
negocio
2.12.7 Desarrollo de planes de continuidad
del negocio
2.12,8 Otros problemas en el desarrollo de
los planes
2.12.9 Componentes de un plan de
continuidad del negocio
2.12.10 Pruebas del plan
2.12.11 Resumen de continuidad del negocio
2.12.10 Pruebas delComprensian
plan de mos
2.13 Auditoria a tipos de pruebasdel
la continuidad denegocio
BCP,
los factores que se deben
considerar cuando se
determine el alcance
apropiado de Ia prueba,
los metodos pare
observer las pruebas
Ramos, Michael J.; Now to Comply With 5'arbanes-Oxley de
Section
recuperacion
404. 3'" Edickin, John Wiley & Sons Inc., USA.. 2008 y analizar
los resultados de las
pruebas and
Raval, Vasant; Ashok Fichadia; Risks, Controls,
Security: Concepts and Applications, John Wiley & Sons,
USA, 2007, Capitulo 6: System Availability and Business
Continuity
Sherwood, John; Andrew Clark; David Lynas; Enterprise Security

Architecture: A Business-Mimi Approach, UK, 2008,
Tarantino, Anthony; Manager's Guide to Compliance: Sarbanes-

Oxley COS°. ERM. COBIT. /FRS, BASEL II, OMB's A-123, ASX
10, OECD Principles, Turnbull Guidance, Best Practices, and
Case Studies, John Wiley & Sons Inc., USA, 2006
Un auditor de SI debe ser muy versed° en las practices y tecnicas que se emplean pare el desarrollo y mantenimiento de
coordinar planes de re-cuperaciOn en toda la organizaciOn. Los planes se deben disdar a Ia medida pare ajustarse a las
organizaciones, debido a que las diferencias en la industria, asi como el tamaiio y alcance de una organizaciOn, e inclus
contenido de los planes. El tannaiio y la naturaleza de las instalaciones seleccionadas para recuperacion, en lo que resp
sustancialmeete del riesgo global asociado con una interruption. En esencla, cuanto mas rapida sea la recuperacion requ
tiempo de recuperacion (RIO), mayor sera el costo potencial. Una vez establecidos los planes de recuperaciOn se deben
organizacion y los riesgos asociados.
Un auditor de SI debe conocer los enfoques y metodos de prueba pare BCP/DPP pare evaluar is efectividad de los planes
funcionara en el caso de un desastre, es importante prober periOdic-amente el BCP/DRP, y garantizar que el esfuerzo de
observer pruebas; asegurar que las lecciones aprendidas" se registren y reflejen apropiadamente en un plan revised°, y re
informacik sabre las pruebas anteriores. Los elementos slave quo se deben buscar incluyen el grado en el cual Ia prueba u
previas a la planificaciOn quo no esiarian disponibles durante un desastre real. El objetivo de una prueba deberia ser ident
lugar de tener una prueba perfecta. Otro aspecto importante de las pruebas de BCP/DRP es proporcionar capacitaciOn a
participar en el proceso de recuperaciOn.
RECURSOS SUGERIDOS PARA ESTUDIOS POSTERIORES

Bullies, Jim; Principles and Practice of Business Continuity: Tools and
Techniques, Rothstein Associates Inc., USA, 2007
Graliam„lulia; David Kaye; A Risk Management Approach to Business Continuity,

Rothstein Associates Inc., USA, 2006
Blies, Andrew; The Definitive Handbook of Business Conthudo, %lawmen!, 3r°

Edition, John Wiley & Sons Inc., USA, 2011
ISACA, COBIT 4.1, USA, 2007, www.isaca.org/cobit ISACA, COB1T 5, USA,
2012, www.isaca.orgicobit
•
ISO, ISO/IEC 38500:2008 Corporate Governance qf Wormation
Technology, Suiza, 2008.
IT Governance Institute, Board Briefing on IT Governance, 2Edicion, USA, 2003
11 Nova:
Las publicaciones que aparecen en negritas estan disponibles en la Libreria tie
ISACA.
Capitulo 2— Gobierno y Gestion En algunas ocasiones, se puedc incluir

de Ti algan escenario o description de tin
problema. Estas preguntas nonnalmente
incluyen Ia description de una situation y
requieren que el candidato responda dos o
mas preguntas basandose en la infonnacion
suministrada. Muchas veces, una pregunta
PREGUNTAS DE requiere que el candidato elija Ia respuesta
AUTOEVALUACION apropiada que sea Ia MAS probable o Ia
MEJOR entre las opciones stuninistradas.
Las preguntas de autoevaluacion de CISA
complemental el contenido de este manual En cada caso, el candidato debe leer la
y proporcionan comprensien sobre el tipo y pregunta cuidadosamente, eliminar las
la estructura de las preguntas que respuestas que scan claramente
nonnalmente han aparecido en el examen. incorrectas y luego hater Ia mejor
Las preguntas estan escritas en Lill fonnato elecciOn posible. Conocer el formato en
de seleecion multiple y estan disetiadas que se presentan las preguntas y como
para elegir la mejor respuesta. Cada estudiar para obtener el conocimiento de
pregunta tiene el format() de planteamiento lo que se va a probar sera de gran ayuda
de un problema (pregunta) y cuatro para responder las preguntas
opciones (opciones de respuesta). El correctamente,
problema se puede fonnular como una
pregunta o como tin enunciado incompleto.
2-1 Para que Ia gerencia pueda monitorear
t5
de forma efectiva el Secchin Lino: Generalidades C
eumplim iento de los procesos y ISA S Certified Muni
ystems eauat*
las aplicaciones, i,cual de las
siguientes opciones seria Ia
MAS adecuada?
A. Un repositorio de documentos
2-4 e,La responsabilidad MAS
central
B. Un sistema de gestion de
iinportante de un oficial de
conocim lentos seguridad en una
C. Un Tablero de mandos organizaciOn es:
D. Benchmarking
A. recomendar y monitorear
las politicas de seguridad de
los datos.
B. promover la conciencia
sobre la seguridad dentro de
Ia organization.
C. establecer
procedimientos para
las politicas de
seguridad de TI.
D. administrar los controles de
acceso tisico y lOgico.
1
-5 igual de los siguientes elementos
se considera MAS critic para
una implementation satisfactoria
de un programa de seguridad de
la in fonnacion (SI)?
A. Un marco de gestiOn de
riesgos emprcsariales
(ERM) efeetivo
B. Compromiso de la alta
direction
C. Un proceso de creation de
presupuestos adecuado
D. Una planificacion
meticulosa de programas
2-6 Un auditor de SI debe

asegurar que las
medidas de desempaio estrategicos de TI
del gobiemo de TI: C. acaten los
estandares y
A. evalCien las actividades definiciones de
de los comites de reporte regulatorio
supervision de TI D. evalften el departamento de
B. provean impulsadores TI
2-2 i,Cual de los siguientes de T1 debe reconocer las

elementos estaria incluido en mesas organizacionales, los
un plan estrategico de Si? adelantos tecnolOgieos y los
requerimientos regulatorios.
A. Especificaciones para D. La planificaciOn de corto
compras planeadas de alcance para el departamento
hardware. de TI no necesita estar
B. Analisis de los objetivos integrada en los planes de
futuros del negocio. corto alcance de la
C. Fechas objetivo para los organizaciOn, ya que los
proyectos de desarrollo. adelantos tecnolOgicos
D, Objetivos anuales de impulsaran los planes del
presupuesto para el departatnento de TI much°
departamento de SI. mils rapido que los planes
organizacionales.
2-3 i,Cual de los enunciados siguientes

describe MEJOR
el proceso de planificacion
estrategica de un departamento de
TI?
A. El departamento de TI
tendril planes de corto alcance
o de largo alcance
dependiendo de los planes y
objetivos mils amplios de la
organizacion,
B. El plan estrategieo del
departamento de TI debe estar
orientado al tiempo y al
proyecto, pero no tan detallado
como para tratar y ayudar en la
determinaciOn de prioridades
para satisfacer las necesidades
de negocio.
C. La planiticaciOn de largo
alcance para el departamento
2-7 i,Cual de las siguientes tareas A. AprobaeiOn de las actividades
pueden ser ejecutadas por la de DBA.
misma persona en un centro in B. Segregacion de funciones.
formatico de procesainientc de C. Revisit-5n de registros de
informacian bien controlado? acceso y actividades.
D. RevisiOn del use de las
A. Administration de seguridad herramientas de la base de data
y gestion de cambios.
B. Operaciones infonnaticas y
desarrollo de sistemas. 2-9 Cuando una segregation de
C. Desarrollo de sistemas y funciones completa no puede
gestion de cambios. lograrse en un entomo de
D. Desarrollo de sistemas y sistema en linen, i,eual de las
mantenimiento de sistemas. siguientes funciones debe ser
separada de las dernas?
2-8 i,Cual de los siguientes es el A.OriginaciOn

control NI AS critico sobre la B.Autorizacion
administraciOn de una base de C.Registro
datos? LX Correccian
80 Manual de Preparation al Examen CISA 2015

ISACA. Todos los derechos reservado5
CISA Section Lino: 2-1 C Un tablcro de mandos
rl
proporciona un conjunto
de informacion para
Certifiedsyst Information ilustrar el eumplimiento
de los procesos, las
Generalidades aplicaciones y los
elementos configurables y
mantiene a la empresa en
curso. Un repositorio de
documentos central
2-10 En una organization pequena, en proporciona muchos
la que la segregation de datos, pero no
responsabilidades no es practica, necesariamente la
un empleado desempelia information especifica que
funciones de operador de seria de utilidad para el
computadoras y de programador monitorco y el
de aplicacinnes. LCual de los cumplimiento.Un sisterna
siguientes controles debe de gestion de
recomendar el auditor de SI? conocimientos
proporciona informaciOn
A. Registro automatic° valiosa, pero
de cambios a las generalmente no es
bibliotecas de desarrollo. utilizado por Ia gerencia
B. Personal para analizar el
adicional para proveer eumplimiento,Uli
la segregacion de benchmarking
funciones.
proporciona information
C. Proccdimientos que
para ayudar a Ia gerencia
verifiquen que solo los
cambios de programa a adaptar la organizaciOn,
aprobados estan de forma oportuna, de
implementados. acuerdo con las
D. Controles de acceso tendencias y el entomo.
para impedir que el
operador haga 2-2 B Los planes estrategicos de SI
modificaciones a los deben resolver las
programas. necesidades del negocio
y eumplir los objetivos
RESPUESTAS A LAS futuros del negocio. Las
compras de hardware
PREGUNTAS DE pueden esbozarse pero
AUTOEVALUACON no ser especificadas y ni
los objetivos del Capitulo 2— Gobierno y Gesticin
presupuesto ni los de TI
proyectos de desarrollo
son altemativas de
elecciOn relevantes. Las
opciones A, C y D no
son puntos estrategicos. 2-4 A La responsabilidad
principal de un oficial de
2-3 C La planificaciOn a largo seguridad de la
plazo para el departamento informacion es
de TI debe reconocer las recomendar y monitorear
metas organizacionales, los las politicas de seguridad
adelantos tecnologicos y de la infbrmacion.
los requisites regulatorios. Promover la conciencia de
Tipicamente, el seguridad dentro de la
departamento de TI tendra organizaciOn es tuna de
tanto los planes de largo y las responsabilidades de
de corto plazo que sean un oficial de seguridad de
consistentes y que esten datos. Pero, no es tan
integrados con los planes importante como
de la organization. Estos recomendar y monitorear
planes deben estar las politicas de seguridad
orientados al tiempo y al de la information. El
proyecto, asi como departamento de TI, no el
tambien tratar los planes oficial de seguridad de
mas amplios de Ia datos, es responsable de
organization para alcanzar establecer procedimientos
las metas de esta. para las politicas de
seguridad de Ti
recomendadas por el
oficial de seguridad de la
inforrnacion y de la
administracion de los
controles de awes() fisico
y lOgico.
2-5 B El compromiso de la alta

direction proporciona la
base para lograr el exito en
la implementacion de un
programa de seguridad de la
informaciOn. Un marco de
ERM efectivo no es un
factor slave para el exit° de el ambiente de desarrollo,
un programa de Si. Si bien pero no se le debe permitir
un proceso de creacion de el acceso en el ambience
presupuestos de TI efectivo de production. La opciOn
contribuira al exit°, el A no es correcta porque
compromiso de la alta los roles de
direecion es el ingrediente administraciOn de
slave. La planificacian de seguridad y de gestion de
programs es importante, cambio son funciones
pero no sera suficiente sin incompatibles. El nivel de
el compromiso de la alta derechos de acceso de
direccion. administration de
seguridad podria permitir
2-6 A La evaluacian de las que los cambios pasen sin
actividades de las juntas y comites ser detectados. Las
que proveen supervision es operaciones informaticas y
un aspecto importante del el desarrollo de sistemas
gobierno y debe ser (opcion B) son
medido. Las opciones B, C incompatibles pues seria
y son todas irrelevantes posible que an operador
para la evaluaciOn de ejecute un programa que el
medidas de desetnpeiio del mismo haya modificado.
gobiemo de TI. La option C es incorrecta
porque la combination de
2-7 D Es comtin que el desarrollo desarrollo de sistemas y
y et mantenimiento de control de cambios
sistemas scan asumidos permitiria que las
por la misma persona. En modificaciones de
ambos casos el programa se desvien de las
programador requiere aprobaciones de control de
acceso al cadigo Puente en cambios.
Manua! de Preparation al Examen CISA 2015

81
ISACA. Todos los derechos reservados
CapItulo 2— Gobierno y Gestion de TI Seccicin Lino: G
B La segregacion de funciones podra prevenir la

combinaciOn de funciones conflictivas. Este es un
control preventivo, y es el control ritAs ctitico en la
administration de base de datos. La aprobacion de
las actividades de DBA no impide la combinacian
de funciones conflictivas. Revision de registros de
acceso y actividades es un control de detection.
Si las actividades de DBA son incorrectamente
aprobadas, la revision de los registros dc acceso
y actividades puede no reducir el riesgo. Revisar
el use de las herramientas de la base de datos no
reduce el riesgo, ya que este es solo un control de
detection y no previene la combination de funciones
contlictivas.
2-9 B La autorinciiin debe estar separada de todos los

aspectos de mantenimiento de registros (generacian,
registro y correction). Dicha segregacion aumcnta la
capacidad de detectar el registro de las transacciones
no autorizadas.
2-10 C En las organizaciones Inas pequeiias, generahnente

no es apropiado reclutar personal adicional para
lograr una estricta segregacion de funciones. El
auditor de SI debe analizar las alternati vas. De
las opciones, C es la Onica practica que tiene un
impact°. El auditor de SI debe recornendar proccsos
que detecten los cambios al cOdigo fuente y al
codigo objeto en production, come por ejemplo las
comparaciones de cadigo de modo que los cambios
puedan ser revisados par un tercero regularmente.
Esto seria un proceso de control cornpensatorio. La
option A, que implica el registro de los cambios a
las librerias de desarrollo, no detectaria los cambios
a las librerias de produccion. La opciOn D estd
efectivamente requiriendo que L111 tercero haga
los cambios, lo cull] puede no ser practico en una
organizaciOn pequefia.
82 Manual de Preparation a! Examen CISA 2015

C. Certified Information Seccicin Dos: Contenido Capitulo 2
CISA Systems Auditor'
,....,...,Dpi,...i..
Secchin Dos: Contenido

2.1 REFERENCIA RAPIDA -
El Capitulo 2 define Ia necesidad de gobierno·de TI.ElUn auditordedela SI
gobierno seguridad de Ia informacidn se debe ejecutar y respaldar
debe ester en capacidad de entender y proveer aseguramlento
mediante las estrategias,de que la
las politicas y Ia estructura de Ia organized& de Ia seguridad
organizaciOn cuenta con Ia estructura, las politicas, los mecanismos
de Ia information. El gobierno de seguridad de la informed& deberia ser
contables y las practices de monitoreo necesarios para alcanzar
responsabilidad los de direccidnialta direccien pare aprobar politicas y
del consejo
requerimientos de gobierno corporativo de TI.sanciones
Para un auditorrelacionadasde SI, conelincumplimiento, mientras que Ia direccian de Ia seguridad
conocimiento del gobierno de TI es la base parade IaIainformacidn
evaluaciOn sede las delegar al director general de seguridad de Ia
deberia
Revision
practices y mecanismos de Iapare
de control Referencia
Ia supervisionRapida
informacidn. Revision
y revision por de Ia Referencia Rapida (cant.)
parte de la gerencia. · El gobierno de TI abarca Ia minimization de los riesgos de TI a los que esta
Manual de Preparation al Examenexpuesta CISA la2015 organizacion. La gestion de83 riesgos es el proceso de identification de las
Los candidatos a CISA deben tenor una solida connprensien de los
ISACA. Todos los derechos reservados. vulnerabilidades y las amenazas a los recursos de informacidn utilizados par una
siguientes elementes. Es imporlante tenor presente
organized&que paranolograr
es los objetivos de negocio, y decidir que contramedidas
suficiente el conocimiento de estos conceptos desde una
(protecciones perspective
o controles) se deben tomer, de tomarse alguna, pare reducir el riesgo a
sernantica. Ejemplos de terries claves en este capitulo
on nivel incluyen:
aceptable (es decir, riesgo residual), basandose en el valor del recurso de
*Uri objetivo de gobierno corporative es resolver los objetivos
informed& conflictivos
pars la organizaciOn. Este proceso empieza con Ia comprensiOn del
que resultan de explotar las oportunidadesapetito
disponibles
de riesgo parade Iaaumentar
organized& el pare luego determiner la exposition al riesgo de sus
valor de las partes interesadas, manteniendo al mismo
actives de TI. Atiempo
partir delas este identificacidin, se definen las estrategias y
operaciones de Ia organized& dentro de losresponsabilidades
limiter establecidos per losde riesgos. Segdn el tipo de riesgo y su significado
de la gestiOn
requerimientos regulatorios y las obligaciones
paresociales.
el negocio,Aplicado
los riesgos a se
Ti,pueden
el evitar, reducir, transferir o aceptar. El resulted°
gobierno ayuda a asegurar Ia alineacion dedelos Ia objetivos
presencia de deunTIriesgo
y losse dedenomina
Ia impacto y puede generar perdidas en
empresa. Al gobierno de TI le incurnben dos aspectos:
materia que legal,
financiera, Ti entregue
reputed& y eficiencia.
valor al negocio y que los riesgos de TI seen· gestionados.
Los riesgos Lo primer()
se miden se on analisis cualitativo (se definen los riesgos en
utilizando
logra con Ia alineacidn estrategica de TI con el negocio. Lo Segundo se
terminos de altoimedioibajo); un analisis semicualitativo (se definen los riesgos de
logra con el establecimiento de la gest& y elacuerdo
gobierno a unadeescala
riesgos y
nurnerica) o un analisis cuantitativo (se aplican diversos valores
tambien Ia responsabilidad dentro de la empresa. El gobiemo
a los riesgos, incluidosde TI es y se calcula la probabilidad e impacto del riesgo).
financieros,
responsabilidad del consejo de direcciOn yDespues
de la direccien
de haber ejecutiva,
identificado ylos riesgos, se diserian controles nuevos o existentes y
entre las practices slave de gobiemo de T1sedemide Ia direccien ejecutiva
so fortaleza y probabilidad se de efectividad. Los controles pueden ser
incluyen un comite de estrategias de T1, unpreventives,
proceso de gestiOna correctivos;
detectives de manuales o automatizados; y formales (es decir,
riesgos y un cuadro de mando integral de TI. documentados) o provisionales. Ademas, tambien puede haber controles
· El gobierno empresarial de TI es unacompensatorios.
vision de gobierno La que
asegura quo Ia informacidn y Ia tecnologiagerencia
relacionada respalde
puede utilizer el riesgo y residual para determiner cuales son las areas que
permita la estrategia y el logro de los objetivos
requieren de mdsla empresa;
control y siesto las beneficios de tales controles compensan los costes. La
tambien incluye el gobierno funcional de TI, es decir,
totalidad de esteasegurar
proceso que las de riesgos de TI se debe gestionar a diferentes
de gestidn
capacidades de TI se proporcionen de manera niveleseficaz
dentro de y eficiente.
Ia organizacion,La incluidos los niveles operacional, de proyectos y
planificaciOn estrategica eficaz de Ia T1 incluye
estrategico;considerar las former parte de la practice de gest& de SI. Los planes de
edemas, deberia
demandas de Ia organized& en lo que se analisis
refieredea riesgos
TI y suy capacidad
gestion de riesgos se deben reviser periedicamente pare
de provision de TI. Un unite directive rige acompanar
Ia estrategia, que esen el entomb y Ia organizacion.
los cambios
orientada y controlada por politicas y procedimientos,
· Los procesosincluida la
de gestiOn slave que dark forma a la efectividad de on
politica de seguridad de fa informacidn. Eldepartamento
auditor de SI de debe evaluar los controles pare la estrategia y el use de recursos
SI y delimitaran
las estrategias, las politicas y los procedimientos
son la gestionparededeterminer
recursos humanos,Ia Ia gestion de cambios, las practices financieras,
importancia que se ha dado al proceso delaplanificacion;
gest& de calidad, Ia Ia gestion de seguridad de la informacidn y las prdcticas de
participaciOn de Ia alta direcciOn de TI enoptimized&
Ia estrategia general deEl control y gobiemo del entomb de SI per parte de Ia
del desemperlo.
negocio; asi come al cumplimiento, relevanciagerencia y aplicabilidad
se puede evaluar de con
las base a Ia revision de su estructura organizational. Los
politicas dirigidas a terceros. organigramas deben definir claramente Ia jerarquia y autoridades del departamento,
· Un comite de estrategias de Ti monitorea
asi cam el sus
valor, losy responsabilidades
roles riesgos y el especificos. La estructura deberia definir el rol
desempefio de TI, edemas provee informacidn al consejo pare
de cada area en eI departamento de SI e indicar la segregacion apropiada de
respaldar la tome de decisiones relacionada con lasdentro
funciones estrategias de TI.
de este departamento.
El auditor de SI debe evaluar la efectividad de la estructura de gobierno
de Ti pare asegurar un control gerencial adecuado de Ia junta sobre las
decisiones, instrucciones y ejecucion de T1 de mode que respalde las
estrategias y objetivos de la organized&
· Un aspecto slave del gobierno de TI es el gobierno de is
seguridad de la informacien. La informacidn es el actin mas valioso de
una organized& y se debe proteger adecuadamente,
independientemente de coma se maneje, procese, trasporte, almacene
o deseche. La seguridad de Ia informed& abarca todos los procesos de
informacidn, Canto fisicos come electronicos, independientemente de si
ellos involucran personas y tecnologia o relaciones con socios
comerciales, clientes o terceros. Garantiza que los riesgos de
seguridad de la informed& seen gestionados de manera apropiada y
que los recursos de informed& de Ia empresa se usen con
Capitulo 2—Gobierno y Gestion de T1Section Dos: Contenido C1SA
s g==tice
c k
Revision de la Referencia Rapida (cont.)

· El propOsito de la segregation (o separacien) de funciones medio de practicas
es prevenir el fraude y los errores dividiendo las tareas y Ia
autoridad para Ilevar a cabo un proceso entre varios empleados de gobierno
o gerentes. Especificamente, las funciones que deben segregarse corporativo.
son: custodia de los activos, autorizacion y registro de Gobiemo
transacciones. Si se requieren roles combinades, entonces se corporativo se
deberan describir los controles de compensation. define como
Este capitulo tambien aborda la necesidad de continuidad del negocio y "el sistema por el
recuperacian ante desastres dentro de una organizacion. La mayoria de
cual se dirigen
las organizaciones Ilene implementado argiin tipo plan de recuperacion
ante desastres (DRP) para Ia recuperacian de la infraestructura de TI, y controlan las
sistemas criticos y datos asociados. Sin embargo, muchas organizaciones corporaciones
no han dada el paso siguiente y desarrollado planes sobre como de negocios" (Sir
funcionaran fas unIdades craves del negocio durante un periodo de Adrian
interruption de TI. Los candidatos a CISA deben conocer los Cadbury,
cornponentes de los planes de recuperaciOn ante desastres (DRP) y los International
planes de continuidad del negocio (BCP), la importancia de alinear uno
con el otro y alinear los DRP y BCP con el apetito de riesgo y tolerancia
Corporate
ante los riesgos de la organizacion. Governance
Meeting,
En resumen, para un auditor de SI, las practicas de gestidn de SI se Hanoi,
deben evaluar para determinar el gobierno de Ia gerencia sobre TI, Vietnam, 6
incluida Ia documentacion relacionada con las estrategias, los December
presupuestos, las politicas y los procedimientos de TI; el control sabre Ia
2004, p. 3,
seguridad de la informed& en relaclan con Ia compartimentacion de los
derechos de acceso; asi como la estructura del departamento de SI, ya
que cada uno de estos elementos ilustra man eficaz es una organizacion
a la hora de asegurar que la unidad de TI brinda valor al negocio y que
los riesgos de TI son gestionados.
2.2 GOBIERNO
CORPORATIVO www.oecdorg/dataoecd/18/47/34080477.
pc). Mils especificamente, un gobierno
Los aspectos eficos, la toma de decisiones corporativo es on conjunto de
y las practicas en general dentro de una responsabilidades y practicas usadas
organizaciOn deben romentarse por
por la gerencia de una organizacion Este marco se utiliza cada vez etas en
para proveer direccion estrateQica, los organisinos gubernamentales de
pant garantizar, de ese mod°, que las diferentes paiscs en un esfuerzo para
metas se puedan aleanzar, los riesgos reducir Ia frecuencia y el impacto de
sewn manejados de manes adecuada y informes financieros inexactos y
los recursos organizacionales scan proveer mayor transparencia y
utilizados apropiadamente. responsabilidad. Muchas de estas
Organizacion para la CooperaciOn y el regulaciones gubemamentales incluyen
Desarrollo Economieo (OCDE) declara: un requerimiento para que la alta
"El gobierno corporally° incluye un direccion apniebe lo adecuado de los
conjunto de relaciones entre Ia controles internos e incluya una
direccion de una compaiiia, su consejo evaluation de los controles internos
de direcciOn, sus accionistas y otras organizacionales en los informes
partes interesadas. El gobierno financieros de la organizacion.
corporativo tambien ofrece Ia
estructura a traves de la cual se
estableeen los objetivos de la compania, y
2.3 GOBIERNO DE TI DE LA
se determinan los medios para lograr esos EMPRESA
objetivos y monitorear el desempefio.
Un buen gobierno corporative deberia El gobierno de TI de Ia empresa
ofrecer ineentivos apropiados para el (GEIT) impliea un sistema en el cual
consejo de direcciOn y Ia gestion para todas las partes interesadas, incluyendo
explorar los objetivos quo sear de el Consejo, clientes y departamentos
inheres para [a compania y sus internos, tales como finanzas,
accionistas y deberia facilitar un proporcionan una entrada en el proceso
monitoreo efectivo". (OECD 2004. de la toma de decisiones.
OECD Principles of Corporate
Governance, France, 2004, p. 1 1,
GEIT es el sistema de gestion quo
ivtviv.oecdore
usan los directores. En otras palabras,
clataoecd/32/18/31557724.pdfi.
el GEIT trata de Ia custodia de los
recursos do TI a nombre de las panes
interesadas, las males, al mismo
tiempo, esperan el retomo de su
inversion.
Los directores responsabies de esta
custodia velanin porque la gerencia
implemente los sistemas y controles
de Ti necesarios.
GEIT es responsabilidad del

consejo do direccion y de la
direction ejecutiva. esperado para dar valor al negocio y se
extiende para identificar los riesgos a
El proposito del GEIT es dirigir los nom)°. Este proceso se basa en los
esfuerzus de TI para asegurar que su indicadores de desempetio que se
rendimiento logre las metas de alinear optirnizan para la entrega de valor y a
a TI con los objetivos de Ia empresa y partir de los etiales cualquier desviacion
la obtencion de los beneficios podria conducir a una materialization
prometidos. Adicionalmente, TI debe del riesgo.
apoyar a la empresa al aprovechar las · La gestion de cumplimiento, que
oportunidades y maximizar los beneficios. busca implementar procesos quo
Los recursos de Ti deben usarse cubran los requerimientos de
responsablemente y los riesgos cumplimiento de contratos y politicas
relacionados con TI deben manejarse de legales y regulatorios.
manera apropiada.
El marco COBIT 5 de ISACA pace una
La implementaciOn del marco de distincion clara entre gobierno y
GEIT trata estos dos problemas, gestion. Estas dos disciplinas abarcan
implementando practicas que distintos tipos de actividades, requieren
ofrecen opiniones sobre generation distintas estructuras organizacionales y
de valor y gestion de riesgo. Los sirven a diferentes propOsitos. El punto
procesos amplios incluyen: de vista de COBIT 5 con respecto a
· La gestiOn de recursos de esta diferencia slave entre gobierno y
T1, quo se basa en un inventario gestion es:
actualizado de todos los recursos de · Gobierno--Asegura que las
TI y trata el proceso de gestion de necesidades, condiciones y opciones
riesgos. de las partes interesadas se eval(ion
· La medieion del desempefto. que para determinar los objetivos
busca asegurar que todos los empresariales equilibrados y
recursos de TI tengan el desempeiio acordados que
cisA cesvisttielledms Zocirirorkm Seccion Dos: · Gestion—Planifica, construye,

Contenido
ejecuta y monitorea
Kv1
actividades en alineacion con la
direccion establecida por el organo
de gobierno para alcanzar los
objetivos de la empresa.
deben logratse, establecer una
direccion a travel de Ia priorizacion y GEIT, como uno de los dominios
toma de decisiones; y monitorear el del gobierno de la empresa,
desemperio y cumplimiento de la abarca el grupo de temas tratados
direccion y objetivos acordados. para considerar cow se aplica Ti
dentro de la empresa.
Un gobierno corporativo eficaz se

centra en la capacidad y experiencia
individual y de grupo, en Ia areas
especificas, donde puedan ser tn6s
eficaces. La tecnologia de la
inforniacien, considerada por mucho
tiempo solo un facilitador de Ia
estrategia de una organization, es ahora
considerada como parte integral de esa
estrategia. Los directores ejecutivos
(CEO), los directores de operaciones
(COO), los directores de finanzas
(CFO), los directores de infonnacion
(CIO) y los directores de tecnologia
(CTU) coinciden en que Ia alineaciOn
estrategica entre los objetivos de TI y
los de la empresa constituye un factor
critico de exit°. El gobierno de TI
ayuda a alcanzar este factor critico de
6tito al implementar de manera
econOmica, eficiente y eficaz una
infonnacien segura y confiable, asi
como tecnologia aplicada. La
tecnologia de is information es tan
critics para el exito de las empresas que
no puede ser relegada ni a la gerencia
de Tl ni a los especialistas en TI, sino
que debe recibir la atencion de ambos
bajo los lineamierttos de la supervision Capitulo 2—Gobierno y Gestion
de Ti
y la alta direcciOn.
Un element° slave de GEIT es la

alineacion del negocio con TI que
Ileva al logro del valor de negocio.
2.3.1 MEJORES PRACTICAS
Fundamentalmente, a GEIT le PARA EL GOBIERNO DE TI DE
incumben dos aspectos: que Ti LA EMPRESA
entregue valor al negocio y que los GEIT integra e institueionaliza las
riesgos de Ti scan gestionados. Lo buenas practicas para asegurar que la
primero se logra con Ia alineaciOn TI de la empresa respalde los objetivos
estrategica de Ti con el negocio. Lo de negocio. GEIT permite que Ia
segundo se logra con la integration de empresa saque provecho total de su
la responsabilidad en Ia empresa. informacion, maximizando de esta
manera los beneficios, capitalizando
las oportunidades y obtenicndo una
ventaja competitiva. GEIT es una
estructura de relaciones y procesos
utilizados para dirigir y controlar que
la empresa alcance sus nietas, dando
valor agregado mientras equilibra el
riesgo con el rendimiento de la
inversion en lo que respecta a TI y sus
procesos.
Los temas que la gerencia ejecutiva

debe tratar para gobernar Ia Ti dentro
de Ia empresa se describer en tres
areas centrales: realizacien de
beneficios, optimization de riesgo y
optimization de recursos (ver In figura
2.2).
GEIT se ha vuelto significativo debido

a numerosos factores:
· Los gerentes de negocio y
consejos de direccion que exigen un
mejor retorno sobre las inversiones de
TI (es decir, que Ia T1 entregue lo que
ci negocio necesita para mejorar el
valor de las panes interesadas) proveedores de servicios y la
· Preocupacion por el creciente gestion del servicio de
nivel de gasto en T1 externalization y adquisiciem (por
· La necesidad de cumplir con los ejemplo, computacion en nube)
requerimientos regulatorios para · lniciativas del gobierno de TI,
controles de TI en areas como que incluyen Ia adopcion de
privacidad y declaraciones financieras marcos de control y bucnas
(por ejemplo, la Ley Sarbanes-Oxley pr6cticas para ayudar a monitorear
de USA, Acuerdos de Basilea) y en y mejorar las actividades criticas
sectores especificos como finanzas, de Ti con el fin de incrementar el
farmacia y servicios medicos valor del negocio y reducir el
· La seleccion de los riesgo del negocio
Figura 2.2: Ei objetivo de goblemo: Crud& de valor.
Necesidades de las
Partes Interesadas
ri
s
e
s
Objetivo de Gobierno: Creation de Valor
Realizacion Optimizacr OptimizaciOn

de Beneticios del Riesgo de Recursas
FueriZe: ISACA, COBIT 5, USA, 2012, figura 3
Manual de Preparation al Examen CISA 2015 85

Capitulo 2—Gobierno y Gestion de TI Seccion Dos: C
F
i
g
u
r
a
2
.
3
:
A
r
e
a
s
G
i
g
u
e
d
e
g
e
s
ti
O
n
y
g
o
b
i
e
r
n
o
d
e
C
O
B
1
T
Necesidades tie negocio
Gobierno
Orientar Retroalirnentafibrt de uestiOn Monitorear
(
Gestion
Planittar Unstruir Ejecutar

(APO) (BAIT) (OR
.
Fuente: ISACA. COUIT 5, ELIA. 2012, figura 15
· La necesidad de optirnizar los comparativo)

costos, siguiendo, de ser posible,
enfoques estandarizados en Lugar Los procesos para monitorear,
de personalizados evaluar y dirigir (figura 2.3) estan
§ La creciente madurez y la integrados de principio a fin en el
subsiguiente aceptacion de marcos proceso de gobierno y se centran en
populares el monitorco, Ia evaluacion y la
· La necesidad do las empresas direccion de:
de evaluar su desempeno frente a los · Cuinplimiento y desempeo
estAndares generalmente aceptados · El sistema de controles 'Memos
y otros similares (estudio · Cumplimiento con los
requerimientos exteraos 2005 corno el Manual de proteccion
Gobierno de la Ti de la empresa y de nive[es minimos de T1) son una
marcos generates rccopilacion de documentos de la
de gestion Oficina Federal Alemana para la
A continuacion se mencionan ejemplos seguridad en tecnologia de la
de los marcos de GEIT: infonnaeion (FSI). Los doeurnentos
· ISACA desarroll6 COBIT 5 para son (itiles para detectar y combatir
respaldar GEIT proporcionando an los pumas debiles de seguridad en el
marco para garantizar que: TI se entorno de Ti. La recopilacion
alinee con el negocio, Ti apoye el abarca mAs de 3,000 paginas.
negocio y maximice los beneficios, · El Model° de rnadurez para la
los recursos de TI se risen gestion de Ia seguridad de
responsablemente y los rie.sgos de Ti la informacion (ISM3) es un models
se gestionen adeeuadamente. COBIT que se bass en el proceso
proporciona herramientas para de madurez de ISM para la seguridad.
evaluar y medir el desemperio de 37 § AS8015-2005 es et estandar
procesos de TI en una organizaeion. austral iano para el gobierno
· La serie de estondares corporativo de tecnologia de la
ISOIIEC 27001 (ISO 27001) es inforrnacion y comunicacion.
un conjunto de mejores priteticas AS8015 se airlopt6 como estandar
que proporcionan orientacion a las ISO/IEC 38500 en mayo de 2008.
erganizaciones que aptican y § El estandar Gobierno
mantienen prograrnas de seguridad corporativo de tecnologia de la
de la inforinacion. ISO 27001 se ha informacion ISO/I EC 38500:2008
convertido en un estandar muy (basado en el estandar AS8015-2005)
conocido en la industria. proporciona un marco para el
· ITI L. file desarrollado por la gobierno efectivo de TI. ISCVIEC
Oficina de Cornercio 38500 ayuda a aquellos en el nivel
Gubemamental del Reino lJnido Inds alto de Ia organizacion a
(OGC), en eolaboracion con el Fero entender y cumplir con sus
de Gestian de Servicios de T1, y es obligaciones legates, reglanientarias
un marco de referencia detallado con y 6ticas con respecto al uso de TI de
informaciOn practica acerca dc su organizaciOn. ISCVIEC 38500 se
cainu lograr una gestion exitosa de apfica a las organizaciones de todos
servicios operativos de TI. los tamanes, incluyendo companias
· Los Catfflogos de palicas y privadas, entidades
proteecion de niveles minimos gubernamentales y organizaciones
de T1 o Catilogos Grundschutz sin fines de tiler°. Este estandar
do TI, (conocidos antes del alio proporciona principles de orientacion
para los directores de organizaciones
sabre el uso efectivo, eficiente y
aceptable de TI en sus
organizaciones, orientacion y ejemplos para Ia
- ISOII EC 20000 es una aplicacien de ISO/IEC 20000-1:2011.
especificacion para gestion de
servicios de TI que estA alineada con Rol de la auditoria en Goblemo de
el marco de gestion de servicios de is Ti de is empresa Las empresas se
1TIL. Esta dividida en dos panes. gobiernan con buenas o mejores
1SO/IEC 20000-1:2011 consta de prActicas generalmente aceptadas,
requerimientos especificos para la garantizadas por el establecimiento
mejora de la gestion de servicios, e de controles. Las buenas o rnejores
ISO/IEC 20000-2:2012 ofrece practicas orientan a las
86 Manual de fireparacion ai Examen CISA 2015

ISACA Todos los derechos reservados.
Al
IS
LISACertifies Information Section Dos: Contenido Capitulo
_... ..._ .. .
Systems Auditor'
0
[w.N...•
elJeCX
organizaciones para deterrninar como ybalanceada para asegurar una

usar los recursos. Los resultados se evaluaciOn cualitativa que
linden y registran, proporcionando posteriormente facilite el
information de entrada a la revision mejoralniento cualitativo de los
ciclica y al mantenimiento de los procesos de TI y las iniciativas del
controles. GEIT asociadas.
De forma parecida, las buenas o Reportar sobre el GEIT implica

mejores practicas gobiernan a TI para auditar al mils alto nivel en la
garantizar glue la information y organization, y puede cruzar los
tecnologia relacionada de Ia limites de division, de funciones o de
omanizacion: apoyen los objetivos de departamentos. El auditor de SI debe
negocio de la empresa (es deck, confirmar que los tenninos de
alineacion estrategica), entreguen de referencia establezcan:
valor, utilicen los recursos · El alcance del trabajo,
responsablemente, gestionen incluyendo una clara definicion de
adecuadamente los riesgos y midan las areas y aspectos funcionales
efectivamente rendimiento. que se cubririm.
· El nivel al que se entregani el
La auditoria tiene un rol signi licativo informe, donde ester identificados los
en una implementation exitosa del temas del GE1T al wits alto nivel de
GEIT dentro de una organization. La la organizaciOn.
auditoria esta bien posicionada para · El derecho de acceso del auditor
proveer recomendaciones sobre mejores de SI a la informaciOn dentro de Ia
practicas a Ia alta direcciOn para ayudar organizacion y desde proveedores de
a mejorar Ia calidad y efectividad de las servicio de terceros.
iniciativas implementadas de gobiemo
de TI. Su estatus dentro de la organizaciOn y
el conjunto de habilidades del auditor
Como una entidad que monitorea el de SI deben considerarse para
cumplimiento, Ia auditoria ayuda a detenninar si son apropiados para la
asegurar el cumplimiento de las naturaleza de la auditoria planeada. Si
iniciativas de GEIT implementadas se considera que son insuficientes, un
dentro de una organization. El nivel apropiado de Ia gestiOn debe
monitoreo continuo, el analisis y Ia considerar Ia contratacion de un
evaluacion de las metricas asociadas tercero independiente para gestionar o
con las iniciativas del GEIT realizar la auditoria.
requieren una vision independiente
De acuerdo con el rol definido 2.3.2 COMITES DE GOBIERNO
del auditor de SI, se necesitan
evaluar los siguientes aspectos DE TI
relacionados con el GEIT: Tradicionalmente, las organizaciones
· Como se alinean el gobiemo de ban tenido cornites directivos a nivel
la empresa y el gobiemo de T1 ejecutivo para resolver los problemas de
(GEIT). TI que son relevantes para Coda la
·La alineacion de la funcion de Si organization. Delve existir una clara
con la inision, la vision, los comprensiOn tanto de In estrategia de TI
valores, los objetivos y las como de los niveles de direccion. ISACA
estrategias de la organization. emitio Uri document° en el que se ofrece
· El logro de los objetivos de un clam analisis (vease la figura 2.4).
desempeno (por ejemplo. eticacia y
eficiencia) establecidos por el Nota: El analisis de las
negocio y la [uncial. de SI. responsabilidades del comite
· Requerimientos legales, directivo es uria information
medioambientales, de calidad de que el CISA debe conocer.
la informaciOn, fiduciarios, de
seguridad y de privacidad
· El ambiente de control de Ia 2.3.3 CUADRO DE MANDO DE Ti
organization. El cuadro de mando integral de Ti
· Los riesgos inhcrentes dentro del (BSC), figura 2.5, es una to cnica de
ambiente de SI evaluacion de la gestiOn de procesos que
· lnversionigasto en Ti puede aplicarse al proceso de GEIT para
valorar las ftinciones y los procesos de
TI. El metodo va was ally de Ia
evaluacion financiera tradicional,
complementandolo con medidas que
conciemen a la satisfaccion del cliente
(usuario), procesos internos (operatives)
y la capacidad de innovar. Estas medidas
adicionales impulsan a la organization
hacia el use Optimo de TI, el cual estA
alineado con las metas estrategicas de Ia
organization, mientras que inantiene en
balance todas las perspectivas
relacionadas con la evaluacion. Para
aplicar la BSC a TI, se usa una estnictura
de tres capas para tratar las cuatro
perspectivas:
· Mision—por ejemplo:
— Convertirse en el
proveedor preferido de
sistemas de information.
— Entregar aplicaciones y servicios balanceado de metricas (es deck,
de TI econOmicos, eficientes y K.P1s) para guiar las decisiones
efectivos. de TI orientadas a negocios.
- Obtener una contribucion · Fuentes—por ejemplo:
razonable de las inversiones en TI — Personal de usuario final (especifico
para el negocio. por finicion)
— Desarrollar oportunidades que — COO (director de operaciones)
respondan a los futuros desafios. — Propietarios de procesos
· Estrategias—por ejeinplo:
- Desarrollar aplicaciones y El use de un cuadro de mando integral
operaciones superiores. de TI es ono de los medios was efectivos
Desarrollar alianzas con los para ayudar al comite estrategico de TI y
usuarios y mejores servicios para a la gerencia a alcanzar el gobiemo de Ti
los clientes. mediante una alineacian apropiada de TI
— Proveer mejores niveles de y el negocio. Los objetivos son
servicio y de estructuras de precios. establecer un vehiculo para reportar
— Controlar los gastos de TI. informaciOn sobre Ia gestian al consejo
— Proveer valor de negocio a los de direccion, estimular el consenso entre
proyectos de TI, las partes interesadas clave sobre los
- Proveer nuevas capacidades de objetivos estrategicos de TE, demostrar
negocio. la efectividad y el valor agregado de TI,
— Entrenar y educar al personal de y comunicar el desempetio, los riesgos y
TI y promover la excelencia. las capacidades de TI.
— Proveer apoyo para In
investigacion y el desarrollo. Nota: Un C1SA debe conocer los
· Medidas—por ejemplo: clementos de tin BSC de T1.
— Proveer un conjunto
Manual de Preparation al Examen CISA 2015 87

Capitulo 2—Gobierno y Gestion de T1 Session Dos:Inform*
G. . a. Certified
ie
Contenido
La Zi4
systems Auditor S.IS.C.Yre FIrdon
,
Figura 2.4—Analisis de las responsabilidades del Unite directly°

Nivel Comite de Estrategia de TI Comite de Direction de T
Responsabilidad · Proporciona informacion detallada y asesoria al consejo de · Decide el nivel global del gasto de TI y la d
direccian sabre temas como: costos
— La relevancia de los desarrollos de TI desde Ia · Alinea y aprueba Ia arquitectura de TI de Ia
perspectiva de negocios · Aprueba los planes y presupuestos de proy
— La alineacion de TI con Ia direcciOn del negocio prioridades y objetivos parciales
— El logro de los objetivos estrategicos de TI · Obtiene y asigna los recursos apropiados
— La disponibilidad de los recursos, destrezas e · Garantiza que los proyectos cumplan de mane
infraestructura de TI apropiados para satisfacer los los requerimientos del negocio, incluyendo
objetivos estrateglcos reevaluaciOn del caso de negocios
— OptimizaciOn de los costos de Tl, incluyendo el rol y Ia · Monitorea los planes de proyectos para veri
entrega de valor de Ia contffataciOn externa de servicios de TI de valor esperado y resultados deseado
— Riesgo, retorno y aspectos competitivos de las dentro del presupuesto
inversiones de TI · Monitorea el conflicto de recursos y prioridad
— Progreso en los proyectos mayores de TI divisiones de Ia empresa y Ia fun& de TI, as
— La contribuciOn de TI al negocio (por ejemplo, entrega del proyectos
valor de negocios prometido) · Hace recomendaciones y solicitudes para ca
— ExposiciOn a riesgos de TI, incluyendo riesgos de planes estrategicos (prioridades, financiamie
cumplimiento enfoques y recursos etc.)
— Contencion de los riesgos de TI · Comunica las metas estrategicas a los equip
— DirecciOn a Ia gerencia respecto a la estrategia de TI 8 Es un contribuyente importante para las pra
— Impulsores y catalizadores de TI para el consejo de direcciOn responsabilidades de gobierno de TI de Ia ge
Autoridad · Asesora al consejo de direcciOn y a Ia gerencia · Asiste a los ejecutivos en Ia preparaciOn de
sobre estrategia de TI de 11
· Por delegaciOn del consejo de direcciOn, proporciona · Supervisa el gerenciamiento en el dia a dia d
intormaciOn de entrada para la estrategia y prepara prestacion del servicio de TI y de los proyec
su aprobacion · Se concentra en Ia implementacion
·Se concentra en problemas estrategicos
de Ti presentes y futuros
Membresia · Miembros del consejo de direcciOn y especialistas · Ejecutivo patrocinante
no miembros del consejo de direcciOn · Ejecutivo de negocios (usuarios slave)
· CIO
· Asesores slave segUn se requiera (TI, audit
2.3.4 GOBIERNO DE LA INFORMACIoN

LA SEGURIDAD DE Dentro del gobierno de TI, el gobiemo
de la seguridad de Ia infommcion debe · Mantener informaciOn de alta
convertirse en una actividad sobre la calidad para respaldar las
que se concentra mucha atenciOn, con decisiones del negocio
motivadores de valor especificos: · Generar valor pam el negocio
confidencialidad, integridad y mediante inversiones habilitadas por
disponibilidad de la informacion, TI, es decir, alcanzar las metas
continuidad de servicios y proteccion estrategicas y obtener los beneficios del
de los activos de infonnacion. La negocio mediante el use efectivo e
seguridad esta emergiendo como un innovador de Ti
aspecto significativo de gobierno come · Lograr la excelencia operativa
resultado de las redes globales, la mediante la aplicacion confiable y
rapidez en Ia innovacion y los cambios eficiente de tecnologia
tecnolOgicos, la mayor dependencia en · Mantener el riesgo relacionado
Ti, la sofisticacian cada vez mayor de con la Ti en un nivel aceptable
los agentes de amenazas y las · Optimizar el costa de servicios y
explotaciones (exploits), asi coma una tecnologia de TI
extension de la empresa mss alla de sus · Cumplir con las
limites tradicienales. De alli que la demandas cada vez mayores
seguridad de la informaciOn debe de leycs, regulaciones,
convertirse en una parte importante e acuerdos contractuales y
integral del gobierno de Ti. La politicas relevantes
negligencia en este sentido reducir6 la
capacidad de una organizacion para Hasta hate poco tiempo, los esfuerzos
mitigar los riesgos y sacar provecho de destinados a la proteccion se
las oportunidades de Ti para el concentraban en los sistemas de
mejorarniento del proceso de negocio. informacion que recopilan, procesan y
almacenan informacion en lugar de en la
La informacion es un recurso slave pam infonnaciOn en si misma. Esie enfoque se
todas las empresas, y desde el momento ha tornado demasiado limitado como
en que Ia informacion es creada hasta el para lograr la seguridad general que es
inomento que es destruida, la tecnologia necesaria. En la actualidad, la seguridad
tiene una funcion signilicativa. La de la informacion adopta una perspectiva
tecnologia de la informacion esta cada Inas amplia, segitn la cual los datos y
vez mss avanzada y se ha generalizado en tamblen la in formaciOn y el
las empresas y en los entornos sociales, conocimiento en el que se basan tienen
piablicos y comerciales. Como resultado, que contar con una protecciOn
en la actualidad, mss que nunca, las adecuada, independientemente de donde
empresas y sus ejecutivos se esfuerzan se crean, procesan, transportan o
para: almacenan y se eliminan. Esto se aplica
particularmente a situaciones en las que
los dates se comparten facilmente par
Internet a traves de blogs, canales de
noticias, de usuario a usuario o redes
sociales, o sitios web. De esta manera, el
alcance de los esfuerzos de proteccion preservacion pennanente de la
deberia aharcar no solo el proceso que informacion generada como resultado de
genera la infonnacien, sino tambien la los procesos controlados.
88 Manual de Preparacicin al Examen C1SA 2015

ISA C A. To do s lo s d er e ch os reservados.
CISA Sf ert:DI =Uan Seccian Dos: Contenido Capitulo
Figura 2.5:
Cuadro de
mend('
integral
(balanced
scorecard,
BSC) de TI
Fuente: ISACA. Comperencias y practicas de dernirrio de gobierao de TI: Medir y derllostrar el
valor de Ti, USA, 2005, figura 7.
Algunas de las tendencias principales pais sede (onshoringforfshoring)

que el negocio global experimenta adoptados por las organizaciones. La
actualniente son la contratacion de promesa de la cornputacion en nube
pmveedores extemos para procesos esta indiscutiblemente revolucionando
internos y el use de la computacien en la el inundo de los servicios de TI
Contribucion al nogacio
COrno ve Ia direociOn al
departamento de TI?
Mision
Obtener una contribucion razonable
de las inversiones en TI
para el negocio · Causa
Objetivos A Elect°
AlineaciOn de Tlinegocio
• Entrega de valor Orientacion al futura
Orientacion al usuaria Gestion de costos Como esta posicionado la
i,Como ven los usuarios el Gestion de riesgos Tl para satisfacer futuras
departarnento de TI? necesidades?
Mision Mision
Ser el proveedor pretend° BSC de 11 Desarrollar oportunidades
de sisternas de inforrnacien que respondan a los futuros
Objetivos deseflos
Proveedor preferido de aplicaciones Objetivos
y operaciones Capacitacion y educacion
Asociacien con los usuarios del personal de 11
Satisfaccion del usuario Experiencia del personal
Excelencia operativa de TI Investigacion sobre
tecnologlas emergentes
LCuan eficientes y efectivos
son los procesos de TI? •
!Asian
__• Entregar aplicaciones y servicios 4_
de TI eficientes y efectivos
Objetivos
Desarrollos eficientes y efectivos
Operaciones eficientes y
efectivas Nivel de madurez de
procesos de TI
nube (cloud computing). La cobertura mediante la fransionnacion de la

de la seguridad de la infonnaciOn se computacion en una utilidad ubicua.
extiende ma's ally de los limites Estas tendencias iambi 'en han
geograficos de las instalaciones de Ia cambiado la manera en que se maneja
empresa en modelos dentro y fuera del la seguridad de Ia informaeion.
La seguridad de Ia inionuacion constituido por el liderazgo, las
incluye la seguridad de la tecnologia estructuras organizacionales y los
y es tipicamente impulsada desde el procesos que protegee Ia inforinacion.
nivel del director de infonnacion
(CEO). La seguridad de Ia Los resultados basicos del
inforrnacion relacionada con la gobierno de la seguridad efectiva
privacidad de Ia informacion y la dehen incluir el alineaniiento
propia seguridad de Ia informacion, estrategico, la gestion de riesgos y
se ocupa del universo de riesgos, Ia aportacion de valor. Estos
benelicios y procesos relacionados resultados se pueden obtener
con la informacion y debe mediante el dcsarrolla de:
impulsarse por la direccien ejecutiva · Medicion del desempetio—
(par ejemplo, CEO, CFO, CTO, Mcdicion, seguimiento y reporte
CIO) y costar con el respaldo del sobre informacion de los procesos
consejo de direccion, de seguridad para asegurarse de
que se alcancen los objetivos
El gobierno de la seguridad de la SMART (especificos, medibles,
informaciOn es responsabilidad del alcanzables, realistas y
consejo de direccion y de la direction oportunos). Lo siguiente debe
ejecutiva, y debe ser pate integral y llevarse a cabo para lograr Ia
transparente del gobiemo de la medician del desemperia:
empresa. Esta — Un conjunto de
indicadores definido,
acordado y significativo
correctamente alineados con
los objetivos estrategicos
— Un proceso de
medicion que ayudara a
identificar las deficiencias
y proporcionara
informacion sabre los
progresos realizados en la
solucion de problemas
— Aseguramient
o independiente
proporcianado par
evaluaciones y
auditorias externas
· Administracion de recursos—
Aprovethar la inftnestructura y los
conocimientos sobre seguridad de la
in fonnacion de manera eficiente y
eficaz. Para lograr Ia administracion de recursos considers lo siguiente;
Manual de Preparacion al Examen CISA 2015

89 ISACA. Todos las derechos reservados.
Session Do
MIWFDrhic11.1
— Asegtirese de que el conocimiento gobiemo de Ia seguridad de la

es captado y esta informacion es un subconjunto del
disponible gobiemo corporativo que provee
— Documente los procesos y las direcciOn estrategica para las
practicas de seguridad actividades de seguridad y asegura
— Desarrolle la arquitectura(s) de que se logren los objetivos.
seguridad para definir y Garantiza que el riesgo para la
utilizar los recursos de la seguridad de la informacien sea
infraestructura de manera eficiente gestionado de manera apropiada y
· Integracion de procesos—Se que los recursos de informacion de
enfoca en la integracian de los la empresa se usen con
procesos de garantia de la gestion responsabilidad.
de una organizacion para la
seguridad. Las actividades de Gobetwar para la seguridad
seguridad son a veces fragmentadas de una empresa significa ver
y segmentadas en silos con una seguridad adecuada
estructuras de informacinn canto un mquerimiento no
diferentes. Esto Dace que sea dificil, negociable en el negocio. Si
si no imposible, que se integren la gerencia de una
perfectamente. La integracian de organizacion, lo que inchtye
procesos sirve para mejorar la los consejos de direccion.
eficiencia global de seguridad y ejecutivos superiores y todos
operativa. los geremes, no establece y
ref terra la necesidud del
Goblerno Efectivo de la Segurldad negocio de contar con
de la informacion La direcciOn seguridad efectiva porn lc
estrategica del negocio sera definida empresa. el estado de
por las metas y los objetivos de seguridad deseado de la
negocio. La seguridad de la organkacion no se articulara,
infonnaciem debe apoyar las lograra ni sosiendra. Para
actividades de negocio para que sea lograr ;ma capacidad
de valor para la organizacion. El sustentable, las
otganizaciones deben 'weer interes.
que la seguridad de la
empresa sea responsabilidad
de los !ideres a un nivel de
gobierno, no de otros roles de
la organizacion que no tienen
autoridad, responsabilidad ni
recursos parer avatar o exigir
el cumplimiento,
— J. Allen; Governing for
Enterprise Security. CERT. USA,
Junio de 2005,
wwwcertargiarchive/pdf/051n02
3poi
Para lograr un gobierno efectivo de Ia
seguridad de la infonnaciOn, la
gerencia debe establecer y mantener
un marco para guiar el desarrollo y la
gestion de un programa completo de
seguridad de la informaciOn que
apoye los objetivos de negocio.
Por lo general, el marco de

gobierno de seguridad de la
informacien constara de lo
siguiente:
· Una estrategia completa de
seguridad inirinsecamente vinculada
con los objetivos de negocio.
· Politicas de gobiemo de
seguridad vigentes que traten
cada aspecto relacionado con la
estrategia, los controles y la
regulation.
· Un conjunto compieto de
estandares para cada politica que
garantice que los
procedimientos y directrices
cumplan con dicha politica.
· Una estnictura
organizacional efectiva de
seguridad libre de conflictos de
· Promos de monitoreo Los miembros del consejo de direcciOn
institucionalizados para asegurar el deben tener conocimiento de los activos
cumplimiento y proveer de infonnacion de la organizacion y su
retroalimentaciOn sobre la criticidad para las operaciones de
efectividad. negocio continuos. Esto puede lograrse
al proporcionarle al consejo de manera
Este marco provee la base para el periodica resultados de alto nivel de las
desarrollo de tin programa rentable de evaluaciones integrates de riesgo y
seguridad de la informacion que analisis de impacto al negocio (BIA).
respalde las metas de negocio de la Tambien se puede lograr mediante
organizacion. El objetivo del programa evaluaciones de los recursos de
de seguridad de la infomiacion es un informacion respecto de la dependencia
conjunto de actividades que proveen del negocio. Estas actividades deberian
garantia de que a los actives de incluir Ia aprobaciOn por parte de los
informacion se les da un nivel de miembros del consejo de direccion de
proteccian acorde con su valor o con el la evaluacian de los activos slave que
riesgo que representa para la deben protegerse, to que ayuda a
organizacion si los mismos se ven garantizar que los niveles y las
comprometidos. prioridades de protecci'5n son
adecuados para un estandar de debido
ROLES Y RESPONSABILIDA DES
cuidado.
DE LA ALTA DIRECCION V LOS
CONSEJOS DE DIRECCION La actitud de la gerencia debe
El gobiemo de la seguridad de la conducir a un gobiemo eficaz de Ia
informacion requiere de direccion seguridad. No es razonable esperar
estrategica y de impetu. Requiere que el personal de nivel mas bajo acate
cledicacien, recursos y asignacion de las medidas de seguridad si estas no
responsabilidad en to que respecta a la son ejercidas por la alta direccion. El
gestiOn de la seguridad de la consentimiento de los requeritnientos
informacian, asi como un medio para intrinsecos de seguridad por parte de
que el consejo de direccion determine la alta direccion provee la base para
que su objetivo se ha alcanzado. • asegurar que las expectativas de
seguridad se cumplan a todos los
Consejo de direccion/Alta direccion
niveles de la empresa. Las
Un gobiemo eficaz de la seguridad de
penalizaciones por incumplimiento
Ia informaciOn se puede lograr solo
deben ser definidas, comunicadas y
mediante la participacion del consejo
ejecutadas desde el nivel del consejo
de directores o de la gerencia superior
de direccion hacia abajo.
en Ia aprobaciOn de Ia politica, el
monitoreo apropiado y la revision de Alta direction
metricas, in formes y analisis de lmplementar un gobiemo de
tendencias. seguridad efectivo y definir los
objetivos de seguridad estrategicos de
una organizaciOn es una tarea las actividades de seguridad de Ia
compleja y ardua. Como con cualquier informacion con los objetivos de
otra iniciativa importante, debe contar negocio. El grado en que esto se logre
con liderazgo y el apoyo continuo de la determinara la rentabilidad del
direccion ejecutiva para tener exito. programa de seguridad de Ia
Desarrollar una estrategia efectiva de informacion para alcanzar el objetivo
seguridad de la informacion requiere deseado de suministrar tin nivel
integracien con, y la cooperaciOn de, predecible y definido de aseguramiento
los duenos del proceso de negocio. Un para
resultado exitoso es Ia alineaciOn de
90 Manual de Preparacien al Examen CISA 2015

CISA systems Aueitor Saccion Dos; Contenido Capitulo 2
-
wEL.Le Carslitsrog
una oficina o un director de seguridad
de la informacion. El alcance y la
amplitud de la seguridad de la
Ia informacien y los procesos de information en la aetualidad es tal que
ncgocio y un nivel aceptable de Ia autoridad requerida y Ia
impacto de eventos adversos. responsabilidad asumida
inevitablemente Ia convertinin en una
Comite directivo responsabilidad de un ftuicionario de
Hasta cierto grado, La seguridad afecta alta jerarquia o de la direccion
todos los aspectos de una ejecutiva. Esto podria incluir una
organizacien. Para ser efectiva, la position tal como un director de riesgo
seguridad debe ser penetrante en toda (CRO) o un director de cumplimiento
la empresa. A fin de garantizar la (CCO). La responsabilidad legal se
participation de todas las partes extenderd, por defecto, hasta la
interesadas que se vean afectadas por estructura de comando y, en Ultima
las consideraciones de seguridad, instancia, residird en la aim direccien
muchas organizaciones recurren a un y el consejo de direction. El no
comite directive constituido por los reconocer esto e implementar
principales representantes de los estructuras de gobiemo inapropiadas
grupos afectados. Esto lacilita el logro puede ocasionar que Ia alta direccion
de consenso sobre las prioridades y los no tenga conocimiento de esta
compromisos. Tambien sirve como un responsabilidad y de la
canal erectly() de comunicaciones y responsabilidad concomitante. Por lo
provee una base continua para aseaurar general, tambien tiene coma resultado
Ia alineacion del programa de una falta de alineacion efectiva de los
seguridad con los objetivos de ncgocio. objetivos de negocio y las actividades
Tambien puede ser fundamental para de seguridad. Cada vez mas, Ia
alcanzar Ia modificacion del gerencia prudente eleva la posicien de
comportamiento hacia una cultura mas official de seguridad de Ia information
conducente a una seguridad adecuada. a una pasicien de alta direction (es
decir, CISO), porque las
Director de seguridad de la organizaciones comienzan a entender
information su dependencia de la information y las
Todas las organizaciones tienen un crecientes amenazas a esta.
director de seguridad de la
infonnacion (CISO), MATRIZ DE RESULTADOS Y
independientemente de que alguien RESPONSABILIDADES Las
posea use titulo o no. Puede ser el relaciones entre los resultados de tin
CIO, el CTO, el CFO o, en algunos gobiemo efectivo de Ia seguridad de Ia
cases, el CEO incluso cuando existe informaciem y las responsabilidades de
la gerencia se muestran en la figura
2.6. Esta matriz no pretende ser
exhaustiva, sino simplemente indicar
*tunas tareas y niveles primarios de lo 2.3.5 ARQUITECTURA
cuales la gerencia es responsible. Sep:in EMPRESARIAL
la naturaleza de la oraanizacien, estos
Un area del gobiemo de TI que recibe
titulos pueden variar, pero los roles y las
cada vez mas atencion es Ia
responsabilidades deben existir incluso
arquitectura empresarial (EA).
si se utilizan diferentes rotulos.
Esencialmente, la EA implica
documentar los activos de TI de una
Nota: La figura 2.6 organizacion de una forma
sobre Relaciones de los estructurada para facilitar la
resultados del gobiemo comprensien, administration y
de la seguridad con las planificacion de las inversiones de TI.
responsabilidades de la Una EA a menudo incluye tanto la
gerencia no se prueba representacion de un estado actual
de manera especifica en como de un estado futuro optimizado
el examen de (por ejemplo, plan de accien).
certificacion CISA, El enfoque actual sobre Ia EA es
pero es information de tuna respuesta a Ia creciente
la que un USA debe complejidad de la TI, la complejidad
tener conocimiento. de las organizaciones modemas y un
enfoque mejorado sobre Ia
alineacion de Tl con Ia estrategia de
negocio y asegurar que las
inversiones de TI entreguen
beneficios reales.
El marco para la arquitectura de la

empresa, un trabajo innovador en el
campo de la EA, fue publicado por
primera vez por John Zachmuan a finales
de la decada de 1980. La estnictum de
Zachman continua siendo un punto de
partida para muchos proyectos
contemporancos de EA. Zachman razone
que Ia construccion de sistemas de Ti
tenia considerables similitudes con la
construction de edificios. En ambos
casos, hay una gama de participantes que
se involucran en diferentes etapas del
proyecto. En Ia construction de edificios,
una va desde /o abstracto a to fisico organizaciones modems. La idea es
usando modelos y representaciones (tales proporcionar orientation sobre
como pianos, distribuciones de espacios problemas tales como: cuando usar
y diagramas de cableado). De manera ambientes tecnicos avanzados (por
similar con la TI, los diferentes ejemplo, JavaEE o .NET) para el
elementos (tales come diagramas, desarrollo de aplicaciones, como
diagramas de flajo, modelos de conectar mejor los sistemas intra e
datoslclase y codigo) se usan para interorganizacionales, como hater que
describir diferentes aspectos de los las aplicaciones antiguas y de
sistemas de una organizacien a niveles de planificaciem de los recursos de la
detalle cada vez mayores. empresa (ERP) scan compatibles con la
web (sin que sea necesaria una extensa
El marco basic° de Zachman se reprogramacion), si las funciones de TI
describe en la figura 2.7. deben ejecutarse intemamente en la
empresa o subcontratarse, y si deben
El objetivo en idtima instancia es utilizarse soluciones tales como la
completar todas las celdas de Ia matriz. vinualizacien y la computation en nube
AI inicio de un proyecto de EA, la y cuando utilizarlas. La EA centrada en
mayoria de las organizaciones tendra el proceso de negocio tram de entender
dificultad para proporcionar detalles una organizacion en terminos de sus
para cada celda, en particular al nivel procesos centrales que agregan valor y
mas alto. Al tratar de completar una sus procesos de soporte. La idea es que,
EA, las organizaciones pueden resolver al entender los procesos, sus partes
el desaflo ya sea desde una perspectiva constitutivas y la tecnologia que los
de tecnologia o desde una perspectiva respalda, se puede Iograr un
de proceso de negocio. mejoramiento del negocio a medida
que se redisetian y reemplazan
La EA centrada en Ia tecnologia trata gradualmente diferentes aspectos. La
de aclarar las complejas opciones de genesis de este tipo de razonamiento
tecnologia que enfrentan las puede asociarse al trabajo de
Manual de Preparation al Examen CISA 2015

91
Capitulo 2—Gob!ern° y Gestion de T1 Section Dos:
440rSeMkaion
Figura 2.6 — de los resultados del gobierno de conlas
Relaciones seguridad Entrega responsabilidades
Nivel Gestion
Gerencial Alineacion de Riesgo Valor Medici&
Estrategica Desempelio
Consejo de Requiere de · Establece Requiere reporter Requiere reporter Sup
direccion una alined& tolerancia al riesgo. los costos de las Ia eficacia de Ia pol
comprobable. · Supervise politica actividades seguridad. del
de administration relacionadas con yu
de riesgos. Ia seguridad. rec
· Asegurar
regulaciones
cumplimiento.
Direction Instituye procesos · Garantiza que los Requiere estudios Requiere monitoreo Ver
ejecutiva pare integrar a Ia roles ylas de business case y Winces pare las pro
seguridad en los responsabilidades (cases de negocio) iniciativas de par
objetivos de incluyan la gest& de las iniciativas seguridad. con
negocio. de riesgos en todas de seguridad. ym
las actividades. efic
· Monitorea el
cumplimiento de
las regulaciones.
Comite · Revise y presta Identifica los riesgos Revise y asesora Revise y asesora si Rev
directive asistencia en Ia emergentes, sobre la suficiencia las iniciativas de pro
estrategia de promueve las de las iniciativas de seguridad cumplen cap
seguridad e practices de is seguridad pare con los objetivos de con
integraciOn, seguridad de la ayudar a las negocio.
· Garantiza que Ia unidad de negocio. funciones de
integracion cuente negocio.
con el apoyo de
los duerios del
negocio.
Director de Desarrolla Ia · Garantiza que se Desarrolla e Des
seguridad de estrategia de realicen las implementa me
information seguridad; vigila el evaluaciones de enfoques de cap
(CISO) programa y las riesgo 0 impacto monitoreo y el c
iniciativas de al negocio. metricas y dirige com
seguridad, y se · Desarrolla y monitorea las par
coordina con los estrategias de p o l i t i c a . Mo n i t o r e a actividades de la e
duefios del proceso mitigation de Ia utilizaciOn y seguridad. efic
de negocio para riesgos. la efectividad de
una alineacion · Hace cumplir las los recursos de
constante. regulaciones y las s e g u r i d a d .
Ejecutivos de Evaluar y Evaluar y reporter Evaluar y reporter Evaluar e informer Eva
auditoria reporter el grado sobre las practices sobre la eficiencia, sabre el grade de sob
de alineacian. y resultados de Ia efectividad de las o Ia
gest& de riesgo medidas y las rec
corporative. metricas en uso.
. ,
Fuente: ISACA, Information Security Governance: Guidance for Information Security Managers, 2008. Todos los derechos reserva
Figura 2.7—Marco de Zachman para Ia Arquitectura de la Empresa

Funcional Red Gente
Datos (Aplicaciim) (Tecnologia) (Organizacion) (F
Alcance
Modelodeempress
Modelo de sistemas
Modelo de tecnologia
Representation detallada
92 Manual de Preparation al Examen CM 2015

Seccion Dos: Contenido Capitulo

C......, „.. Certified in rormaton
viam Systems Auditor'
Michael Porter, profesor de Harvard, en el modelo de Referencia de operaciones

particular, a su modelo de cadena de stmlinistros
de cadena de valor de negocio. El (SCAR) del sector de las
esfuerzo de modelar procesos telecomunicaciones. El contenido de
de negocio esti recibiendo un impuiso un modelo de proceso de negocio se
adicional per parte de puede correlacionar con los
varios modelos de negocio en todos los estratos superiores del marco de
sectores tales como el Zachman. Una vez completada la
realzada Mapa de operaciones de correlation, una organizacion puede
telecomunicaciones (eTOM) y considerar la menla Optima de
tecnologias que se necesita para respaldan el negocio y los objetivos
respaldar sus procesos de negocio. de desemperlo.
· Modelo de referencia
A modo de ejemplo, el gobiemo federal tecnica—Un marco que
de Estados Unidos sc toma muy en serio describe duo Ia tecnologia
el tema de la EA. Por ley, una respalda la entrega, el
organizaciOn federal de USA esta intercambio y la constniccion
obligada a desarrollar una EA y a de componentes de servicio.
establecer una estructura de gobiemo de · Model() de referencia de datos—
EA que asegure que la EA se utiliza Marco que describe los datos y la
como referencia y es mantenida en las informacion que sirven de apoyo a
actividades de planificacion y los programas y las operaciones de !
elaboration de presupuestos de todos los Inca de negocio.
sisternas. Para guiar este proceso, se ha
desarrollado la Arquitectura Federal de documentation sobre la
Empresas (FEA). La FEA se describe arquitectura corporativa y la FEA
(en el sitio web de la FEA, se usa principalmente para
www.whitehousegovlomble-gov/fea) mantener y describir la coherencia
como "una estructura basada en el tecnolOgica, describiendo y
negocio y el desemperio para apoyar la evaluando continuamente la
colaboracion entre agendas, la tecnologia que esta gestionando el
transformaciOn y el mejoramiento a departamento de SI.
nivel de todo el gobiemo". La FEA tiene
una jerarquia de cinco modelos de Aspectos relevantes del gobiemo
referencia: de TI respect° de la gestion de un
· Modelo de referencia de departamento de SI son los
desempeno--Un marco para procesos de seleccien yfo las
medir el desempao de las metodologias que se usan para
principales inversiones de TI y cambiar las tecnologias
su contribucion al desempetio estrategicas. Este tema relevante
de los programas. afecta las decisiones de la gerencia
· lklodelo de referencia de y esta sujeto a grandes riesgos de
negocio—Un marco basado en la negocio.
funcion, que describe las funciones
y subfunciones realizadas poi el 2.4 ESTRATEGIA DE
Gobiemo, independiente de las
agendas que realmente las SISTEMAS DE
realizan. INFORMACION
· Modelo de referencia de
componentes de servicio—Un
marco funcional que clasifica los
2.4.1 PLANIFICACION
componentes de servicio que ESTRATEGICA
La planificacion estrategica, desde quiere seguir para mejorar sus
el punto de vista de Si, se relaciona procesos de negocio utilizando
con la direccion a largo plazo que tecnologia de la informaciOn.
una org,anizacion
Bajo la responsabilidad de la alta
direcciOn, los factores a considerar
incluyen: identificar soluciones de T1
rentables para tratar los problemas y
oportunidades que enfrenta la
organizacion y desarrollar planes de
accion para identificar y adquirir los
recursos que se necesitan. Para
dcsarrollar planes estrategicos,
generalmente de tres a cinco anos de
duracion, las organizaciones deben
asegurarse de que los mismos esters
plenamente alineados y scan
congruentes con todas las metas y
objetivos generales de la organizacion.
La gerencia del departamento de SI,
junto con el comite de direccion de SI y
el comite de estrategia (que provee
valiosa information estrategica
relacionada con el valor para las partes
interesadas), tiene una funcien clove en
el desarrollo e implementaciOn de los
planes.
La planificacion estrategica efectiva de

Ti incluye la consideration de los
requerimientos de Ia empresa para
sistemas de TI nuevos y revisados y la
capacidad de la organizacion de TI
para entregar una nueva funcionalidad
mediante proyectos bien gobemados.
Determinar los requerimientos para los
sistemas de TI nuevos y revisados
inchtira una consideracion sistematica
de las intenciones estrategicas de Ia
empresa como estas intenciones se
convierten en objetivos especificos yen
iniciativas de ncgocios y que
capacidades de TI se necesitaran para El auditor de SI debe prestar total
apoyar dichos objetivos c iniciativas. atencien a la importancia de la
Para valorar las capacidades de TI, el planificacion estrategica de TI,
portafolio de sistemas existente debe considerando las practicas de control de
revisarse en terminos de ajuste la gestion. Ademils, el objetivo del
funcional, costo y riesgo. La evaluation gobiemo de TI requiere que los planes
de la capacidad de TI para ctunplir con estrategicos de TI esten en sincronizacion
sus objetivos incluye una revision de Ia con Ia estrategia de negocio en general.
infraestructura tecnica de TI de la Un auditor de SI debe centrarse en la
organizacion y de los procesos de apoyo importancia del proceso de planificaciOn
claves (per ejemplo gestion de estrategica o marco de planificacion.
proyectos, desarrollo de software y Debe prestarse particular atcncion a la
practicas de mantenimiento, necesidad de evaluar como se toman en
administraciOn de Ia seguridad y cuenta los planes opemcionales, tacticos o
servicios de soporte tecnico) para de desarrollo del negocio para la
determinar si es necesaria Ia formulacion de Ia estrategia de Ti, el
expansiOn o el mejoramiento. Es contenido de los planes estrategicos, los
importante que el proceso de requerimientos para planes de
planificacion estrategica abarque no actualization y comunicacion, asi como
solo Ia entrega de nuevos sistemas y los requerimientos de monitoreo y
tecnologia, sino que tambien considere evaluacion. El auditor de SI deberia
el reudimiento que se obtiene de la considerar como el CIO, o la alta
inversion en los sistemas "lights-on" de direccion de TI, intervienen en Ia
TI existentcs, asi como el retiro de creaciem de la estrategia general de
servicio de los sistemas antiguos. El negocio. Una falta de participacian de TI
plan estrategico de TI deberia en la creation de la estrategia de negocio
equilibrar el costo de mantenimiento de indica que hay tin riesgo de que la
los sistemas existentcs con el costo de estrategia y los planes de TI no ester'
nuevas iniciativas o sistemas para alineados con la estrategia de negocio.
respaldar las estrategias de negocio.
Manual de Preparation al Examen USA 2015 93
ISACA. Tados los derechos reservados_
Capitulo 2—Gobierno y Gestion de Ti Seccidn Dos: Con
LTACY Carbitrum
2.4.2 COMITE DE DIRECCIDN practicas del departarnento

La alta direccion de una de SF. Cada miembro debe
organizaeiOn debe designar teller autoridad para tomar
un comite de direccion o de decisiones dentro del grupo
planificaciOn para supervisar para sus areas respectivas,
la funcion de SI y sus
actividades. Un comite de Dicho comae sirve, por lo
direccion de alto nivel para general, como un consejo
tecnologia de la infon-nacion general de revision para
es tin factor importante para proyectos importantes de Sl y
asegurar que el no debe participar en las
departamento de SI este operaciones de retina. Las
alineado con [a mision y los funciones principales
objetivos corporativos. realizadas por este comite
Aunque no es una practica incluyen:
coman, es muy deseable que § Revisar los planes de
un miembro del consejo de largo y corto alcance dci
direccion que cntienda los departamento de SI para
riesgos y los probleinas sea el asegurar que esters en
resportsable de la tecnologia cortcordancia con los
de la informaciori, y dirija objetivos corporati vos.
este comite. El comite debe · Revisar y aprobar las
ineluir representantes de Ia adquisiciones
alta gerencia, de cada linea importantes de hardware
de negocio, de los y software, dentro de los
departamentos corporativos limites aprobados par el
como RR.HH. y finanzas y del consejo de direccion.
departarnento de SI. · Aprobar y
Los deberes y las monitorear los
responsabilidades del proyectos de alta
comite deben estar relevancia y Ia situation
definidos en un document° de los planes y
formal de cstatutos. Los presupuestos de SI,
miembros del comite deben establecer prioridades,
conocer las politicas, los aprobar los estandares
procedimientos y las y los procedimientos, y
monitorear el
desempefio general de direccion. Cada
SI. empresa debe tener
· Revisar y aprobar las los ten-ulnas de
estrategias de asignacian referencia
de ciertas actividades o formaimente
todas las actividades de documeraados y
SI, ineluyendo servicios aprobados para su
intemos o externos, y la cornite directly() y el
globalization o traslado de auditor de SI debe
las ftinciones al famiiiarizarle con Ia
extranjero. documentaciOn del
· Revisar si los comite directive de SI
recursos y su y comprender las
asignacian son principales
adecuados en responsabilidades que
terminos del tiempo, se asignan a sus
personal y equipos. rniembros. Muchas
· Tamar decisiones empresas pueden
con respecto a la referirse a este comite
centralizacion con un noinbre
descentralizacion y diferente. El auditor
la asignacion de de SI debe identificar
responsabilidades. el grupo que
· Apoyar el desarrollo c desempena las
implementackin de un funciones antes
programa mencionadas.
de gestion de la seguridad
de Ia information a nivel de
toda
la empresa.
· Reportar al consejo de
direccion sabre las
actividades cfe SI.
Nota: Las
responsabilidades
variaran de empresa a
empresa y las
responsabilidades qua
se rnuestran son las
responsabilidades inns
comunes del comite de
El comite de direccion de SI referencia puede basarse en
debe recibir informacion de diversos modelos como, por
gestion apropiada de los ejeniplo, Capability Maturity
departamentos de SI, do Model Integration* (CMMI"),
usuarios y de auditoria, para el modelo "Inicio,
coordinar y monitorear con Diagnostic°, Establecimiento,
efectividad los recursos de S[ ActuaciOn y Aprendizaje"
en la organizacion. El comite (IDEAL), etc.. Esta section
debe monitorear el presenta varios inodelos de
desempeno y establecer las madurez y de mejoramiento
acciones apropiadas para de procesos que los
alcanzar los resultados candidates a CISA pueden
deseados. El comite debe encontrar en una
reunirse periodicamente e organization.
inforrnar a Ia alta direccion.
Deben elaborarse aetas El Model(' de Eyaluaeion de
fonnales de las reuniones del Procesos (PAM) de COBIT,
comite de direccion de SE, que utiliza COB1T 5, ha sido
para docurnentar las desarrollado para abordar la
actividades y las decisiones necesidad de mejorar el rigor
del comite. y la confiabilidad de las
revisiones de procesos de TI.
Fl
modelo serve como un
2.5 MODELOS DE document° de referencia
MADUREZ Y para llevar a caho las
MEJORAMIENTO DE evaluaciones dc capacidad de
los procesos de TI actuales
PROCESOS de una organization y define
el conjunto minima de
La implementacion del requerimientos para Ilevar a
gobierno de TI requiere una cabo una evaluaciOn para
mediciOn de desempello asegurar que los resultados
constante de los recursos de scan coherentes, repetibles y
una organizacion que representativos de los
contribuyen a la ejecueion de procesos e.valuados. Se
procesos que prestan alinea con ISO/IEC 15504-2 y
servicios de Ti al negocio. El utiliza la capacidad de
inantenimiento de la eficacia procesos y los indicadores del
y eficiencia constantes de los desempeilo de proceso para
procesos requiere la deterniinar si se han
implementaciOn de un marco alcanzado los atributos del
de referencia de madurez de proceso.
procesos. El marco de
El modelo IDEAL es un orientar el mejoramiento de
model° de programa de procesos en un proyecto,
mejoramiento de procesos division a en toda la
de software (SP!), organizaciOn. CMMI ayuda a
desarrollado por el integrar las funciones
Software Engineering organizacionales
Institute (SE!). Dicho tradicionalmente separadas,
modelo forma una fijar objetivos y prioridades de
inforestructura para mejoramiento de procesos,
orientar a las empresas en proporcionar orientation para
la planificacion y aplieacion loo procesos de calidad y un
de un programa efectivo panto de referencia para
para eel inejoramiento de evaluar los procesos actuales.
procesos de software cticaz El modelo de capacidad del
y consta de cinco faces: proceso se basa en la norms
inicio, diagnostieo, ISO/ IEC 15504 Ingenieria de
estableeiiniento, actuation y software—Evaluation de
aprendizaje (IDEAL). procesos, reconocida
intemacionalmente.Este
CMMI es un enfoque de models alcanza los mismos
inejorarniento de procesos objetivos generales que Ia
que proporciona a las evaluation de procesos y
empresas los elernentos respaldo de mejoramiento de
esenciales de procesos procesos; es decir, provee un
efectivos. Se puede usar para media para medir
94 Manual de Preparacidn al Examen CISA 2015

BACA. Todos los derechos reservados,
CISA
CertIfleclinforrylaSiOn
Sole= Seccion Dos: Contenido Capitulo 2— Gobie
Auditor'
Orip$ACK.Grise-con.
2,6 PRACTICAS DE
INVERSION Y
el desempeno de cualquicra ASIGNACION DE TI
dc los procesos de gobierno
Cada empresa se enfrenta al
CUBIT 5 (basados en EDM)
reto de utilizar sus recursos
o procesos de gestiOn
limitados, incluyendo las
(basados en PBRM), y
personas y el dinero. para
permite la identificacion de
lograr sus metas y objetivos.
areas de niejora.
Cuando una organizacion
invierte sus recursos en un
esfuerzo detertninado, anal isis.
incurre en costos de
Los beneficios financieros
oportunidad, porque no
incluyen inipactos en el
puede seguir otros esfuerzos
presupuesto y en las finanzas
que podrian aportar valor a
de Ia organizacion, por
la empresa. Estos costos de
ejemplo, reducciones de
oportunidad deben estar inuy
Pastas o aumento de
bien gestionados porque, de
ingresos.
acuerdo con la puhlicacion
de ISACA The Val IT Los beneficios no financieros
Framework 2.0, entre el 20 y incluyen impactos en las
el 70 por demo de las operaciones o en el
inversiones a gran main en cumplimiento de la inisian y
cambios pant Ia habil itaciOn los resultados, por ejemplo,
de TI se pienien, se yen mejoras en Ia satisfaecion
amenazadas a no aportan del cliente, mejor
ningurt return° a la empresa. infonnacion. tiempo de ciclo
lin auditor de SI deberia mss corto.
comprender las practicas de
inversion y asignacian de una Valor de Ti
empresa para detenninar si Las personas encargaths de
esta est6 biers posicionada decidir, toman las
para lograr el mayor valor decisiones de seleccion de
posible de Ia inversion de sus proyectos de TI basandose
recursos. en el valor percibido de la
inversion. El valor de TI lo
Tradicionalmente, cuando detennina la relacion entre
los profesionales en 11 y Ia to que la organizacion
aka gerencia discutian el
retorno do las inversiones pagara (costos) y lo que
(ROl) de una inversion de recibira (beneficios).
Tl, pensuban en los Mientras mayor sea el
beneficios financieros. Hoy, beneticio en relacian al
los lideres de negocios costa, mayor sera el valor
tambien consideran los del proyecto de T1.
beneficios no financieros de
las inversiones de TI.
Cuando sea factiblc, los
beneficios no financieros se
deben (racer visibles y
tangibles usando
algoritmos clue los
transfonnan en unidades
monetarias para entcrider
su impacto y mejorar 51.1
implementacion de la Gestifin de procesos del
Portafolio de Ti La apticacion de deparlamento de SI.
los metodos ineluye: analisis
de perfil de riesgos, 2.7.1 POLiTICAS
diversificacion de proyectos,
Las politicas son documentos
infraestructura y tecnologia,
de alto nivel que representan
alineacion continua con los
4 objetivos del negocio y
mejoras continuas.
la filosofia corporativa de
una organizacion. Las
politicas deben ser clams y
concisas para que scan
No existe una (mica y mejor
efectivas. La gerencia debe
manera de implementar la
crear un ambiente de control
gestiOn de cartera de TI.
positive, al asumir la
responsabilidad de formular,
Gestion de Portafolio
de Ti clesarrollar, do-cumentar,
vs. Cuadros de Mando promulgar y controlar las
La ventaja Inas grancle de la politicas que abarcan las
grestiOn de portafolio de Ti es metas y las directrices
su agilidad para ajustar las generates. La gerencia debe
inversiones. Mientras que los ernprender las acciones
cuadros de mando (ambler] necesarias para asegurar
enfatizan el use de vision y que los empteados afectados
estrategia en una decision de por una politica especiftca
inversion, In supervision y reciban una explicacion
control de los presupuestos de completa de la politica y
operaciones no son et entiendan cual es su
objetivo. La gestion de proposito. Ademas, las
portfolio de TI permite a las politicas pueden tambien
organizaciones ajustar las aplicarse a terceros y a
inversiones basadas en el proveedores de servicio
ineeanisino integrado de externos, quienes deberan
realimentacion. comprometerse a seguir las
politicas a travtS de
2.7 POLiTICAS Y contratos o declaraciones de
trabajo (SOW).
PROCEDIMIENTOS
Adernas de las politicas
Las politicas y los
corporativas que establecen
proceditnientos reflejan
el estilo de ltt organizaciOn
1n orientacian y direccion
coma Lin todo, las divisiones
de la direcciOn sabre los
y los departarnentos
sisternas de informaciOn,
individuates deben definir
recursos relacionados y
politicas a un nivel menor. aplicarse a los empleados y a
Las politicas do menor nivel las operaciones de estas
deben ser congruences con unidades, y centrarse en el
las politicas a nivel nivel operativo.
eorporativo. Estas deben
La gestiOn de portafolio de La gerencia debe revisar

TI es distinta de la gestion today las politicas
financiera dell en (pie periodicamente.
cstablecc una direecian Preferiblemente, estos
explicita, con tin objetivo documentos deben
estral6gico para detenninar especificar una fecha de
las areas en las que la revision que el auditor de SI
empresa seguira inviniendo debera verificar con
versus las areas en las que exactitud. Es necesario que
no se haran inversiones. las politicas scan actual
izadas para que reflejen la
Eta COB1T 5, el proceso nuevo de la tecnologia,
EDMO2 Asegurar la cambios en el ambiente (por
entrega de borefirios ejemplo, requerimientos de
optimiza la contribucion del cumplimiento de
valor al negocio a partir de regulaciones) y los cambios
los procesos del negocio, significativos en los procesos
servicios de TI y actives de de negocio que haven uso dc
T1 que surgen de las tecnologia de la informaciOn
inversiones realizadas por para obtener eficiencia y
TI a un costo aceptable. Las elicacia en la productividad n
prkticas slave de gobierno logros competitivos. Las
en el proceso incluyen: politicas formuladas deben
1. Evaluar la optimizacion apoyar el logro de los
del valor objetivos de negocio y [a
2. Diriair Ia optimizacion implementacion de controles
del valor de Si. Sin embargo, la
Monitorear la optimizacion gerencia debe atender las
del valor necesidades de los clientes
y cambiar las politicas que
puedan obstaculizar la
satisfaccion del cliente la
capacidad cle la organizacion
para alcanzar los objetivos
del
Manual de Preparacion al Examen CISA 20/5 95

ISACA. Todos los dereehos reservados.
Capitulo 2—Gobierno y Gestion de Ti Section Dos: Contenido
negocio. Esta consideration debe tomar tOcnico. Una politica de seguridad para
en cuenta los aspectos de tecnologia de la informacion y
confidencialidad y seguridad de la tecnologias relacionadas es un primer
informacion, las cuales pueden ser paso hacia la constniccion de la in
contrarios a Ia conveniencia del fraestructura de seguridad para
cliente. Las politicas generales en un organizaciones impulsadas por Ia
nivel superior y las politicas detalladas, tecnologia. Las politicas a menudo
en un nivel inferior, deben coincidir definiran el escenario tn tenninos de clue
con los objetivos del negocio. herramientas y procedimientos se
necesitan para Ia organizaciOn. Las
Los auditores de SI deben entender que politicas de seguridad deben equilibrar
las politicas son parte del alcanee de la el nivel de control con el nivel de
auditoria y deben coinprobar su productividad. Ademas, el costa de un
cumplimiento. Los controles de Si control nunca debe exceder el beneficio
deben fluir de las politicas de Ia que se espera obtener. Para disetiar e
empresa y los auditores de SI deben implemental- estas politicas, la cultura
usar las politicas como un pwno de organizacional desempefiara un papel
comparacion pant evaluar el importante. La politica de seguridad
cumplimiento. Sin embargo, si existen debe ser aprobada por la alta direcciOn,
politicas que obstaculizan el logro de y debe ser documentada y comunicada a
los objetivos de negocio, se deben todos los empleados y proveedores de
identificar y reportar para que sean servicio y socios de negocio (es decir,
mejoradas. El auditor de SI debe proveedores), segtm sea pertinente. La
tambien considerar el grado al que las politica de seguridad debe ser usada por
politicas se aplican a terceros o a los auditores de SI coin() un marco de
contratistas de externalization, el grado referencia para realizar diferentes
al que estos cumplen con las politicas, asignaciones de auditoria de SI. La
y si las politicas de los terceros o de los suficiencia y pertinencia de la politica de
proveedores de servicio externos estan seguridad podria tambien ser un area de
en contlicto con las politicas de la revision para el auditor de SI.
empresa.
DOCUMENT° DE POLITICA
Politica de seguridad de la DE SEGURIDAD DE LA
informacion INFORMACION
Una politica de seguridad comunica un La politica de seguridad de la
estOndar de seguridad coherente a los infonnacion debe establecer el
usuarios, a la gerencia y al personal compromiso de la gerencia y el enfoque
de la organizacion para gestionar la · Un marco para fijar los
seguridad de la infonnacion. El objetivos de control y los
estandarlSO/IEC 27001 (o los controles, incluyendo la estructura
estandares equivalentes), asi como Ia de evaluacion de riesgos y gestian
directriz 27002 pueden considerarse de riesgos.
como referencias para el contenido del · Una explicacion breve de las
document° de la politica de seguridad politicas, principios, estandares y
de la infonnaciOn. requisitos de cumplimiento de
importancia particular para la
docutnento de politica debe contener: organizacion, incluyendo:
· Una delmiciOn de seguridad — Cumplimiento con
de la informacion, sus objetivos los requerimientos
generales y su alcance, asi como la legislativos, regulatorios
importancia de la y contractuales
seguridad como un mecanismo que — Requerimientos de formation,
permite que se comparta Ia capacitation y concienciacien
infonnacion . en seguridad
· Una declaration de Ia intention Gestion de la continuidad del
de la gerencia, que apoye las metal negocio
y los principios de seguridad de la — Consecuencias de Ia violation de
informacion en Linea con la la politica de seguridad
estrategia y los objetivos de de la informacion
negocio. · Una definition de las
responsabilidades generales y
especificas para la gerencia de
seguridad de la infonnacion,
incluyendo reportar incidentes de
seguridad de la infonnaciOn.
· Referencias a Ia documentation
que puede respaldar Ia politica; por
ejemplo, politicas, estandares y
procedimientos Inas detallados de
seguridad para sistemas de
infonnacion especificos o reglas de
seguridad que deben acatar los
usuarios.
Esta politica de seguridad de la

informacion debe ser comunicada en
toda la organizacion a los usuarios de
una forma que sea accesible y
compressible para el lector al que esta
destinada. La politica de seguridad de la incluya informacion para todos los
informacion podria ser parte de un recursos de infonnacion (hardware,
document° de politica general y puede software, redes, Internet, etc.) y
ser apropiado distribuirla a terceros o a describa los permisos de la
los proveedores de servicio externos de organizacion para el uso de Ti y de
la organizaciOn, siempre y cuando se recursos relacionados con
tenga el cuidado de no revelar informaciOn.
informacion sensible de la empresa. Se · Politica informitica para el
debe requerir que todos los empleados o usuario final—Esta politica describe
terceros con acceso a activos de los parametros y eI uso de
informacion firmen para dar constancia herramientas de escritorio,
de su comprensiOn y voluntad de dispositivos de computation movil y
cumplir con la politica de seguridad de otras herramientas por los usuarios.
Ia informacion en el momenta en que ·Politicas de control de acceso
son contratados y regularmente a partir —Estas politicas describen el
de ese momento (por ejemplo, motodo para definir y dar acceso
anualmente) para informarse de los a los usuarios a diferentes
cambios de Ia politica que ocurran en el recursos de TI.
tiempo.
SegOn la necesidad y pertinencia,

las organ izaciones pueden
documentar las politicas de
seguridad de la informacion como
un conjunto de politicas.
Generalmente, se tratan las
siguientes cuestiones de politicas:
· Politica de seguridad de
la informacion de alto nivel
—Esta politica debe incluir
declaraciones relativas a la
confidencialidad, integridad y
disponibilidad.
·Politica de clasiftcacion de datos—
Esta politica debe describir las
clasiticaciones, los niveles de control
en cads clastfieacien y las
responsabilidades de todos los
usuarios potenciales, incluso a quien
pertenecen.
·Politica de uso aceptable—Debe
existir una politica integral que
Dn
Seccion Dos: ContenIdo
C. Certified Information
Capitulo 2—Gobierno y Gestion de Ti
C1SA Systems Auditor'
tot. c.nal
, 1
96 Manual de Preparacicin al Examen CISA 2015

Todos /cps derechos reservados.
POLITICA DE USOACEPTARLE mss importantes, tales como definir a
El uso inadecuado de los recursos de TI quien so le considera usuario y clue
por parte de los usuarios expone a una tiene permitido pacer el usuario con los
empresa a riesgos que incluyen ataqucs sistemas de TI. La AUP debera indicar
de virus, compromiso de sistemas de que los usuarios consulter las politicas
redes y servicios, asi como aspectos de seguridad, que son was completas,
legales. Para tratar este requerimiento, cada vez que sea necesario. La AUP
una organizacion define tut conjunto de debeni tambit3n definir claramente quo
directrices o normas que se ponen en sanciones se aplicaran si los usuarios no
practiea para controlar coma se utilizaran curnplen las normas deAUP, que
sus recursos de sistemas de informacion. pueclen incluir el despido. El
Estas directrices o norms se denominan cumplirniento de estas politicas deberA
como politica de use aceptable (AU P). medirse con auditorias regulares. Esta
Es una practica cornim exigir a los politica debe establecer (en terininos
nuevos redactados por el asesor legal) el
miembros de una empresa que firmen dereeho de la compafila a conservar
registros, respaldos y copias, a realizar
carta de reconociiniento antes de recibir analisis rorenses manuales o
aceeso a los sistemas de informacion. automatizados, y a Ilevar la evidencia
ante un tribunal, conservando los
LaAUP debe explicar lo que Ia empresa derechos de privacidad.
considera use aceptable de las
computadoras, con el objetivo de La forma Inas comnn de una AUP es la
proteger tante al empleado como a [a politica de use aceptable de Internet,
empresa de las consecuencias de las quo detennina el codigo de conducta
acciones ilegales. Per esta razon, la que guia [a conducta del usuario
AUP debe ser concisa y Clara, mientras esta conectado a la
abarcando al mismo tiempo los pintos redilntemet. El codigo de conducta
puede incluir "netiquette"—una estas revisiones. [debe
descripcion del lenguaje que se
considera adecuado usar cuando se esta
en linea. El codigo de conducta tambien
debera describir clue se considera ilegal
o una actividad personal excesiva. La
aclhesiOn a un codigo de conducta
ayuda a garantizar que las actividades
iniciadas por un usuario no expongan a
la empresa a los riesgos de seguridad de
Ia informacion.
REVISION DE LA POLiTICA
DE SEGURIDAD DE LA
INFORMACION
La politica de seguridad de la
inforniacion debe revisarse con
intervalos planificados (por lo menos
una vez al at o cuando murrieran
cambios significativos en la empresa, en
sus operaciones cornerciales o en su
riesgo inherente relative a la seguridad,
para asegurar quo sign siendo pertinente,
adecuada y eficaz. La politica de
seguridad de la informacion debe tenor
un propietario al quo se haya otorgado la
responsabilidad de gestiOn aprobada
para desarrollar, revisar y evaluar la
politica de seguridad. La revision debe
incluir Ia evaluacion de las
oportunidades rye niejoramiento de Ia
politica de seguridad de la informacien
de la organizacion y un enfoque para
gestionar la seguridad de la informacion
ern respuesta al ambiente organizacional,
las circunstancias de negocio, las
condiciones legales o el ambiente
t6cnieo,
El mantcnimiento de In politica de
seguridad de la informacion debe
lunar en cuenta los resultados de
haber procedimientos definidos de objetivos de negocio
revisiOn de la gerencia, (pie · Mejoramiento del enloque de la
incluyan un cronograma o periodo para orizanizaciOn para gestionar la
la revision. seguridad de la informacion y sus
Las contribuciones a la revisiOn de Ia procesos
gerencia deben incluir: · Mejoramiento de los objetivos de
· Retroolimentacion de las panes control y los controles
interesaclas · Mejoramiento en Ia asignacion
· Resultados de revisiones de recursos yio
independientes responsabilidades.
§ Estatus de las acciones
preventivas y correctivas Se debe mantener un registro de las
- Resultados de las revisiones revisiones de la gerencia y SC debe
antcriores de Ia gerencia obtener Ia aprobacion de la gerencia
· Desempao del proceso y para la politica revisada.
cumplimiento de la politica de
seguridad de Ia informacion Nota: Esta revision es realizada
· Cambios que podrian afectar el en por la gerencia para tratar Ins
foque do In organizacion para cambios en factores ambientales.
gestionar la seguridad de Ia in
formaciOn, incluyendo cambios al Mientras revisa las politicas, el
ambiente organizacional; las auditor de SI debe valorar lo
circunstancias de negocio:, la siguiente:
disponibilidad de recursos; las · Base sabre Ia cml so ha
definido Ia politica-generalmentet
condiciones contractuales, regulatorias
y legales; o el ambiente tecnico se basa en un proceso de gestion
· Consideracian del use de de riesgos.
proveedores de servicio eXiCITIOS o · Pertinencia de estas politicas.
·
traslado al exterior do la funcion de Contenido de las politicas.
TI e funciones de negocio · Exccpciones a las politicas—
- aclarar en qu6 areas no se aplican
Las tendencies relacionadas con las
arnena7as y las vulnerabilidades las politicas y por qu6., por ejemplo,
· [ncidentes de seguridad de la es posiblc que las politicas de
informacian reportados contrasefias (passwords) no sean
· Recomendaciones suministradas compatibles con aplicaciones
por las autoridades relevantes, existentes.
- Proceso de aprobaciOn de
El resultado de la revision de la politicas.
gerencia debe incluir decisiones y · Proceso de implernentacion de
acciones relacionadas eon: politicas.
· Mcjora en la alineacion de la · Efectividad de irnplementaciOn
seguridad de la informaciOn con de politicas.
· Concienciae ion y capacitacion.
· Proceso periadieo de revision y espiritu (la intencion) del
actualizacion. enunciado de la politica. Los
procedimientos se deben escribir
2.7.2 PROCEDIMIENTOS de forma clam y concisa, de modo que
scan comprendidos facil
Los procediraientos son pasos definidos
y correctamente por todos los quo se
y doeumentados
deben regir por elle& Los
para alcanzar los objetivos de la
procedimientos documental) procesos de
politica. Deben derivarse de
negocio (administrativos
la politica madre e implementar el
Manual de Preparacian al Examen CISA 2015 97
Todos los derechos reservados.
Secchin Dos:
brD,Elar
y operacionales) y los controles documentados, es dificil (para la

integrados en los mismos. Los gerencia y para los auditores) identificar
procedimientos son formulados por los controles y asegurar que esten en
los dueilos de los procesos coino una operacion continua.
traducciOn efectiva de las politicas.
Uno de los aspectos 'Yids criticos
Generalmente, los procedimientos son relacionados con los procedimientos es que
mas dinamicos que sus politicas madre estos deben ser bien conocidos por las
respectivas. Deben reflejar los continuos personas que los aplican. Un
cambios en el enfoque de negocio y su procedimiento que no es conocido
ambiente. Por to tanto, es esencial completamente por el personal que lo tiene
revisar y actualizar fiecuentemente los que usar es, esencialmente, inefectivo, Por
procedintientos si se desea que sean lo tanto, se debe prestar especial atencion a
relevantes. Los auditores revisan los los metodos de implementacion y
procedimientos para identiticar, evaluar automatization de mecanismos para
y, posteriormente, probar los controles almacenar, distribuir y gestionar los
sobre los procesos de negocio. Los procedimientos de TI.
controles integrados en los
procedimientos son evaluados pant 2.8 GESTION DE RIESGOS
asegurar que cumplan con los objetivos
de control necesarios, al tiempo que La gestion de riesgos es el proceso de
liacen el proceso tan cficicnte y practico identiticar las vulnerabilidades y las
como sea posible. Cuando las practicas amenazas para los recursos de
operativas no coincides con los inforrnacion utilizados por una
procedimientos documentados o cuando organizacion para lograr los objetivos
no existen procedimientos
de negocio, y decidir que contramedidas medios.
(protecciones o controles) tomar, si · Aceptar—Reconocer
hubiera alguna, para reducir el riesgo a formalmente la existencia del
un nivel aceptable (es decir, riesgo riesgo y monitorearlo.
residual), basandose en el valor del
recurso de informacion para Ia
organizacion.
La gestion efectiva de riesgos comienza

con una clara comprension del apetito
de riesgos de la organizacion. Esto
impulsa todo el esfuerzo de gestion de
riesgos y, en un contexto de TI,, tiene un
impacto sobre las inversiones futures en
tecnologia, el grado de protecciOn de los
activos de TI y el nivel de garantia
requerido. La gestion de riesgos abarca
identificar, analizar, evaluar, tratar,
monitorear y comunicar el impacto del
riesgo sobre los procesos de TI. Despues
de definir el apetito de riesgo e
identificar la exposition al riesgo, se
pueden establecer estrategias para
gestionar el riesgo y aclarar las
responsabilidades. Dependiendo del tipo
de riesgo y su importancia para el
negocio, la gerencia y el consejo de
direction pueden optar por:
· Evitar—Eliminar el riesgo al
eliminar Ia causa (por ejemplo,
donde sea factible, elegir no
implemental- ciertas actividades o
procesos que generen un riesgo).
· Mitigar—Definir, implementar y
monitorear controles apropiados
para reducir Ia probabilidad o el
impacto del riesgo.
· Compartiritransferir
(derivar o asignar)--Companir el
riesgo con socios o transferirlo
mediante cobertura de seguro,
acuerdo contractual u otros
En otras palabras, el riesgo puede ser riesgos, un programa cxitoso requiere
evitado. reducido, transferido o la integraciOn de la gestion de riesgos
aceptado. Una organizacion tambien dentro de todos los niveles de la
puede optar por rechazar el riesgo organizacion. El personal de
ignoraridolo, hecho que puede ser operaciones y los miembros del consejo
peligroso y que el auditor de SI deberia de direccion deben apoyar al comite de
considerar como bandera roja. gestion de riesgos para identi ficar los
riesgos y desarrollar estrategias
adecuadas para el control de perdidas
2.8.1 DESARROLLO DE UN e intervencion.
PROGRAMA DE GESTION DE
RIESGOS 2.8.2 PROCESO DE GESTION
Para desarrollar un prograrna de DE RIESGOS
gestion de riesgos, se debe: A fin de garantizar que la cmpresa
· Establecer el proposito del gestiona sus riesgos de forma coherence
programa de gestion de riesgos—El y adecuada, la organizacion debe
primer paso cs determinar el proposito identiticar y establecer un proceso
de la organizacion para crear un repetible para gestionar sus riesgos de
programa de gestion de riesgos. El TI. C01311. 5 proporciona un proceso
propOsito del programa puede ser de gestion de riesgo, el AP012 Gestionar
reducir el costo de los seguros o reducir el riesgo. Las practicas slave de gestion
el nuttier() de lesiones relacionadas con incluyen:
el programa. Al detenninarsu intention I. Recolectar datos.
2. Analizar el riesgo.
antes de iniciar Ia plartificacion de la
3. Mantener un perfil del riesgo.
gestien de riesgos, la organization puede
4. Articular el riesgo.
definir los indicadores slave de
5. Definir un portafolio de action de
desemperlo (KPIs - siglas del termino
gestion de riesgo.
en ingles: Key Performance Indicators)
6. Responder ante el riesgo.
y evaluar los resultados para
determinar su efectividad. En general,
El primer paso en el proceso es la
la alta gerencia, junto con el consejo de
identificacien y recoleccion de datos
direceiOn, marca Ia pauta y los
relevantes para perm itir la
objetivos para el programa de gestion identifieacion efectiva del riesgo
de riesgos. relacionado con Ia TI, su analisis y
· Asignar responsabilidad para el reporte. Esto ayudara a identificar los
plan de gestiOn de riesgos—El activos o recursos de information que
segundo paso es designar una persona necesitan proteccion porque son
o un equipo responsable de desarrollar vulnerables a amenazas. En este
e implementar el programa de gestiOn contexto, una amenaza es cualquier
de riesgos de la organizacion. Aunque circunstancia o evento con el potential
el equipo es principalmente de &liar un recurso de information
responsabie del plan de gestion de (tales como destrucciOn, divulgacion,
modification de dates o negaciOn de estandar de proteccion (clasificacion
servicio). El proposito de la en term inos de criticidad y
clasificacien puede ser priorizar sensibilidad). Los ejemplos de activos
investigaciones adicionales e identificar tipicos asociados con la infonnacion y
Ia proteccion apropiada (clasificacien con TI incluyen:
simple, basada en ci valor del active), o · Infonnacion y datos
pennitir la aplicacion de un model° - I I ardware

Seccion Dos: Contenido Capitulo 2
CISA rfied,InZ:rim
liACX Drt.tain,
· Software producen debido a que las

· Documentos amenazas tienen la
· Personal posibilidad de expiatar las
vulnerabilidades asociadas
Otros activos de negocio mas con el use de recursos de
tradicionales que se deben infonnacion. Las
considerar son los edificios, vulnerabilidades son
el inventario, el efectivo y caracteristicas de los
activos memos tangibles, reeursos de infonnacion
como por ejemplo el buen que pueden ser explotadas
nombre o la por una amenaza para
imagen/reputacion. causar dalio. Los
siguientes son ejemplos de
El segundo paso del proceso vulnerabilidades:
es evaluar las amenazas y las · Falta de conocimientos
vulnerabilidades asociadas del usuario
con el recurso de
· Falta de funcionalidad en
informaciOn y Ia
probabilidad de que ocurran. la seguridad
· Concienciacieni
Las clases comunes de
amenazas son: educacion
· Errores inadecuada del
· Dafialataque intencional usuario (por ej.,
· Fraude selecciOn
· Robo inadecuada de
· Falla del equipoisofiware contrasefias)
· Tecnologia no probada
· Transmisian de
Los riesgos de Ti se
comunicaciones no Una vez que se hayan
protegidas establecido los elementos
de riesgo, .2stos se
El resultado de tin agente cornbinan para formar
de amenaza que explota una vision general del
una vulnerabilidad se riesgo. Un metodo comfin
denomina impacto. El de combinar los
impacto puede variar en elementos es calcular lo
cuanto a su magnitud, y se iiguiente para calla
ye afectado por Ia gravedad amenaza: (probabilidad
y duracion. En las de que ocurra) X
organizaciones comerciales, (magnitud del impacto)
las amenazas suelen para obtener una medida
ocasionar una perdida del riesgo
financiera directa en el § general. El riesgo es
corto plazo proporcional a la
o una perdida probabilidad estimada de
financiera final la antenaza y el valor de
(indirecta) en el largo la perdida o dar).
plazo. Ejemplos de
dichas perdidas § Una vez que se han
incluyen los identificado los riesgos, se
siguientes: pueden evaluar los controles
· Perdida directa de dincro existentes o se pueden
(efectivo o credito) diseilar nuevos controles para
· ViolaciOn de la reducir las vulnerabilidades a
legislacion (por un nivel aceptable de riesgo.
ejemplo, Estos controles se denominan
divulgaciOn no contrameclidas o
autorizada) protecciones. Pueden ser
· Perdida de acciones, dispositivos,
reputaciainiblien nombre procedimientos o tecnieas (es
· Peligro potencial para el decir, personal, procesos o
personal o los clientes productos). La fortaleza de tin
· Violacion de la confianza
· Perdida de oportunidades
de negocio
· Reduccion en el
desempelioieficiencia
operativos
· Interrupcion en las
actividades de negocio
control puede ser medida en estos controles excesivos.
terminos de su fortaleza Para la aceptacion definitiva
inherente o de disefio y de la de los riesgos residuales
probabilidad de su debe tenerse en cuenta lo
efectividad. Los elementos de siguiente:
los controles que deben · Politica organizacional
considerarse cuando se · Apetito de riesgo
evalne su fortaleza incluyen · La identificacion y la
si los controles son medicion del riesgo
preventivos, detectivos · La incertidumbre
o con-ectivos, manuales o incorporada en el
automatizados y fonnales enfoquc de evaluacion
(es decir, documentados en de riesgos
manuales de · Costa y eficacia de la
procedimientos, implementacian
manteniendose evidencia · Cost° del control versus
de su operacion) o beneficio
prorisionaies.
Es importante darse
El nivel remanente de riesgo, cuenta de que la gestion
una vez que los controles han de riesgos de TI necesita
sido aplicados, se denomina operar a multiples
riesgo residual y puede ser niveles, que incluyen:
usado por la gerencia para · El nivel operativo—En
identificar las areas en las el nivel operativo, uno se
que se requiere mas control preocupa de los riesgos que
para reducir aun Ms los podrian comprometer Ia
riesgos. La gerencia puede efectividad de los sistemas
establecer la meta de tin de Ti y Ia infraestructura
nivel aceptable de riesgo que los soporta, la
(apetito de riesgo). Los capacidad de evadir los
riesgos que excedan este controles de los sistemas, la
nivel deben ser reducidos posibilidad de perdida
mediante la implementacion o de no disponibilidad de
de controles mas estrictos. recursos slave (por
Los riesgos que esten por ejemplo, sistemas, datos,
debajo de este nivel deben comunicaciones, personal,
ser evaluados para instalaciones) y falta de
determinar si se esta cumplimiento de las !eyes
aplicando tin nivel excesivo y regulaciones.
de control y si se puede · El nivel de proyeeto—
recortar costos eliininando En el nivel de proyecto, la
administracian de riesgos diferentes personas y grupos
necesita concentrarse en la dentro de la organizaciOn.
capacidad de entender y Sin embargo, estas personas
manejar la complejidad del y grupos no deben operar
proyecto y (si esto no se completamente por
hicicra efectivamente) en el separado, ya que los riesgos
riesgo resultante de que los en un nivel o en un area
objetivos del proyecto no pueden impactar a otro. Un
scan cumplidos. mal funcionamiento
· El nivel estrategieo—El importante del sistema
enfoque del riesgo se podria obstaculizar la
traslada a consideraciones capacidad de una
tales como el grado en que organizacion para prestar
las capacidades de TI estan servicios al cliente tratar con
alineaclas con la estrategia provcedores, y podria tener
del negocio, canto se implicaciones estrategicas
compara con la capacidad que requirieran la atencian
de los competidores, y las de la alta gerencia. De forma
amenazas (asi coma tambien similar, los problems en tin
las oportunidades) proyecto importante
planteadas por el cambio podrian tener implicaciones
tecnologico. estrategicas. Tambien, a
medida que los proyectos
La identificacion, evaluacien entregan nuevos sistemas e
y administracion de los infraestructura de TI, el
riesgos de TI en di versos nuevo entorno de riesgo
niveles es responsabilidad de operativo necesita ser
considerado.
99 ISACA. Todos los derechos reservados.
Capitulo 2—Gobierno y Gestic:in de TI ,Section Dos: Contenido
En resumers, el proceso de gestion arnenazas estan relacionadas con

del riesgo deberia lograr un balance aspectos de seguridad que pueden
efectivo en costo entre la aplicaciOn ser extremadamente sensitivos para
de controles de seguridad como algunas industrias.
contrainedidas y las amenazas
significativas. A Igunas de las 2.8.3 METODOS DE ANALISIS
DE RIESGOS Los metodos de analisis cuantitativo
usan valores numerieos para describir
Esta section discute metodos la probabilidad y el inipacto de los
cualitativos, semicuantitativos y riesgos, usando dates provenientes de
cuantitativos de administraciOn varies tipos de luentes, tales coma
del riesgo y las ventajas y registros historicos, experiencias
limitaciones de estos ithimos. pasadas, practicas y registros de la
industria, teorias estadisticas, pruebas
Metodos de analisis cualitatIvo y experimentos.
Los metodos de analisis cualilativo de
riesgo usan elasificaciones deseriptivas Muchos metodos de analisis
o verbales para describir los impactos o cuantitativo del riesgo estan
la probabilidad. Son los etas sencillos y actualmente disponibles para areas
los mas comanmente usados. coma la militar, nuclear, quirnica,
Nonnalmerae se basan err listas de rutaneiera y alms. Las siguientes
verification y en cal itIcaciones secciones describen conceptos
subjetivas del riesgo, tales coma alto, relacionados con los metodos
media o bajo. Cuantitativos.
Dichos enfoques carecen del Muchas organizaciones utilizatt el
rigor que es habitual para Ia analisis de riesgo cuantitativo, el cual
contabilidad y la expresa los riesgos en terminos
adrninistracion. numericos (por ejemplo, monetarios)•
Un analisis de riesgo cuantitativo se
Metodos de analisis realiza - generalmente durante un
semicuantitativo analisis de impact() al negocio (BR).
En el analisis sernicuantitativo, las El principal problems en este proceso
clasificaciones descriptivas e-stan es la evaluacit5n de activos de
asociadas con ttna escala numerica. informacion. Diferentes individuos
Dichos metodos se usan frectientemente pueden asignar diferentes valores al
cuando no es posible utilizar un metodo mismo active, dependiendo de la
cuantitativo o para reducir la subjetividad relevancia que tenga la informacian
en los metodos cualitativoS. para ellos. En el case de actives
Par ejemplo, la medida cualitativa de tecnologicos, no es el costa del activo
"alto" puede dar un peso cuantitativo lo que se considera, sine tambien el
de 5. "medio" puede dar 3 y "bajo" costa de reemplazo y el valor de la
puede dar 1. El peso total para el area informaciOn procesada par ese activo.
relacionada que se evalita puede ser el
agregado de los pesos derivados para
los di ferentes factores que se estan
considerando.
Metodos de analisis cuantitativo

2.9 PRACT1CAS DE selection, capacitaciOn y promotion del
personal, medician del desempefio del
GESTION DE SISTEMAS DE personal, disciplina, planificacian de
sucesion y retention de personal. La
efectividad de estas actividades, a
INFORMACION medida que se relacionan con Ia funcion
Las practicas gerenciales de SI retie* Ia
de SI, impala la calidad del personal y el
impleinentacion de politicas y
deseinpefio de las funciones de SI.
procedimientos desarrollados para
diversas actividades gerenciales
relacionadas con SI. En la inayoria de las Nota: El auditor de SI debe
organizaciones, el departamento de SI es tenet- conocimiento de los
tin departamento de scrvicio (apoyo). La problemas de administraciOn
funeion traditional de un departamento de de personal pero esta
servicio es ayudar a los departamentos de inforrnacion no se prueba en el
production a Ilevar a cabo sus examen de certificacion CISA
operaciones mas efectivarnente y debido t su subjetividad y a su
eficientemente. Hoy, sin embargo, SI se relation con el objetivo
ha convertido en parts integral de today organizational especifico.
las rases de la operation de una
organinciOn. Su importancia continua Contratackin
creciendo art° tras alio, y hay poca Las practicas de contratacion de una
probabilidad de que esta tendencia se organization son importantes para
revierta. Los auditores de SI deben asegurar que se escoja el personal Inas
entender y apreciar el grado al que tin eficiente y efective y que la compaata
departamento tle St bien administrado es cumpla con los requisitos legates de
crucial para lograr los objetivos de la reelutantiento. Algunos de los controles
organization. comunes
· Verificacion de antecedentes (par
Las actividades de Ia gerencia para ejemplo, penale-s, financieros,
revisar las formulaciones de politicas y profesiOnales, referencias,
procedimicntos y su efectividad dentro calificaciones).
del departamento de Si incluirian · Acuerdos de confidencialidad.
practicas tales coiuu administration de · Establecim lento de una llama
personal, contratacion y administraci6n para los empleados para proteger
de cambios de TI. contra perdidas, errores y
negligencia (Nota: La Iianza de
empleados no es siempre una
2.9.1 GESTIoN DE RECURSOS
practica aceptada en todo el mundo;
HUIVIANOS en algunos paises no es legaimente
La gestiOn de personal se refiere a las aceptada).
politicas y procedimientos de la · Acucrdos sabre el conflicto de
organizacion para reclutamiento, intereses.
· Codigos de conductaaica sea el adecuado para la position
profesionai. para la cual es reclutado.
· Acuerdos de no divulgacion. · Es posible que no se Ileve a cabo
Ia verificacion de referencias.
Los riesgos del control incluyen: · El personal temporal y los
· Es posible que el personal no terceros pueden introducir riesgos
fuera de control.

ISACA. Todon los derechos reservados.
C. Certified Information CI Section Dos: Contenido Capitulo
SA systarts Auditor-
..,.......- ,,m....,
· Es posible que el Politicas de promocion

deseonocimiento de los Las politicas de promocien deben ser
requerimientos de confidencialidad justas y connprendidas por los
conduzca a comprometer el empleados. Las politicas deben estar
ambiente esperado de seguridad basadas en criterios objetivos y tomar
general. en consideration el desemperio, el
nivel de fonnacian, Ia experiencia y el
Manual del empleado nivel de responsabilidad individual.
Los manuales de empleado,
distribuidos a todos los empleados El auditor de SI debe asegurar que la
al ser contratados, deben explicar puntos organization de SI tenga politicas y
tales C01110: procedimientos de promociOn bien
· Politicas y procedimientos de definidos y los este aplicando.
seguridad
· Conducta aceptable e inaceptable Capacita don
· Codigo de valores y etiea de la Todos los empleados deben recibir
organization capacitation de manera habitual,
· Expectativas de la empresa dependiendo de las areas en que les
· Eteneficios de los empleados falte experiencia y conoeimientos.
· Politicas de vacaciones (dias Esto es especialmente importante
feriados) para los profesionales de SI, dado el
· Rcglas de horns extra rapido ritmo de cambio de la
· Empleo extern° tecnologia y los productos. La
· Evaluaciones de desempeiio capacitaciOn no solo asegura el uso
· Procedimientos de einergeneia eficiente y efectivo de los recursos
· Aeciones disciplinarias por: de SI sino que tambien fortalece la
- Ausencias excesivas moral de los empleados. Se debe
-Violation de la confidencialidad y/o proveer capacitacion cuando se esta
seguridad implementando nuevo hardware y/o
-No cumplimiento de las politicas software. La capacitation debe
cubrir tambien areas pertinentes de
En general, debe existir tut gerencia, de gestien de proyectos y
endigo de conducta publicado aspectos tecnicos.
para Ia organization que
especifique las responsabilidades La capacitaciOn cruzada consiste
de todos los empleados. en capacitar adecuadamente a aids
de un individuo para realizar un Cronogramas y reportes de tlempo
trabajo o procedimiento especifico. La preparacien de un cronograrna
Esta practica tiene la ventaja de adecuado permits una operacion y uso
disminuir la mks eficiente de los recursos
dependencia con respecto a un informaticos. El reporte de tiempo
empleado y puede ser parte de la permite a la administration monitorear
planificacion de sucesiones, Tambien el proceso de programacion de
provee un respaldo de personal en los actividades. La gerencia podia entonees
casos en que alguien se ausente por detenninar si el personal escogido es el
alguna razOn y de este modo proveer adecuado y si la operaciOn esta
continuidad en las operaciones. Sin funcionando de manera eficiente. Es
embargo, al utilizar este enfoque seria importante que la information que este
prudence que se evaliten previamente siendo introducida o registrada en dicho
los riesgos de que cualquier persona sisterna sea exacta.
conozca todas las partes de un sistema y
el grado de exposition que esto podria El reporte de tiempo puede ser una
generar. excelente Puente de informaciOn para
los fines del gobiemo de T1. Uno de los
recursos mas escasos en T1 es el
tiempo, y su debido reporte
definitivamente ayudara a administrar
mejor este rccurso fink°. Esta
informaciOn puede ser util para Ia
asignacion de costos, facturacion,
medicion de indicadores slave de metas
(KGI) e indicadores chive de
desempefio 000 y analisis de
actividades (por ejemplo, cuintas horns
dedica Ia organizaciOn a los cambios
en las aplicaciones en comparacion con
nuevos desarrollos).
Evaluaciones del desemperio de

los empleados
Las evaluaciones del
desempeoivaloraciOn de los
empleados deben ser un estandar y
un tema habitual para todo el
personal de SI. El departamento de
recursos humanos (1-IR) debe
garantizar que los gerentes y los
empleados de SI establezcan metas y
resultados esperados de mutuo
acuerdo. La evaluacion puede ser descubra alguna actividad fraudulenta,
aplicada en ftincion de estas metas siempre y cuando no haya habido
solo si el proceso es objetivo y confabulaciOn entre los empleados
neutral. para cubrir las posibles discrepancias.
Los atunentos de salmi°, las La rotation de puestos provee tut

bonificaciones per desempetio y las control adicional (para reducir el riesgo
promociones deben basarse en el de actos fraudulentos o maliciosos), ya
desempefto del empleado. El mismo que el mismo individuo no realiza las
proceso puede tambien pennitir que mismas funciones todo el tiempo. Esto
la organization evalue las genera la oportunidad para que un
aspiraciones y la satisfaceiOn del individuo que no es la persona asignada
empleado y que identifique sus regularmente realice el trabajo y se de
problernas. cuenta de
posibles irregularidades. Ademds, la
Vacaciones legales rotacion de puestos Iambi& protege el
Las vacaciones legales aseguran que riesgo de dependencia excesiva de
una vez al afio, como minima, alguien personal slave divulgando Ia
que no sea el empleado titular realice experiencia en procedimientos y
una fluxion de trabajo. Esto reduce Ia controles asi como tambien en
oportunidad de cometer actos tecnologias especificas. Sin esto, una
indebidos o ilegales. Durante este empresa podria ser vulnerable si un
tiempo, puede ser posible que se empleado slave no esta disponible.
Nota: El auditor de SI (CISA) debe conocer naaneras
de mitigar el fraude interno. La licencia obligatoria
para ausentarse es una de tales medidas de control.
Manual de Preparation a! Examen CISA 2015

10 1 ISACA. Todos los derechos reservados.
Capitulo 2— Gobiemo y Gesticin · Devolution de todas las
de 71 chives de acceso, tarjetas y
distintivos de Went -if-tendon
para prevenir un posterior
acceso tisico facil.
· Eliminacionirevocaeion de Ia
identilicaeitm para iniciar
PoUticas de terminacion de
sesiOn (logon) y las
contrato
contrasenas (passwords)
Se deben establecer politicas
para probibir el acceso al
escritas pam la terminacion
sistema.
de contratos que indiquen
· Notilleacion a los
pasos claramente definidos
para el retire de un empleados y personal de
seguridad perlinentes
empleado. Es importante que
con respecto al camhio
las politicas se estructuren
del estado del empleado
para brindar la protecciOn
"despedido".
adecuada a los actives y datos
· Arreglo de las retinas de pago
in fonmiticos de la
final para eliminar al
organizacion. Las practicas empleado de los archivos
de terminacian de contratos vigentes de namina.
deben considerar tanto los
· Realization de una entrevista
retiros voluntarios coma los
de termination para
involuntartos (par ejemplo,
despido inmediat4 Para recoger una opinion sabre
ciertas situaciones, tales la perception que tiene el
coma las term inaciones empleado sabre la
involuntarias bajo gerencia.
condiciones adversas, Ia
organizaciOn debe tener Nam: Los cambios en las
procedimientos claramente funciones y las
definidos y documentados responsahilidades de trabajo
para escoltar al entpleado coma, par ejemplo, Ia
retirado fuera de las transferencia a otro
instalaciones. Sin embargo, departarnento, pueden
cn todos los cases, se deben requerir la revocation y Ia
aplicar los siguientes nueva emision de derechos
procedim lentos de control: de acceso al sisterna y al area
de trabajo similares a los horarias y arbitrar las
pmcedimientos de despido. tarifas laborales, y pueden
incluir:
· En el sitio---E1 personal
2.9.2 PRACTICAS DE SOURCING trabaja en el sitio, en el
Las practicas de sourcing se departarnento de SI.
refieren a la forma en que Ia · Fuera del sitio—Tainbien
organizacion obtendra las conocido corno "Ithicacion
funciones de SI requeridas cercana", el personal
para respaldar el negocio. Las trabaja en un lugar distante
organizaciones pueden en la rnisma area
realizar todas las funciones geograftea,
de SI internatnente (lo que se · En el extranjero—El
conoce como "insourcing") en personal trabaja en on
una forma centralizada, o lugar distante en una
contratar todas las funciones regiOn geografica
en otras panes del inundo. La diferente.
estrategia de sourcing debe
considerar cada funcion de SI
y detertninar que enlbque
permite que la funcion de SI
alcance los objetivos de la
empresa.
La entrega de funciones de Si
puede incluir:
· Funciones in ternas—Realizadas
totalmente por el personal
de Ia organizacion
· Externalizadas—Realizadas por
el personal terceros
· I librido—Realizadas
por una rnezcla del personal
de Ia organizacion y de
terceros, puede
incluir personal en
asociaeiones de
negocios/suplementar
io
Las funciones de SI se
pueden Ilevar a cabo en
diferentes panes del monde,
para aprovechar las zonal
Seccicin Dos: seguirse tin proceso
Contenido CiSA A trI r
ir r il
riguroso. que incluya:
·
04)Inkum Definir la funcion de SI que
debe ser extemalizada.
· Describir los niveles
de scrvicio requeridos y
La organizacion debe evaluar sus las metricas minirnas
funciones de SI y determinar el que se deben cumplir.
inetoclo mas apropiado de · Estar consciente del
entregar las funciones de Sl, nivel deseado de
prestando consideracidn a lo conocimiento, habilidades y
siguiente: calidad que se espera del
·i,Es esta una funcion proveedor de servicio.
primordial para la · Conocer la
organizacion? infonnacidn actual
·Jiene esta funcion del costo intern°,
conocimientos, procesos y para campararlo con
personal especificos que scan las ofertas de
criticos para alcanzar las terceros.
metas y objetivos, y que no § Realizar revisiones de
se puedan obtener debida diligencia de posibles
externamente n en otro proveedores de servicio.
lugar?
-i,Puede esta funcion scr Us.ando esta informacion, la
cfcctuada por un tercero o en organizacion puede realizar
otro lugar por el mismo un analisis detallado de las
precio o por un precio ma's ofertas de los proveedores de
bajo, con la misma o mayor servicio y delerminar si la
calidad, y sin aurnentar el externalization pernutira a is
riesgo? organizacion cumplir sus
·i,Tiene la organizacion inetas de una fomia eficiente
experiencia administrando a en costa, con riesgo limitado.
terceros o usando lugares
distantesien el extranjero
El mismo proceso debe ser
para ejectitar funciones de SI
considerado cuando una
o de negocio?
organizacion escoge
Al completarse la estrategia "globalizar" o trasladar sus
de sourcing, el comitd de funciones de SI al extranjero.
direction de SI debe revisal y
aprobar Ia estrategia. En PractIcas y estrategias de
este panto, si la organizacion externalizacion
ha elegido usar Las practicas de
extemalizacion, debe externalization se refieren a
acuerdos contractuales por los ajustar el lama& at nivel adecuado,
etudes una organizaciOn la decision de externalizar
entrega el control de parte a la servicios
total idad de las funciones de productos requiere que Ia
SI a un tercero. La mayoria de gerencia vuelva a analizar el inarco
los departamentos de SI de control sabre el que puede
utilizan recursos de basarse.
infortnacion de una amplia
gania tic proveedores y, por lo
tanto, necesitan un proceso
definido de externalization
para administrar
efectivainente Jos acuerdos
contractuales con estos
proveedores.
El tercero provee los recursos,

Ia experiencia y conocimientos
que se requieren para realizar
el servicio acordado. La
externalization se esta
volviendo cada vez MaIS
importante en inuchas
organizaciones. El auditor de
SI debe estar consciente de las
diversas tbrinas que puede
asumir la externalization, asi coma
de los riesilos que estan asociados
con esta modalidad.
Los objetivos especificos para

la extemalizaciOn de TI varian
de una organizacion a otra. Es
caracteristico, sin embargo,
que la meta sea alcanzar una mejora
duradera y significativa en los procesos
de negocio y los servicios a
troves de tuna reestructuracion
corporativa, para sacar
provecho de las principales
competencias de tin proveedor.
Al igual que con Ia decision de reducir o
In C
CISA Cestifed
rAck- rort
.c.in on
Capitulo 2—Gobierno y Gestion de 11

ISACA_ Todos los derechos reservados.
InfoLas
rmation razones para decidirse por la Organizacion Internacional
extemalizaciOn incluyen: de Nonnas (ISO)
· El deseo de centrarse en · Asegurar una •
las actividades clove consideraciOn contractual •
· Presion sobre los adecuada del control de

margenes de utilidades aceesofadministracion de
· Mayor competencia quc la seguridad, controlada
exige reducciOn de costos por el proveedor o por el
· Flexibilidad con duetio.
respecto tanto a Ia · Asegurar que el y
organizaciOn como a la contrato exija un
estructura reporte de violaciones
y seguimiento, y
Uri auditor de SI deberia cualquier requerinnento para
detenn Mar si al desarrollar notificacion al duet° y C
sus priktieas y estrategias de cooperation con
extemalizacion, una empresa cualquier
ha considerado las ventajas, investigacion.
las desventajas y los riesgos · Asegurar que el
del negocio, asi corno las contrato exija un control y
opciones de reduceiOn de prueba de cambio/ version
riesgos indicadas en la figura para las etapas de
2.8. implementation y
production.
Ademas, una empresa · Asegurar que las partes
deberia considerar las responsables y los
siguientes elausulas en sus requerimientos para los
contratos de outsourcing o controles sobre la red esten
cxternalizacion: adecuadamente definidos, y
· Incorporar expectativas quc este establecida
de calidad de servicio, lo quc cualquier delineation
incluye necesaria de estas
el use de ISO/IEC 15504 responsabilidades.
(Determination de Ia
Capacidad
de Mejora del Proceso de
Software [SPICE]}, CMM1, 1TIL
metodologias de la
ISI
· Establecer concedan el derecho a
parametros de auditar las operaciones del
desempefio especificos, proveedor (por ejemplo,
definidos, que deben ser acceso a instalaciones,
cumplidos, por ejemplo, acceso a los registros,
tiempos mininios de derecho a hacer copias,
procesamiento para las acceso al personal, provision
transacciones o tiempos de archivos computarizados)
minimos de retention para los que se relacionen con los
contratistas. servicios contratados.
· Incorporar criterios de · Asegurar que el
administraciOn de la contrato trata de manera
capacidad. adecuada las disposiciones
· Proveer de continuidad del negocio
disposiciones y recuperation ante
contractuales para desastres y las pruebas
hacer cambios al apropiadas.
contrato. · Determinar quc
· Proveer un proceso deben mantenerse la
claramente definido de confidencialidad, la
escalamiento y resoluciem de integridad y la
disputas. disponibilidad de los
· Asegurar que el contrato datos (algunas veces
indemnice a Ia compailia por denominado la triada
daftos causados por la CIA) propiedad de Ia
organizacion responsable organization, y
de los servicios external establecer claramente la
izados. propiedad de los datos.
· Requerir contratos de · Rcquerir que el
con fidencialidad que proveedor cumpla con todos
protejan a ambas partes. los requerimientos legales y
· Incorporar disposiciones regulatorios relevantes,
clams, no ambiguas, sobre el incluyendo los promulgados
"derecho a auditar", que despues de la in iciaciOn del
contrato.
Figura 2,8—Ventajas, desventajas y del negocio, y opciones de reduccion de riesgos relaci

riesgos Posibles ventajas Opoio
Posibles desventajas y riesgos del negoclo
· Las comparlias de externalizaciOn · Costos que excedan las expectativas del · Establece
(outsourcing) pueden Iograr economies de cliente compartid
escala par media de Ia implementaciOn de · Perdida de Ia experiencia interne de SI sociedad
software de componentes reutilizables. · POrdida del control sabre SI · User mul
· Los proveedores de servicios externos · Incumplimiento del proveedor (preocupacion parte del
tienen la posibilidad de dedicar mss tiempo constants) · Realizar
y concentrarse con mayor efectividad y · Acceso limited° al producto y establec
eficiencia en un proyecto dado que el · Dificuttad para revertir o cambiar los comparat
personal interno. contratos de servicios externos · Implemen
·Los proveedores de servicios externos tienen · Deficiente cumplimiento de los · Former u
probablemente mss experiencia con un requerimientos legales y regulatorios administra
conjunto mss amplio de problemas, aspectos · Incumplimiento de los terminos del contrato · Incluir pro
y tecnicas que el personal interno. 0
Falta de lealtad del personal del contratista considera
· El ado de desarrollar especificaciones y para con el cliente puedan a
acuerdos contractuales empleando servicios · Clientes/empleados insatisfechos como
externos probablemente tenga como consecuencia del acuerdo de contratacion de
resulted° mejores especificaciones que servicios externos
si fueran desarrollados Onicamente por el · Due los costs del servicio no seen
personal Intern°. competitivos durante el period° total del
* Dada que los proveedores son altamente contrato
sensibles a las variaciones y los cambios que · Obsolescencia de los sistemas de TI del
consumen tiempo, es mucho menos probable proveedor
que haya un exceso de funcionalidades con · Que ninguna de las dos compatiias reciba
los proveedores de servicios externos. los beneficios anticipados del acuerdo de
extemalizacion
· Dario a la reputaciOn de una de las
companies, o de ambas, debido a Pallas
del proyecto
· Litigios prolongados y costosos
· Perdida o fuga de informaciOn o procesos
Manual de Preparation al Examen C1SA 2015 103

Section Dos: Contenido
CI
AR 11.11V,w1...ntsr.
· Proteger los derechos de Una vez que se ha seleccionado el

propiedad intelectual proveedor de servicios externos, el
· Cunaplir las leyes auditor de SI debe revisar
· Establecer roles y regularmente el contrato y los niveles
responsabilidades clams entre las de servicia para asegurar que sean
partes. apropiados. Ademas, el auditor de SI
· Requerir que el contratista siga podria revisar los procedimientos
las politicas de is organization, documentados del proveedor de
incluyendo so politica de seguridad, servicios y los resultados de sus
a menos que la organization Maya programas de calidad, que podrian
aceptado las politicas del contratista incluir, pot- ejemplo, ISO/IEC 15504
por anticipado. (SPICE), y las metodologias
· Requerir que el proveedor CMIVII, 1TIL e ISO. Estos
identifique todas las relaciones de programas de calidad requieren
subcontrato y requerir la auditorias regulares para certificar
aprobaciOn de la organizaciOn que el proceso y los procedimientos
para cambiar los subcontratistas. satisfacen el estandar de calidad.
La extemalizacion requiere que la La extemalizaciOn no es solo una

gerencia maneje activamente la decision de costo; es una decision
relaciOn y los servicios estrategica que tiene considerables
externalizados. Como el acuerdo de implicaciones de control para la
externalizaciOn se rige por los gerencia. La calidad de servicio, las
terminos del contrato, el contrato con garantias de continuidad del servicio,
el proveedor de servicios externos los procedimientos de control, la
debe incluir una descripciOn de los ventaja conipetitiva y los
medios, los metodos, los procesos y is conocimientos tecnicos son aspectos
estructura que acompalian la oferta de que necesitan ser parte de Ia decision
servicios y productos de SI, asi como para externalizar servicios de TI.
tambien el control de calidad. El Escoger el proveedor correcto es de
caracter formal o legal de estos extrema importancia, en particular
contratos depende de Ia relation entre cuando Ia extemalizacien es turn
las partes y de las exigencias estrategia a largo plazo. La
presentadas por los directivos a las compatibilidad de los proveedores en
personas eneargadas de ejecutar el terminus de cultura y de personal es un
contrato. aspecto importante que no debe ser
ignorado por Ia gerencia.
La decision de externalizar un servicio software o hardware. Los SLA
en particular que actualmente esti' tambien contienen disposiciones
dentro de la organization, exige debida relativas a penalizaciones y opciones
atencian a la negociaciOn del contrato. de aplicacion en el caso de servicios
tin contrato con on buen balance de no suministrados, y pueden incluir
acuerdos de nivel de servicio (SLA) es incentivos tales como bonos o
de suma importancia para la calidad del participacion en las ganancias por
servicio y la cooperation futura entre las superar los niveles de servicio.
partes.
Los SLA son on medio contractual de
Por encima de todo, los SLA deben ayudar al departamento de SI a
servir como instrumentos de control. administrar los recursos de
Cuando el proveedor de servicios information bajo el control de un
externos sea de otro pais, la proveedor.
organization debe conocer la
legislation mas ally de sus fronteras. Estanderes de la
Industria/Referencies
Los SLA estipulan y comprometen a La mayoria de las organizaciones que
un proveedor a tin nivel requerido de prestan servicios externos deben
servicio y opciones de soporte tecnico. cenirse a un conjunto de estandares
Esto incluyc garantizar un nivel de bien definido en el que sus clientes
desempetio del sistema con respecto a confien.
tiempo activo o inactivo, asi coin°
tambien un nivel especifico de soporte Estos estandares de la industria proveen
al cliente. Tambien se estipulan los un medio para detenninar el nivel de
requerimientos de desempefio brindado por entomos
similares de procesamiento do
infonnacion. Estos estandares pueden
ser obtenidos de los grupos de usuarios
de los proveedores, de las publicaciones
de la industria y de las asociaciones
profesionales. Los ejemplos incluyen
ISO 9001:2008 Sistemas de Gestien de
Calidad—Requerimientos y CMMI.
Practices y estrategias de
globalizacien
Ademas de recurrir a Ia contrataciem de
funciones como servicios externos,
mochas organizaciones Ilan elegido
globalizar sus funciones de SI. La
globalization de las fitneiones de SI se
realiza por muchas de las mismas —La continuidad del negocio y la
razones citadas para la extemalizacion: recuperation ante desastres pudieran
sin embargo. la organizaciOn puede no estar establecidas y probadas de
escoger no externalizar la tuncion. manera adecuada.
Globalizar las funciones de Si requiere · Personal—Las
que la administration supervise modilicaciones que se
activamente las ubicaciones distantes y necesitan para las politicas de
las instalaciones en el extranjero. personal pudieran no
considerarse.
Cuando la organiz_aciOn realice las · Problemas de
funciones internamente, puede escoger telecomunicaciones—Los controles
trasladar las funciones de Si a otro y el aeceso a Ia red desde
Lugar o al extranjero. El auditor de SI ubicaciones distantes o en el
puede ayudar en este proceso al extranjero pueden estar sujetos a
asegurarse que Ia gerencia de SI mas interrupciones frecuentes o a
considere los riesgos y preocupaciones un flamer° mayor de riesgos de
de auditoria siguientes cuando detina la seguridad.
estrategia de globalization y erectile la · Problemas transfronterizes y
transition subsiguiente a las ubicaciones transeulturales—Administrar
en el extranjero: personas y procesos en multiples
· Aspectos legales, regulatorios zonas horarias, idiomas y culturas
y fiscales—Operar en un pais a puede presentar desafios y problemas
region diferente puede introducir no planeados. El Cluj° de datos entre
nuevos riesgos sabre los cuales la fronteras tambien puede estar sujeto a
organinciOn puede tener requerimientos legislativos, por
conocimientos limitados. ejemplo, que los datos deben estar
· Continuidad de las operaciones encriptados durante la transmisiOn.
104 Manual de Preparacitin al Examen CISA 2015

CISACertified Information
Systems Auditor'
Seccian Dos: Contenido Capitulo
Computacion en la nube modelos de implementaciOn (figura

lino de los problemas que afecta a la 2.10) y cinco caracteristicas esenciales
nube y a sus servicios relacionados es la (figura 2.11). Los riesgos y beneficios
falta de definiciones acordadas. Al igual globales seran di ferentes segini el
que con todas las tecnologias modelo, y es importante tener en cuenta
emergentes, la falta de claridad y de que al considerar los di ferentes tipos de
acuerdos a menudo dificulta la servicios y modelos de
evaluaciOn general y la adopciem de implementacion, las empresas deben
esa tecnologia. Dos grupos que han considerar el riesgo que los acompatia.
ofrecido una line de base de las
definiciones son el Instituto Nacional El almacenamiento en la nube puede
de Estandares y Tecnologia (NIST) y la involucrar requisitos
Cloud Security Alliance. Ambos legales adicionales sobre los cuales el
definen a la computacion en la nube auditor de SI debe teller
corno un modelo para permitir el conocimiento. Algunas legislaciones,
acceso conveniente bajo dernanda en por ejemplo, requieren que las datos
una red, a un conjunto campartido de almacenados fuera de la region esten
recursos informaticos configurables sujetos a controles de seguridad
(por ejemplo, redes, servidores, adicionales incluida la encriptaciOn
alinacenamiento, aplicaciones y robusta.
servicios) que pueden ser surninistrados
y I iberados rapidamente con un Externalizacion e inforrnes de
minim° esfuerzo de gestion o de auditoria de terceros Un metodo para
interaccion del proveedor de servicios. que el auditor de SI tenga el
Otra forma de desctibir los servicios aseguramiento de las controles
ofrecidos en la nube es comparandolos aplicados por tin proveedor de servicios
con los de una empresa de servicio requicre que el proveedor suministre
pilblico. De la misina fonna que las periodicamente un informe de auditoria
empresas pagan por la electricidad, el de terceros. Estos infonnes cubren Ia
gas y el agua que utilizan, ahora tienen gama de cuesliones relacionadas con la
la opcian de pagar por los servicios de confidencialidad, la integridad y la
TI desde un panto de vista de consumo. disponibilidad de los datos. En algunas
industrias, dichas auditorias pueden
El modelo de la nube se puede estar bajo la supervisiOn y el control
considerar como compuesto por ties regulatorio. Par ejemplo, existen
modelos de servicio (figura 2.9), cuatro requerimientos tales corno Statement
on Standards for Attestation Standard on Assurance
Engagements (SSAE) 16 (conocido Engagements (ISA E) 3402,
anteriormente como Statement on Assurance Reports on Controls at a
Auditing Standards [SAS] 70), y una Service Organization.
guia de auditoria del American Institute
of Certified Public Accountants Gobierno en externalizacion
(AICPA), que proporciona un marco de La extemalizaciOn es el mecanismo
referencia de tres opciones de informes quc pennite a las organizaciones
de Organizacion de Servicios de transferir Ia prestacion de servicios a
Control (SOC) (informes SOC 1, SOC terceros. Fundamental para la
2 y SOC 3). Los infonnes SOC I se externalizacion es aceptar que,
centran Onicamente en los controles en aunque Ia entrega es transferida, la
una organizacion de servicio que responsabilidad sigue estando sobre
puedan ser relevantes para una auditoria los hombros de la gerencia de [a
de estados financieros de una entidad organizaciOn cliente, que debe
del usuario. Los SOC 2 y 3 vincutan los asegurar que los riesgos est6n
controles de direccian en la empresa de correetamente administrados y haya
servicios que se relacionan con las entrega continua de valor de parte del
operaciones y el ctunplitniento. Estas proveedor de servicios. La
nuevas normas de informacion transparencia y la propiedad del
representan cambios significativos proceso de toma de decisiones deben
desde el infonne SAS 70, ya que las estar dentro de la competencia del
organizaciones se interesan cada vez cliente.
nth en los riesgos, ademas de Ia
presentaciOrt de informes de los La decision de externalizar es una
estados financieros (por ejemplo, la decision estrategica, no simplemente
privacidad). El International Auditing una decision de adquisicion. La
and Assurance Standards Board organizacien que extenializa esta
(IAASB) tambien emitiO una nueva efectivamente reconfigurando su cadena
directriz en este sentido: la International de valor al identificar las actividades
que son centrales para su negocio,
retenerlas y seleccionar las actividades
no centrales quc se puedan contratar
externamente. Entender esto a la luz del
gobiemo es slave, no solo porque se ha
demostrado que las organizaciones bien
gobernadas aumentan el valor de los
accionistas, sino porque, mas
importante aun, las organizaciones estan
compitiendo en un mercado global y
dinamico cada vez mas agresivo.
Establecer y retener la ventaja
competitiva y de mercado requiere que posteriormente administrar esa
Ia organizacion pueda responder relaciOn con exit° exige un gobiemo
efectivamente a Ia competencia y a las efectivo. La mayoria de las personas
cambiantes condiciones del mercado. que desarrollan contratos de servicios
La externalizacion puede apoyar esto, extemos (outsourcing) incluyen
pero solo si la organizacion entiende disposiciones sobre control basica y
que partes de su negocio ejecucion de los servicios; sin
verdaderamente crean ventaja embargo, uno de los principales
competitiva. objetivos del proceso de gobierno de Ia
extemalizaciOn, como se define en el
El gobierno de la extemalizacien es el contrato de extemalizaciem, es
conjunto de responsabilidades, roles, asegurar la continuidad del servicio en
objetivos, interfaces y controles los niveles apropiados y Ia rentabilidad
requeridos para anticipar el cambio y y el valor agregado apropiados para
manejar la introduccien, el sostener Ia viabilidad comercial de
rnantenimiento, el desemperio, los costos ambas partes. La experiencia ha
y el control de los servicios provistos por demostrado que muchas compatlias
terceros. Es tut proceso activo que el hacen supuestos sobre lo que esta
cliente y el proveedor de servicio debe incluido en la propuesta de
adoptar pant proveer un enfoque coma, externalizacion. Mientras que no es ni
congruente y efectivo que identifique la posible ni rentable definir
informaciOn necesaria, las relaciones, los contractualmente cada detalle y cada
controles y los intercambios entre varios acciOn, el proceso de gobierno provee
interesados por ambas partes. el mecanismo para equilibrar el riesgo,
la demanda de servicio, la provision de
La decision de extemalizar y servicio y el costo.

105
Capitalo 2—Gobiemo y Gestiem de 71 Seccidn Dos: Co
Figura
2.9—Modelos de servicio de is computacion nube
en la
Modelo de servicio Definichin Lo quo se debe

Infraestructura corno
Capacidad pare configurar procesamiento,
Opciones de minimizer el impact° si el proveedor
de
un servicio (laaS)
alnnacenanniento, redes y otros recursos de
computacian
Ia nube experimenta una interrupcion del
Plataforma como un
Capacidad para implemental. en la
infraestructura de la
• Disponibilidad
servicio (PaaS)
nube aplicaciones creadas o adquiridas por el datos que cont
cliente que ahora
• Confidencialidad estaran hosped
se hayan creado utilizando lenguajes y
herramientas de
Software como un
Capacidad para utilizar las aplicaciones del
proveedor
• 6Ouien es el duel] de las aplicaciones?
servicio (SaaS)
que se ejecutan en Ia infraestructura de Ia nube.
Se
[sAcA, amid Computing: Business Benefits With Security. Govenriance and Assurance
imagen I . Mina 5, vmwisacaorg/Knowiedge-Center/
Figura 2.10—Modelos de implementacion de la en la

computaciOn
Model° de implementacion Descripcion de Ia infraestructura de Ia nube Lo
Nube privada · Operada ilnicamente para una organizaciOn · Servicios
· Puede ser manejada por Ia organizaciOn 0 · Es posib
un tercero escalabi
· Puede existir dentro o fuera de las instalaciones de la nub
Nube comunitaria · Compartida per varies organizaciones · Igual que
· Respalda una comunidad especifica que adicional
haya cornpartido su rnisiOn o interes · Los datos
· Puede ser manejada por las organizaciones 0 con los da
en tercero
· Puede residir dentro c fuera de las instalaciones
Nube priblica · Esta disponible para el Oblico en general o un · Igual
que
grupo industrial grande adicional
· Pertenece a una organizaciOn que vende · Los dates
servicios en la nube ubicacion
_ ser facile
Nube hibrida Una composicion de dos o mss nubes (privada, · El riesgo
comunitaria a pbblica) que contintjan siendo modelos
entidades 6nicas, pero quo estan unidas mediante · La clasif
tecnologia estandarizada o propietaria que permite ayudard
Ia portabilidad de datos y aplicaciones (por ejemplo, garantiza
ampliaciOn de Ia nube [cloud bursting] para tipo de n
equilibrar la carga entre las nubes)
ISACA, Cloud Computing: Business Benefits With Security Governance and Assurance Perspectives, EE. UU., 2009, imago 2,
Research/Researchneliverables/PagesiCiouct-Computing-Business-Benefits-With-Security-Governance-and-Assurance-Perspective.a,
106
Manual de Preparacion al Examen LISA 2015

ISACA. Todus los derechos reservados.
C me
, A. Certified Information
411014 Systems
f.r ' t . I.,,
to
Seccian Dos: Contenido Capitulo 2—Gobierno y Gestion de TI
Hon 2.11—Caracteristicas fundamentales de is computacion en Ia

Caracteristica Definicion
Autoservicio a sollcitud El proveedor de Ia nube debe poder suministrar automaticamente ca
coma el almacenamiento en servidores y redes, segan sea necesario
con cada proveedor de servicios.
Acceso a redes de banda ancha De acuerdo con el NIST, debe ser posible acceder a la red en Ia nube
de casi cualquier dispositivo (por ejemplo, telefono inteligente, laptop
Agrupacion de recursos Los recursos informaticos del proveedor se agrupan para prestar serv
utilizando un modelo de multiples usuarios, con diferentes recursos fi
reasignados de manera din5mica segan Ia demanda. Existe un sentid
Generalmente, el cliente no tiene control o conocimiento de la ubicac
proporcionados. Sin embargo, puede ser capaz de especificar una ab
abstraccion mayor (par ejemplo, pais, region o centro de datos). Los e
almacenamiento, procesamiento, memoria, ancho de banda de la red
Elasticidad rapida Las capacidades se pueden suministrar de manera rapida y elastica,
autornaticamente, para una rapida expansion y liberar rapidamente p
Para el cliente, las capacidades disponibles para suministro, con frec
ademas, se puede adquirir cualquier cantidad de capacidades en cua
Servicio medido Los sistemas en Ia nube controlan y optimizan el uso de recursos de
capacidad de mediciOn (por ejemplo, almacenamiento, procesamient
usuaria activas). El uso de los recursos se puede monitorear, controla
transparencia tanto para el proveedor como para el cliente que utiliza
tSAC& Cloud Computing: Business Benefits With Security. Governance and Assurance Perspectives, EE. UU., 2009, ir
www.isaca.org/Knowledge-Center/ Itsearch/ResearchOefiverables/Pagesiaoud-Computing-Business-Benefits-With-Security-Governance-
El gobiemo de revision continua,

extemalizacion extiende mejoramiento y obtencion
las responsabilidades de de beneficios para ambas
ambas panes (por ejemplo, panes.
cliente y proveedor) en lo · Inclusion de un programa
que respecta a: explicito de gobierno para el
· Asegurar la viabilidad contrato.
contractual a Waves de · GestiOn de Ia
relacion pant asegurar Invertir en la costosa
que las obligaciones implementation de
contractuales se tecnologia, y en la
cumplan a craves de capacitacion relacionada, es
acuerdos de nivel de considerado menos una
servicio (SLA) y actividad organizational
acuerdos de nivel central que la capacidad
operativo (OLA). para trabajar elicientemente
· Identificacion y manejo en toda la cadena de valor al
de todos los interesados, integrar Ia extemalizaciOn
sus relaciones y donde sea apropiado.
expectativas.
· Establecimiento de roles Aunque el tennino
y responsabilidades claros "alineacion con el
para Ia Coma de negocio" se utiliza con
decisiones, escalamiento frecuencia, no siempre
de probletnas, gestion de esta claro lo que abarca.
disputas, gestion de En el sentido mss amplio,
demandas y prestaciOn de implica pacer que los
servicios. servicios provistos por la
· Asig,nacien de funcion corporativa de TI
recursos, gastos y reflejen mss
consumo de servicios estrechamente los
en respuesta a las
necesidades
priorizadas.
· Evaluaeion continua
del desempeilo, costa,
satisfacciOn de los
usuarios y eficacia.
· Comunieacion constante
con today las panes
interesadas. El creciente
tamafio del espacio de
soluciones de tecnologia es
irnpulsado por el ritmo de Ia
evolution tecnologica.
Adquirir, capacitar y retener
personal califlcado se esta
volviendo mss taro en una
economia cada vez mils
global, dinamiea y inovil.
requerimientos y deseos de tecnologica.
los usuarios del negocio.
Cuando las organizaciones Capacidad y planificacion del
reconocen lo que es central crecimiento
para su negocio y que Dada la importancia
servicios les proveen una estrategica de TI en las
ventaja diferencial y compailias y el cambio
extemalizan las actividades constante en la tecnologia, la
que respaldan estos servicios, capacidad y Ia planificacion
Ia alineaciOn con el negocio del crecimiento son
puede empezar a alcanzarse. esenciales. Esta actividad
Si ha de entenderse el grado debe reflejar los planes de
al quo esta alineacion se largo y corto plazo del
aproxima, Ia implication es negocio y debe ser
que los SLA y los OLA deben considerada dentro del
ser establecidos, proceso de elaboration del
monitoreados y medidos en presupuesto. Los cambios en
terminos de desempetio y Ia capacidad no deben
satisfaction de los usuarios. solamente reflejar cambios
La alineacion con el negocio en la infraestructura
deberia ser impulsada por el subyacente, sino tambien en
usuario final del servicio. la cantidad de personal
disponible para respaldar la
Se deberia planificar organizaciOn. Una carencia
previamente el gobierno e de personal debidamente
integrarlo en el contrato calificado puede demorar
como pane de Ia optimization proyectos que son criticos
de costos del servicio. Los para Ia organizaciOn u
procesos definidos de ocasionar que los niveles de
gobierno deben evolucionar a servicio acordados no se
medida que las necesidades y cumplan. Esto es la que Ileva
las condiciones de la relacion a algunas organizaciones a
de servicios externos se escoger la extemalizaciOn
adaptan a los cambios en la como una solution para el
demanda y entrega del crecimiento.
servicio y a la innovation

107
!MCA. Todos los derechos reservados.
Capitulo 2—Gobierno y Gestion de Ti Seccion Dos: Co
Gestic:in de prestacion de pactados, las definiciones de
servicios de terceros servicio y los aspectos de
Cada organizacion que usa administracion de servicio. En
los servicios de terceros el caso de acuerdos de
debe tencr un sistema de extemalizaciOn, la
administraciOn de organizacion debe planificar
las necesarias transiciones
prestaciOn de servicios para
(de informacion, instalaciones
implementar y mantener el de procesamiento de
nivel apropiado de informacion y cualquiera otro
seguridad de la informacion element() que necesite ser
y prestacion de servicios movido) y debe garantizar
que este' alineado con los que la seguridad se mantenga
contratos de prestacion de durante todo el periodo de
servicio de terceros. transition.
La organizacion debe La organizacion debe

asegurar que el tercero
verificar la implementation de mantenga capacidad de
los contratos, monitorear el servicio suficiente junto con
cumplimiento de los contratos planes aplicables disenados
y administrar los cambios para asegurar que los niveles
para asegurar que los de continuidad del servicio
servicios entregados acordados se mantengan en
satisfagan los requcrimientos caso de fallas de servicio
acordados con el tercero. importantes o desastres.
PRESTACION DE MONITORED V
SERVICIOS REVISION DE LOS
Se debe asegurar que los SERVICIOS DE
controles de seguridad, las TERCEROS
definiciones de servicio y los Los servicios, reportes y
niveles de entrega incluidos registros suministrados por el
en el contrato de prestacion tercero deben ser
de servicios por un tercero monitoreados y revisados
sean implementados, regularmente, y las auditorias
operados y rnantenidos por deben ser efectuadas
el tercero. regularmente. El monitoreo y
revision de los servicios de
La prestaciOn de servicios terceros deben asegurar que
por un tercero debe incluir
los terminos y condiciones de
los acuerdos de seguridad
seguridad de la informacion
de los contratos se ester negocio y de la Ti en
cumpliendo y que los general, es el foco principal
incidentes y problernas de al considerar el use de la
seguridad de infonnacion computation en la nube.
esten siendo manejados medida que las empresas
debidamente. Esto debe confien en la nube para
involucrar una relacion de ofrecer servicios que
administracion de servicios y tradicionalmente han lido
un proceso entre la manejados intemamente,
organizacion y el tercero para: tendran que hacer algunos
· Monitorear los niveles de cambios para ayudar a
descmpetio del servicio para garantizar
verificar el cumplimiento de
los contratos 108
· Revisar los reportes
de servicio producidos
por el tercero y
concertar reuniones
regulares para evaluar
el progreso que
requieran los contratos
· Suministrar informacion
sobre los incidentes de
seguridad de la infonnacion
y revision de esta
infonnacion por el tercero y
por Ia organizacion Como lo
exijan los contratos y las
directrices y procedimientos
de respaldo
· Revisar las pistas de
auditoria de terceros y los
registros de eventos de
seguridad, problemas
operativos, Pallas, rastreo
de faltas e intemtpciones
relacionadas con el
servicio entregado
· Resolver y manejar
cualquier problema
identificado
GOBIERNO DE LA NUBE
La direccion estrategica del
que continuen cumpliendo con personal de las unidades de
los objetivos de desempetio, negocio, que se vio obligado Lc
con su aprovisionamiento de anterionnente a pasar por Ia Ti de
tecnologia y que los negocios para obtener un servicio, ahora pu
esten estrate'gicamente puede prescindir de ella y los
alineados y el riesgo bajo recibir el servicio directamente sib
control. Ascgurar que TI esta desde la nube. Las politicas se · 1
alineada con el negocio, los deben modificar o desarrollar · I
sistemas son seguros y el para abordar el proceso de · r
riesgo es administrado es dificil sourcing, gestiOn y L
en cualquier entorno y afin mas discontinuidad del use de a
complejo en una relacion con servicios de la mtbe.
terceros. Las actividades
T
tipicas de gobierno, tales como La responsabilidad de
I
el establecimiento de metas, administrar la relacion con un
IQ:
las politicas y el desarrollo de tercero debe ser asignada a
111
estandares, Ia definicion de una persona designada o a un
4
roles y responsabilidades, y el equipo de administracion de
US
manejo del riesgo deben incluir servicios. Ademas, la
consideraciones especiales organizaciOn debe asegurar
cuando se trata de Ia que el tercero asigne 2.
tecnologia de la nube y sus responsabilidades para La
proveedores. verificar el cumplimiento y un
ejecutar los requcrimientos mi
Al igual que con todos los de los contratos. Se deben qu
cambios en la organizaciOn, es poner a disposition nil
de esperarse que sera suficientes habilidades y
necesario hacer algunos de
recursos tecnicos para de
ajustes en Ia forma en que se monitorear si los requisites
manejan los procesos de qu
del contrato, en particular los
negocio. Los procesos de un
requerimientos de seguridad
negocio, come procesamiento de la informacion, se estan
de datos, desarrollo y cumpliendo. Se debe El
recuperation de informacion, emprender una accion qu
son ejemplos de areas de apropiada cuando se
cambio potential. Ademas, sera observen deficiencias en la po
necesario considerar los prestacion del servicio. ne
procesos que detallan Ia forma los
de almacenar, archivar y La organizaciOn debe
respaldar la informacion. La mantener stificiente control y Ur
nube presenta muchas visibilidad general en todos ad
situaciones (micas que deben los aspectos de seguridad pu
abordar las empresas. Un gran relacionados con Ia pa
problema del gobiemo es que el infomsacion sensible o critica de
qu
Ca
ob
re
t
o las instalaciones de cuenta:
procesamiento de · Cambios hechos por
informacion a los que un la organizaciOn para
tercero tuvo implementar: — Mejoras
acceso, proceso o gestiona. La en los servicios
organizacian debe asegurar ofrecidos aclualmente
que se mantenga la visibilidad
en las actividades de seguridad Manual de Preparation a!
tales como administracion de Examen CISA 2015 '
cambios, identificaciOn de las 1SACA. Todos los derechos
reservados.
vulnerabilidades y
reporteirespuesta a incidentes
de seguridad de la informacion
a traves de un proceso de
reporte, formates y estructura
claramente definido. En el case
de la externalization, la
organizacion necesita estar
consciente de que la
responsabilidad en Ultima
instancia de la infonnacion
procesada por un proveedor de
servicios extemos sigue siendo
de Ia organizacion.
GESTION LW
CAMBIOS A LOS
SERVICIOS DE
TERCEROS
Se deben manejar los
cambios a la provision de
servicios, incluyendo
mantener y mejorar las
politicas de seguridad de la
information, procedimientos y
controles existentes, tomando
en cuenta la criticidad de los
sistemas y procesos de
negocio involucrados y
reevaluando los riesgos.
El proceso de administrar los

cambios a un servicio de
tercero debe tomar en
Section Dos: Centenido Capitulo
C. Certified Information
systems Audittre
CISA
-Desarrollo de cualquier aplicacion y · Reducciones en el nOmero de

sistema nuevo Ilarnadas a la mesa de ayuda
- Modificaciones o actualizaciones de · Reducciones en el niimicro de errores
las politicos y los del sistema
procedimientos de Ia organizacion · Mejorainientos en Ia disponibilidad
- Nuevos controles para resolver del sistema
incidentes de seguridad de la Las mejoras de servicio deben ser
information y rnejorar la seguridad acordadas por los usuarios y TI con una
-Actualizaciones a las politicas, meta de mejorar la satisfaccion del
incluyendo la politica de usuario y alcanzar los objetivos de
seguridad de Ti negocio. La satisfaction del usuario
· Cambios en los servicios de terceros
debe ser monitoreada mediante la
para implemental.: realizaciOn de entrevistas y encuestas a
Cambios y ampliaciones a las redes los usuarios.
Uso de nuevas tecnologias
-Adoption de nuevos productos o
de versionestpublicaciones mas 2.9.3 GESTION DE CAMBIOS
recientes ORGANIZACIONALES
-Nuevas herramientas y ambientes La gestion de cambios
dc desarrollo organizacionales comprende el uso de
Cambios a Ia ubicacion fisica de las un proceso detinido y documentado
instalaciones de servicios para identificar y aplicar mejoras de
Cambio de proveedores o tecnologia al nivel de infraestructura y
subcontratistas aplicacion(es) que scan beneficiosas
para la organization y abarca todos los
Mejoramiento de! servicio y niveles de Ia organiz.aciOn afectados
satisfaccion del usuarlo Los SLA por los cambios. Este nivel de
fijan el nivel minima exigido a los participation y comunicacion
terceros en el deseinpeiio de la asegurara que el departamento de SI
funcion de Si. Ademas, las entienda completamente las
organizaciones pueden establecer expectativas de los usuarios y que los
expectativas de mejoramiento del cambios no sean resistidos o ignorados
servicio en los contratos, con por los usuarios una vez
penalizaciones y recompensas implementados.
asociadas. Los siguientes son
ejemplos de mejoramiento de El departamento de SI es el punto
servicio: focal para dichos cambios, ya que
lidera o facility el cambio en la 2.9.4 PRACTICAS DE GESTION
organization. Esto incluye mantenerse FINANCIERA
a Ia vanguardia de los cambios de Ia
La gerencia financiera es un element°
tecnologia que podrian conducir a
critic° en todas las funciones de
mejoras siQnificativas de los procesos
negocio. En un ambiente de
de negocio y obtener el apoyo de la
informatica con tin alto nivel de
alta direccion para implemental-los
costos, es imperativo que haya
cambios o proyectos que se requeriran
practicas correctas de gerencia
a nivel de usuario.
financiera.
El esquema de "cargar al usuario", que
Una vez que se obtiene el apoyo de la
consiste en aplicar tin costo a los
alta direcciOn para seguir adelante con
usuarios por el uso de los recursos
los cambios o el proyecto, el
infonnaticos, puede nicjorar Ia
departamento de SI puede comenzar a
aplicacion y monitoreo de los gastos de
trabajar con cada area funcional y su
SI y la disponibilidad de recursos. En
gerencia para obtener respaldo para los
este esquema, el costo de los servicios
cambios. Ademas, el departamento de
de SI, incluidos el tiempo del personal,
SI necesitara desarrollar un proceso de
el tiempo de uso de las computadoras
comunicaciones que esta dirigido a los
asi como otros costos relevantes, es
usuarios finales, actualizarlos sobre los
cargado a los usuarios finales
cambios, su impact() y beneficio y
basandose en una formula o caleulo
proveer un metodo para obtener
estandar (uni forme).
retroalimentacion y participaciOn de
los usuarios. La retroalimentacion de
El prorrateo de costos brinda a todas
los usuarios debe obtenerse durante
las partes involucradas una medida de
todo el proyecto, incluyendo validation
"mercado" de Ia efectividad y
de los requerimientos de negocio
eficiencia del servicio provisto por la
yeapacitacion y pruebas sobre la
instalacion de procesamiento de
funcionalidad nueva o cambiada,
informaciOn. Donde se implemente,
Ia politica de prorrateo de costos debe
ser establecida por el consejo y ser
implementada de manera conjunta por
el CFO, gerencia de usuarios y
gerencia de Si.
Presupuestos de Si
La gerencia de SI, como todos los
demas departamentos, debe
desarrollar ran presupuesto.
Un presupuesto pennite el pronOstico,

monitoreo y analisis de Ia information
financiera. El presupuesto permite una gestion de Ia calidad pueden incluir
asignacion adecuada de recursos, en to siguiente:
particular en un ambiente de SI en el · Desarrollo, mantenimiento c
que los gastos pueden ser cuantiosos. implementation de software
El presupuesto de SI debe estar · Adquisicion de hardware y software
vinculado con los planes de TT a corto · Operaciones del dia a dia
y largo plazo. · Gestion de servicios
· Seguridad
Desarrollo de software · GestiOn de Recursos Humanos
En los Estados Unidos, las normas · Administration General
contables requieren que las comparlias
tengan tin conocimiento detallado de sus
esfuerzos de desarrollo, incluyendo el
tiempo invertido en proyectos y
actividades especificos. Un auditor de SI
debe entender estos requisitos y las
practicas utilizadas por las empresas para
controlar los costos de desarrollo de
software. El AICPA detalla estos
requisitos en su Estado contable de la
PosiciOn (SOP) 98-I, Contabilidad para
los Costos de los programas informaticos
desarrollados u obtenidos para uso
intemo. Este SOP explica que las
empresas deben aprovechar ciertos
costos por el software de uso inferno. El
software de uso intemo es un software
que una entidad no tiene planes
substanciales para comercializarlo
extemamente.
2.9.5 GESTION DE CALIDAD

La gestion de Ia calidad es uno de los
medios por los cuales los procesos
basados en el departamento de TI son
controlados, medidos y inejorados.
Los procesos en este context° se
definen como un conj unto de tareas
que, cuando son realizadas
debidamente, producen los resultados
deseados. Las areas de control para la
109 ISACA. Todos los derechos reservados.
Capitulo 2—Gobierno y Gestion estandares ISO anteriores que rigen la

de TI
gestiOn de la calidad. Otros estandares,
coma Ia familia de estandares ISO/ IEC
27000, sientan las bases para crear
programas de seguridad de informacion
de calidad. Los estandares explican el
El desarrollo y mantenimiento de enfoque planificar-hater-verificar-actuar
procedimientos detinidos y (PDCA) general y proporcionan una
documentados por el departamento de orientacion detallada para su
SI es evidencia de on gobiemo electivo implementacion.
de los recursos de infonnaciOn. La
insistencia en que se observen los El estAndar introductorio 1SO/IEC
procesos y tecnicas de administration 27000 define el alcance y el vocabulario Lt
de procesos relacionados es slave para que se usa en todo el estanclar ISMS y pr
la efectividad y la eticiencia de la proporciona un directorio de las in,
organizacion de SI. Han surgido publicaciones que confonnan el estambr.
diversos estandares para apoyar a las ISO/ IEC 27001 es el conjunto formal de HI
organizaciones de SI en el logro de especificaciones en el cual las
estos resultados. Los estandares de organizaciones pueden buscar la co
calidad estan usandose cada vez mas certificacion independiente de su ISMS. · c.
para apoyar a las organizaciones de SI 1SO/IEC 27002 contiene un conjunto
en el logro de un ambiente operativo estructurado de controles sugeridos que ·I •
que sea predecible, inedible, repetible y pueden ser utilizados por las -1 -
certificado en lo que respecta a sus .1 4
organizaciones cuando sea pertinente
recursos de tecnologia de la para abordar los riesgos en la seguridad
information. de la information. Las publicaciones Si:
ISO/lEC 2700X adicionales oti-ecen pa
[Nola: El auditor de Si debe orientacitin para gestionar la seguridad est
tener conocimiento de la de Ia information en industrias y yI
Gestion de la calidad. Sin situaciones especificas. [SO/IEC 2700X c
embargo, el examen de ha evolucionado a partir de [SO/IEC m
certificaciOn CISA no evaliia 17799, que estaba basado en el estrindar
especificamente los estandares BS1799 del Reino Unido de 1995, para El
ISO. las mejores pthcticas de gestion de pre
seguridad de la infonnacion. las
Un estandar prominente que recibe ev;
amplio reconocimiento y aceptacion es 2.9.6 GESTION DE SEGURIDAD qu
ISO 9001:2008 Sistemas de GestiOn de DE LA INFORMACION e
la Calidad, que reemplaza a los int
La gestion de seguridad de Ia adi
el
4
rni,
sot
informaciOn provee la funcion rectora Session Dos:
ContenidoInforental
para garantizar que la information y los ___________ CISA =lc kicky.
rccursos de procesamiento de informaciOn
de la organizacion bajo so control esten
debidamente protegidos. Esto incluiria
dirigir y facilitar Ia implementation de un
programa de seguridad de Ia infonnacion a 2.9.7 OPTIMIZACION DEL
nivel de toda la organizacion, que incluya RENDIMIENTO
el desarrollo de planes de analisis de El desempefio no es cuan bien funcione
impact() al negocio (BIA), de continuidad tin sistema; el desempeao es el servicio
del negocio (BCP) y de rectiperacion ante percibido por los usuarios y las partes
desastres (DRP) relacionados con interesadas. La optimizacion del
funciones del departamento de SI en desempeiio es el proceso de mejorar la
apoyo de los procesos criticos del negocio productividad de los sistemas de
de la organization. Un components informaciOn al maxima nivel posible
importante al establecer dichos programas sin inversion adicional innecesaria en
es la aplicacion de principios de infraestructura de Ti.
administration de riesgos para evaltiar los
riesgos para los activos de Ti, para mitigar Factores criticos de exito
estos riesgos pasta un nivel apropiado y En enfoques efectivos de gestiOn de
detenninado por la gerencia, y monitorear desempeao, las medidas no son solo
los riesgos residuales remanentes. utilizadas para asignar responsabilidades
a cumplir con los requerimientos de
Consulte el capitulo 5, Proteccian de los reportes. Son utilizadas para crear y
activos de infornaacion, facilitar la action para mejorar el
para obtener Inas detalles sabre la desernpefto y, por lo tanto, GEIT.
gestion de seguridad de la
in formacian. La medicien efectiva del
desempeflo depende de dos
aspectos slave que se abordan:
· La clara definicion de las metas
de desempeao
· El establccimiento de
metricas efectivas para
monitorcar el logro de las metas
Tambien se requiere un proceso de

medician de desempeao para ayudar a
asegurar que el desempeno sea
monitoreado de manera coherente y
confiable.
El gobiemo ciectivo pennite interesados logrando asi que se
de manera significativa Ia puedan tomar las acciones adecuadas.
optimization del desempefio
global y se logra cuando: Metodologias y herramlentas
· Las metas son establecidas de Se encuentra disponible una variedad
arriba hacia abajo y estan de metodologias de optimization y
alineadas a objetivos del negocio mejora que complementan los
aprobados y de alto nivel. simples enfoques desarrollados
· Las metricas se establecen de internamente. Estas incluyen:
abajo hada arriba y estan alineadas de - Las metodologias de mejora
manera que permits el logro de las continua, como el ciclo PDCA por
Judas en todos los niveles pant ser las siglas en ingles Plan-Do-
monitoreadas par cada nivel de Check-Act, Planificar, Hacer,
direccion. Comprobar, Actuar.
· Mejores practicas integrates,
Dos factores de exito de gobiemo como ITIL
criticos (que permiten la · Marcos, como COBIT
optimizaciOn de desempelio
global) son: PDCA es un mdtodo iterativo de gestion
- La aprobaciOn de metas par parte de cuatro pasos utilizado en el negocio
de los interesados para el control y la mejora continua de
· La aceptacian de los procesos y productos. Los pasos en
responsabilidad para el logro de cada ciclo PDCA sucesivo soil:
metas por parte de directores y
gerentes · Planificar: Establecer los
objetivos y los procesos necesarios
TI es un terna complejo y tecnico; por para producir los resultados en
to tanto, es importante lograr la conformidad con la salida esperada
transparencia expresando metas, (el objetivo a metas). AI establccer Ia
metricas y reportes de desempello en salida esperada,
un Ienguaje significativo para los
110

M.
ISi
C Certified Information Seccion Dos: Contenido Capituto
la integridad y precision de la traves de estos cuatro pasos no results

especificaciem tambien es parte de la en la necesidad de mejorar, el alcance
mejora dirigida. Cuando sea posible, al que el PDCA se aplica puede
comenzar en una escala menor para refinarse para planificar y mejorar con
prober los posibles efectos. etas detalle en la siguiente iteracien
§ [beer: lmplementar el plan, del ciclo, o se debe colocar atenciOn
ejecutar el proceso y labricar el en una etapa diferente del proceso.
producto. Recolectar datos para
diagramas y amilisis en los Lapin COBIT 5 para
siguientes pasos de Comprobar Aseguramiento expl ica comb los
y Actuar. profesionales de aseguramiento
*Comprobar: Estudiar los resultados pueden brindar aseguramiento
reales (medidos y recolectados en el independiente a directores con
paso de Hacer) y compararlos con respect° al desemperio de TI.
los resultados esperados (objetivos
o metes del paso de Planificar) para Herramientas y tecnicas
detenninar cualquier di ferencia. Las herramientas y tecnicas que
Buscar cualquier facilitan las medidas, la buena
desviacion en la implementacion del comunicacion y el cambio
plan, y tambien buscar lo apropiado organizacional incluyen:
del plan para pennitir la ejecucion; es *Six Sigma
decir, cl paso de Hacer. Los datos de ·Cuadro de mando (balanced
los diagramas pueden 'lacer mucho scorecard, BSC) de TI
m6s sencillo ver las tendencias sabre · indicadores slave de desempeno
varios ciclos PDCA y convertir los (KPIs)
datos recolectados en informaciem. · Estudio comparativo de mercado
La informaciem es necesaria para el (Benchmarking)
siguiente paso, Actuar. · Reingenieria de los procesos de
· Aetuar: Solicitar medidas negocio (BPR)
correctives sobre las diferencias *Annlisis de causa raiz
signifieativas entre los resultados *Amilisis de costo-beneficio del ciclo
reales y los planificados. Analizar las de vida
diferencias para determinar sus causas
raiz. Detenninar &ode aplicar los cam Six Sigma es una metodologia de mejora
bios que incluiran mejoras del del proceso apropiada paraTI. El
proceso o producto. Cuando un pase a objetivo de Six Sigma es la
implementacion de ma estrategia Un KPI es una medida que dcterniina
orientada a la medicion enfocada en Ia que tan bien se esti desempefiando el
mejora del proceso y la reduccion del proceso para hacer posible la
defecto. Un defecto de Six Sigma se consecution de la meta. Es un indicador
define como cualquier cosa fuera de las de si una meta tendra posibilidades de
especificaciones de los clientes. alcanzarse, y es un buen indicador de
las capacidades, de las practicas y de
El BSC de TI es una tecnica de las competencias. Por ejemplo, un
evaluacion de la gestien de procesos servicio prestado por TI es una meta
que puede aplicarse al proceso de pare TI, pero un indicador de
GEIT para valorar las funciones y los desemperio y una capacidad para el
r
procesos de TI. La tecnica va Inas alla negocio. Es por eso que los indicadores
de la evaluacion financiera tradicional, de desemperio, a veces, se mencionan
suplementandolo con medidas que como factores de rendimiento, en
conciemen a Ia satisfaction del cliente particular en los BSC.
(usuario), procesos internos
(operativos) y Ia capacidad de innovar. A medida que se seleccionan los
Estes medidas adicionales impulsan a controles para implementacion,
Ia organization hacia el uso optimo de tambien deben establecerse los criterios
TE, el coal estA alineado con las metes para determinar el nivel operativo y la
estrategicas de la organizacion, efectividad de los controles. Estos
mientras que mantiene en equilibrio criterios se basaran, a menudo, en los
todas las perspectivas relacionadas con KPI que indiquen si un control esti
la evaluacion. Para obtener rnas funcionando correctamente. Por
informaciem sobre el BSC de TI, ver ejemplo, un KPI para el proceso de
Ia seed& 2.3.3 Cuadro de mando implementacion mide el exit° relativo
(balanced scorecard) de TI. del cambio en comparaciOn con los
objetivos de desemperio deseados. El
exito de un cambio se mide, a menudo,
como un porcentaje de errores,
cantidad de reporter de problemas,
duracion de interrupcian del sisterna o
grado de satisfaccian del cliente. El uso
de KPI indica a Ia gestian si el proceso
de control de cambio file gestionado
correctamente, con niveles suficientes
de calidad y pruebas.
Estudio comparativo de mercado

(Benchmarking) es un enfoque
sistematico para comparar el
desemperio de una empresa con el de
sus pares y competidores para aprender SI
la mejor forma de hacer negocios. Los
ejemplos incluyen el estudio
Un departamento de SI puede estar
comparativo de Ia calidad, Ia eficiencia
estructurado de diferentes maneras.
logistica y algunos otros indicadores.
Este tipo de fonnato se muestra en la
figura 2.12. El organigrama descrito
BPR es el analisis exhaustivo y el
incluye funciones relacionadas con
rediselio significativo de los procesos
seguridad, desarrollo y mantenimiento
de negocio y los sistemas de gestiem
de aplicaciones, soporte tecnica para
para establecer una esiructura de mejor
administracion de redes y sistemas, y
rendimiento, mayor capacidad de
operaciones. La estructura
respuesta al cliente base y a las
organizacional muestra el
condiciones del tnercado, que al mismo
departamento de SI tipicamente
tiempo produzca importantes ahorros en
encabezado por un gerenteidirector de
los costos. Para obtener mas
TI o,
infomiacion sabre BPR, ver seccion
3,11.1 Reingenieria del proceso de
negocio y proyectos de cambios al
proceso.
La medicion y la presentacion de
reportcs del desemperio de Ti puede ser
un requerirniento establecido por la
legislaciOn o par contrato. Las practicas
adecuadas de medicion de desemperio
para la empresa incluyen medidas de
resultados pare valor del negocio,
ventaja competitive y metrica de
desemperio definida que muestre que
bien Cunciona Ia TI. Los incentivos,
como las recompensas, la
compensaciem y el reconocimiento
deben estar ligados a las medidas de
desemperio. Tambien es importante
compartir los resultados y el progreso
con los empleados, clientes y partes
interesadas.
2.10 ESTRUCTURA
ORGANIZATIVA Y
RESPONSABILIDADES DE
ref
cot
am
par
·
Ge
Capitulo 2—Gobierno y Gestian de TI Section Dos:
CISA Systuns Arritte Certif
Contenido
ent
·
Manual de Preparacion al Examen CISA 2015 C.e
111
en
los
Figura 2,12—Organization del Departamente de SI
·
Jefe de Inform acliiin Cc
o Gerente / Director do TI do
do
L ·
GestiM de Itiesgos Aplitacienes Gatos Soporte Thome Soporte 31 US-nail)
Go
Dperaclo
fur
de
· Administrader de
rep
Desarrollo I Ad mlnlstrador de Dates f
Ia Seguridad Nam i nis radon de Administrat
cot
Administrator de Soporte Admin istrador de Base Mesa de Servicio
· Coordinator de Soporte Tecnice Operacio
de Dates Cil
Recuperation Aiiie
Desastres CIi
· Programadores · Administrator de Redes · Program adores de Sistemas
de
(Aplicacienes) (LANIWANI (Sistema Operative) l a Uo
Opetanortie
· Anal istas de Sistemas · AdminiStrador · Analistas de Sistemas
(Aplicaclenes) de SiSternas (Operacidri de Sisternas) la
· Aseguram lento (SIsterna Operative)
de la Calidad
Ges
Con
ISACA. Todos los derechos reservados. mUlt
en las organizaciones grandes, CISA debe estar familiarizado a ge !
por an director general do con Ia segregation de funciones, inch
informacion (CIO). ·
Nota: El examen CISA no 2.10.1 ROLES I' Ac
prueba responsabilidades RESPONSABILIOADES DE SI de
especificas del trabajo, ya que ·
Los organigramas son elementos
pueden variar dentro de [as Pr(
importantes que deben conocer todos
organizaciones. Sin embargo, las prc
los empleados, ya que ellos proveen
responsabilidades conocidas firr
una definition clam de la jerarquia y
universalmente tales como los Mr•
autoridad del departamento. Adernas.,
propietarios del negocio, las ·
las descripciones de puestos de
funciones de seguridad de la Re
trabajo, los graficos de RACI y
informacion y la direction rec
diagranias de flujo de trabajo de la
ejecutiva podrian examinarse en :
cadena de responsabilidad brinda a los
la prueba, en especial cuando se
ernpleados del departamento de SI una
pnieban los controles de acceso Ope
direction mss completa y clara con
y la propiedad de los datos. Un El g
respect° a sus (y de otros) funcioncs y
de 01
requ
efic
prog
data
responsabilidades. El auditor de SI · Servicio de soporte (help desk)—
debe dedicar tiempo en un area En el entorno actual de SI, cada vez
auditada para observar y determinar si mas comparlias consideran importante
las deseripciones fonnales de puestos toner una funcion de servicio de
de trabajo y las estructuras coinciden soporte. Esta es una unidact dentro de
con las verdaderas y son adecuadas. una organization quo responde a
Generalmente se deben revisar las preguntas y problemas tecnicos gut
siguientes funciones de SI: enrrentan los usuarios. La mayona de
· Gestion de desarrollo de las compaiiias de sot rare tienen
sistemas--Responsable de los servicios de soporte. Las preguntas y
prograrnadores y analistas quo respuestas pueden ser realizadas por
implernentan los nuevos sista-ins y telefono, fax, correo cicctronico o
quo mantienen los sistemas existentes. rncnsajcria instantanea. El personal del
· Gestion de proyectos--Los servicio de soporte puede utilizar
gerentes de proyectos son software especial de Centro de soporte
responsables de planificar y ejecutar (help desk) de terceros quo les
los proyectos de SI y pueden reportar posibilita hallar rapidamente las
a una ofieina de gestion de proyectos respuestas a las preguntas mss
o a la organization de desarrollo, El frecuentes. Debe existir un
personal de gestion de proyectos procedimiento para registrar el
utiliza et presupuesto quo se les problema reportado, su resolucion y
asigna para la entrega de iniciativas escalarniento a efectos de un posterior
de SI e informar sabre el progreso de analisis de problemasipreguntas. Este
los proyectos al comite de direceiOn. procedimiento debe ayudar a
Los gerentes de proyectos juegan un monitorear los grupos de usuarios y
papel central en [a *crier& de la para mejorar los servicios de software/
vision de la estrategia do TI y del (instalaeiones de procesamiento de
comite de direccion al planiticar, infonnaciOn — IPA') brindados.
coordinar y entregar los proyectos de
SE a la empresa. La administration de servicio de
soporte incluye las siguientes
act ividades:
AdquisiciOn de hardware/software
(HW/SW) en
representacion de los usuarios
Apoyar a los usuarios finales con las
diticultades de HW/SW
— Capacitar a los usuarios para usar
I-1W/SW y bases do datos
— Responder las preguntas de los
usuarios finales
— Monitorear desarrol los tdcnicos
e in formar a los usuarios finales de · Usuario final—ResportsabEe
desarrollos que podrian ser de las operaciones relacionadas con
pertinentes para ellos — Detcnninar los servicios de aplicaciones del
la fuente de problemas con sistemas negoeio: utilizado para distinguir la
de production persona para quien se disefa5 el
o in ieiar acciones correctives product° (generalniente a nivel de
— In forrnar a los usuarios finales aplicaciOn) de Ia persona quo
sabre problemas con HW/ SW o programa, sirve o instals aplicaciones.
bases de dates que podrian afectar Vale la Pena serialar que hay una
sus controles por la instalacion de pequelia distinciOn entre los
actualizaciones do HW/SW Wrminos "usuario final" y "usuario".
— Iniciar eanibios para mejorar la El usuario final es levemente mas
eficiencia especifico, y se
112 Manual de Preparackin al Examen CISA 2015
Mao
ISACA. Todos
los derechos
reservados.
ISA{
Cat'lied intorroation
CISA Systems Auditor Section Dos: Contenido Capitu
!Sex' Cerlmr~
como un activo corporativo.
§ GestiOn de aseguramiento de la
calidad (QA)—Responsable de
negociar y facilitar actividades de
refiere a alguien que tendra acceso a
calidad en todas las areas de
una aplicacion de negocio, como se
tecnologia de informacian.
expresO aqui anteriormente. El
· Gestien de la seguridad de la
tennino usuario es mas amplio, y
informacion—Esta es una funcian
podria referirse a cuentas
gue generalmente se debe separar
adrainistrativas y euentas para acceso
del departamento de SI y debe estar
a plataformas.
encabezada por un CISO. El CISO
Gestian de soporte al usuario final
puede reportar al CIO o terier una
—Responsable del enlace entre el
relation indirecta (reporte indirect())
departamento de SI y los usuarios
con el 00. Incluso cuando el oficial
finales.
de seguridad se reporta al CIO,
§ Cestion de datos--Responsable
existe una posibilidad de conflicto,
de Ia arquitectura de los datos en los ya que las metas del CIO son
ambientes Inas grandes de TI y proporcionar de modo eficiente
encargado de gestionar los datos
servicios continuos de TI, mientras centro de datos incluye los servidores
que el CISO puede estar menos y el mainframe, perifericos como,
interesado en la reduction de costos porejemplo, impresoras de alta
si esto tiene un impacto en La velocidad, equipamiento de red,
calidad de la protection. medios magneticos y redes de area de
almacenamiento. Cortstituye una
Gestion de proveedores y inversion importante de activos y
contratistas de externalizacion tiene un impact() en la capacidad de la
Con el aumento de external izacion, organization para funcionar
que incluye el uso de eficazmente.
multiples proveedores, el personal
dedicado puede estar obligado a El grupo de control es responsable de
gestionar proveedores y contratistas Ia recoleccian, conversion y control del
de servicios externos, incluyendo ingreso de datos y el balanced y
realizar las siguientes funciones: distribution de los datos salientes a la
*Actuar coma el primer contacto comunidad de usuarios. El supervisor
para el vendedor y el contratista de del gnipo de control usualmente
externalizaciOn dentro de Ia funcian reporta al gerente de operaciones de
de Si las instalaciones de procesamiento de
Proveer indicaciones al contratista de information (IPF). El grupo de control
externalizaciOn sobre los problernas y de entradalsalida debe estar en un area
esealar intemamente dentro de la separada donde solo se pennita
organization y la funcien de SI personal autorizado, ya que ellos
•
Monitorear y reportar sobre los manejan datos sensibles. Pam obtener
niveles de servicio a la gerencia Inas infonnacion, ver seccion 3.12.1
§ Revisar los Controles de entradalorigen.
cambios al contrato
debidos a nuevos
requerimientos y
obtener aprobaciones
de SI
Operaciones y mantenimiento de
infraestructura El gerente de
operaciones es responsable del
personal de operaciones informaticas.
Esto incluye todo el personal
reguerido para operar el centro de
dates de tnanera eficiente y eficaz (por
ejemplo, operadores de computadora,
bibliotecarios, programadores y
personal de control de datos). El
Gesticin de medios aplicacion del sisterna deben tener
La gestion de medios se requiere para implantados controles para asegurar
registrar, emitir, recibir y que los dates esten validados, sean
salvaguardar todos los archivos de correctos, esten completos y
prograrna y de datos que se autorizados.
mantienen en medios extraibles.
Dependiendo del tamano de la Con el avarice de la tecnologia y la
organization, esta ftnicion se puede necesidad de adquirir datos desde que se
asignar a un individuo a tiempo originan, las organizaciones estan
compieto a a un miembro de desplegando sistemas automatizados
operaciones que tambien desempelie para Ia adquisiciOn de datos. Estos
otras funciones. sistemas incluyen lectores de cOdigo de
barras, a sistemas a los que se hace
Esta es una ftmcion crucial y por referenda como SCADA (AdquisiciOn
tanto, muchas organizaciones le de dates, supervisiOn y control). El
proveen soporte adiciortal mediante el termino SCADA comCmmente se
uso de software que ayuda a mantener refiere a sistemas centralizados los
el inventario asi como tambien maneja cuales monitorean y controlan sitios
el movimiento de medios de enteros, o a complejos de sistemas
almacenamiento. El uso de este propagados en areas grandes (en la
software tambien ayuda a mantener el escala de kilometros o minas). Estos
control de versiones y la gestion de sistemas son tipicos de las plantas
configuraciOn de los progratnas. industriales, acerias, plantas de energia,
instalaciones electricas y similares. La
Ingres° de datos mayor parte del control del sitio se
El ingreso de datos es critico para la realiza automaticamente par terminales
actividad de procesamiento remotos (RTUs)
de informaciOn. El ingreso de datos o por controladores logicos
puede incluir ingreso en tote programables (PLCs). Las funciones de
o ingreso en Linea. control del anfitrion (host) suelen
En Ia mayoria de las organizaciones, restringirse a autorizaciones basicas del
el personal de los departamentos de sitio o intervention a nivel de
usuarios hace su propio ingreso de supervision. tin ejernplo de sistemas
datos en linea. En machos ambientes automatizados para la adquisicion de
en linea, los datos son capturados datos son aquellos utilizados en las
desde la fuente original (par ejemplo, plataformas petroliferas para medir y
intercambio electronic° de datos controlar Ia extraction de petroleo y
[EDI], datos capturados via codigos de controlar la temperatura y el MO de
barra para gestion de tiempo, agua.
inventario de almacenes por
departamento). El departamento de La adquisicien de datos comienza en el
usuarios asi como tambien la nivel de RTU o PLC e incluye lecturas
de medidores y reportes de estado de a anular controles de RTU (PLC)
equipos que se comunican a SCADA normales. Los datos tambien se pueden
segiin se requiera. Luego, los datos se ingresar a un registro histOrico,
compilan y fonnatean de tal manera comnnmente creado en un sisterna de
que un operador de la sala de control gestion de bases de datos de uso
utilizando redes de interfaces hombre- general, para permitir analisis de
maquina (IIMI) puede tomar tendencias y otras auditorias
decisiones de supervisidat para ajustar analiticas.
Manua! de Preparation al Examen CISA 2015

113
Capitulo 2—Gobierno y Gestion de Ti Section Dos: Contenido CISA cs7stiedmaletor CISA
Las aplicaciones SCADA utilizan tradicionalmente lineas de administrador de seguridad incluyen:

comunicacion dedicadas. En la actualidad, existe una migracion · Mantener las reglas de acceso a los datos y a otros recursos
significativa a Inteniet. Esta tendencia tiene ventajas obvias, entre de TI.
ellas Ia integration mas facil en las aplicaciones comerciales de la · Mantener la seguridad y la confidencialidad sobre la
compafiia. Sin embargo, una desventaja es que amebas de dichas emisien y mantenimiento de las identificaciones de usuario y
compailias son infraestructuras criticas para la 'lacier' y se contraseilas (passwords).
vuelven presas faciles de los ataques ciberneticos. · Monitorear las violaciones de seguridad y aplicar acciones
correctivas para asegurar que se provea la seguridad adecuada.
Administration de sistemas · Revisar y evaluar periedicamente Ia politica de
El administrador de sistemas es responsable de mantener los seguridad y sugerir a la gerencia los cambios necesarios.
principales sistemas informaticos de multiusuario, incluyendo · Preparar y monitorear el programa de
redes de area local (LANs), redes inalambricas de area local concienciacien sobre Ia seguridad para todos los
(WLANs), redes de area amplia (\VANs), redes de area personal empleados.
(PANS), redes de area de almacenamiento (SANs), intranets y · Probar la arquitectura de seguridad para evaluar la
extranets, y sistemas de rango medio, ademas de sistemas Fortaleza de la seguridad y para detectar las posibles amenazas.
mainframe. Sus dcberes tipicos incluyen: · Trabajar con la gestien de cumplimiento, de ricsgos y
· Agregar y configurar nuevas estaciones de trabajo y las funciones de auditoria para asegurar que Ia seguridad
perifericos este
· Establecer cuentas de usuarios
· Instalar software en todo el sistema
· Realizar procedimientos para
prevenir/detectar/corregir la divulgacion de virus
· Asignar espacio de almacenamiento masivo
Las organizaciones pequelias pueden tener solo un administrador
de sistemas, mientras que las organizaciones mas grandes tienen
por lo general un equipo de administradores de sistemas. Algunas
organizaciones centradas en mainframes pueden referirse a un
administrador de sistemas corno un programador de sistemas.
Administration de la seguridad
La administration de seguridad cornienza con el compromiso de la
gerencia. La gerencia debe entender y evaluar los riesgos de Ia
seguridad y debe desarrollar y hater cumplir una politica escrita
que establezca con claridad los estandares y los procedimientos que
se deben seguir. Las funciones del administrador de seguridad
deben estar definidas en la politica. Para proveer una adecuada
segregation de funciones, esta persona debe ser un empleado de
tiempo completo que reporte directamente al director de Ia
instalacien. Sin embargo, en una empresa pequefia, puede no ser
pnictico contratar a una persona de tiempo completo para esta
posicion. La persona que realice esta funcion debe asegurar que los
diferentes usuarios esten curnpliendo con la politica de seguridad
corporativa y que los controles scan los adecuados para prevenir el
acceso no autorizado a los activos de la compania (incluyendo
datos, programas y equipos). Usualmente, las funciones del

ISACA. Todos Ios derechos reservados.
disefiada de manera apropiada y actualizada sobre Ia base de mantener estandares para la funcien de SI. Esto incluye Ia · C
retroalimentacion de auditoria o de pruebas. capacitacion en estandares y procedimientos de QA. El grupo ambi
de QC apoya mediante la verificacion periedica la exactitud y deserni
Aseguramlento de la calidad autenticidad de los datos ingresados, el procesamicnto y el · Se
Los terminos "asegttramiento de la calidad" y "control de calidad" resultado de las diversas aplicaciones. lecc
base eh
son utilizados, a menudo, indistintamente para referirse a las
Para que el grupo de QA pueda cumplir un papel efectivo debe · Pr
maneras de asegurar la calidad de un servicio o producto. Sin
ser independiente. En algunas organizaciones, este grupo puede obar
embargo, los tenninos tienen diferentes significados. optirni:
ser parte del grupo de control. En organizaciones mas pequefias
· Aseguramiento de Ia calidad (QA)—Un patron · R
puede no ser posible tener tin grupo de QA separado, en cuyo caso
planificadoy sistematico de todas las acciones neeesarias para espoi
las personas pueden tener mas de una ftincion. Sin embargo, bajo
proporcionar la confianza adecuada de que un elemento o acerca
ninguna circunstancia ninguna persona debe Ilevar a cabo una
producto cumple los requisitos tecnicos, El QA ayuda al · I
revision de QC de su propio trabajo. Adicionahnente, la revision
departamento de SI a asegurar que el personal este siguiendo mpler
no debe ser efectuada por ningtin individuo cuyas funciones
los procesos de calidad establecidos. Por ejemplo, el QA concur
entren en conflict°. For ejemplo: an programador efectuando
establecera los procedimientos (por ej., que cumple con ISO · M
revision de calidad de cambios en aplicaciones.
9001) para facilitar el use extendido de las practices de onitc
aseguramientoigestion de la calidad. desemi
· Control de calidad (QC)— Las actividades y tecnicas de Administration de base de datos
· D
observation utilizadas para cumplir con los requerimientos El administrador de base de datos (0 BA) coma custodio de los
efinii
para Ia calidad. El QC es responsable de realizar las pruebas o dates de una organization, define y mantiene la estructura de los
recupe
revisiones para verificar y asegurar que el softsvare este libre de datos en el sistema de base de datos corporativo. El DBA debe
defectos y Ilene las expectativas del usuario. Esto podria tener una comprension de Ia organizaciOn y de los
requerimientos de datos del usuario y de la relation entre los dates El DBA
hacerse en varias etapas del desarrollo de un sistema de la base d
aplicacion, pero debe hacerse antes de que los programas scan (estructura). Esta posicien es responsable de la seguridad de los
dates compartidos almacenados en la base de dates. El DBA es DBA tie
Ilevados a production. Por ejemplo, QA ayudara a asegurar incluyen
que los programas y documentacien se adhieren a los responsable del disefio real, hi definition y el mantenimiente
adecuado de las bases de datos corporativas. Usualmente, el DBA prohibir
estandares y convenciones de nomenclatura. los dates
reporta directamente al director del IPF. El rol del DBA incluye:
· Especificar la definition fisica de los datos ejercer u
El grupo de QA esta encargado de desarrollar, promulgar y dates mt
(orientados a Ia computadora).
· Se
greg
· A
prolx
· R
evisit
supery
· C
ontro
base dt
Analist.
Los a na
basados
durante I
sistemas
usuario
func ion
a
documer
aplicacie
Arquite
Los arqi
disefian
de access
y estab le
argumen
funcion,
muy dife
de progn
Manua
ISACA. 1
Seccion Dos: Contenido Capitulo 2—Gobierno y Gestion de TI
C „,,, A. Certeied Informal' 1,010.1 4 Systems Auditor' attar 1

Al..SIGYCPT,01.11 1
· Cambiar la departamento de SI debe ejercer un

definicien fisica de control estricto sobre la administracion
datos para mejorar el de Ia base de dates mediante:
desempecio. · Segregation de funciones
· Seleccionar e implementar · Aprobacien de las actividades del
herramientas de optintizac ion de DBA par parte de la gerencia
la base de dams. · Revision de los registros de
· Probar y evaluar acceso y actividades poi- parte
herramientas de los del supervisor
programadores y de · Controles de detection sobre
optimization. el use de las herramientas de la
· Responder las consultas de base de datos
los programadores y formarlos
acerca de las estructuras de Ia Analista de sistemas
base de datos. Los analistas de sistemas son
· implementar los controles de especialistas que diseiian sistemas
definicien, acceso, actualization y basados en las necesidades del usuario.
concurrencia de Ia base de datos. Generalmente participan durance la
· Monitorear el use de la base fuse inicial del ciclo de vida de
de datos, recopilar estadisticas de desarrollo de los sistemas (SDLC).
desempetio, y ajustar la base de Estas personas interpretan las
datos. necesidades del usuario y desarrollan
· Definir e iniciar los los requerimientos y las
procedimientos de especificaciones funcionales y
respaldo y de documentos de diserio de alto nivel.
recuperation. Estos documentos permiten que los
programadores creen cola
El DBA time las herramientas para aplicacion especifica.
establecer los controles sobre Ia base de
datos y la capacidad de ignorar estos Arquitecto de seguridad
controles. El DBA tiene tambien la Los arquitectos de seguridad
capacidad de tenet acceso a todos los evalUan tecnologias de seguridad;
datos, incluyendo los datos de disenan aspectos de seguridad de
produccion. Usualmente no es practice topologia de la red, controles de
prohibir o itnpedir por completo el acceso, gestion de identidacles y otros
acceso par parte del DBA a los datos de sistemas de seguridad; y establecen
produccion. Per lo tanto, el politicas y requerimientos de
seguridad. Se puede argumentar que Ia aplicacion que en aim instancia
los analistas de sistemas realizan la correran en un entomo de produccion. Par
mistna funcion, sin embargo, los lo tanto, la gerencia debe asegurar que el
conjuntos de destrezas requeridas son personal no pueda modificar los
muy diferentes. Sus productos (par programs de producciOn ni los dates de
ejemplo, especificaciones de programa aplicacion. Ellos deben trabajar
vs. politicas, requerimientos, imicamente en un ambiente de prueba y
diagramas de arquitectura) tambien deben entregar su trabajo a otro grupo
son diferentes. Los arquitectos de que neve los programas y los cambios
seguridad deberian tambien trabajar de aplicacion al ambiente de
con la gestion de cumplimiento, de produccion.
riesgos y las funciones de auditoria
para incorporar sus requerimientos y Desarrollo y mantenimiento de
recomendaciones para la seguridad en infraestructura El personal de
las politicas y la arquitectura de infraestructura es responsable de
seguridad. mantener el software de sistemas,
incluyendo el sisterna operativo. Esta
Desarrollo y mantenlmiento de filmier' puede requerir que ellos tengan
aplicaciones acceso irrestricto a todo el sisterna. La
Ei personal de aplicaciones es gestion de SI debe monitorear de cerca
responsable de desarrollar y mantener sus actividades requiriendo que ellos
las aplicaciones. El desarrollo puede lleven registros electronicos de esta
incluir desarrollar un nuevo codigo o actividad y que no sean susceptibles de
cambiar Ia configuraciOn de la cambio. El personal de infraestructura
aplicacion existents. Ellos desarrollan los solo debe teller acceso a las librerias de
prograrnas o cambian la configuracion sistemas del software especifico que
de ellos mantienen. El use de la
administration de dorninios y de cuentas
de superusuarios debe controlarse y
monitorearse muy de cerca.
Gestion de red
Hoy muchas organizaciones
tienen las instalaciones de
procesamiento de information
(IPFs) ampliamente
descentralizadas. Pueden tener una
IPF central, pero tambien hacen
un use extensivo de:
· LANs—Redes de area local en
sueursales y en sitios distances.
· WANs—Redes de area amplia
(WANs) donde los LANs se pueden
ace,
de
mat
ada
incl
interconectar para conveniencia de respaldo del sistema se incl
acceso del personal autorizado esten haciendo y que las compras de
desde otros lugares. software/hardware esten autorizadas y Los
· Redes inalambricas-- sean instaladas debidamente. En prel
Establecidas a traves de instalaciones pequerias, esta persona de
asistentes digitales personales puede set responsable de la una
(PDAs) y otros dispositivos administration de la seguridad sobre fun
moviles. la LAN. El administrador de LAN no con
debe tener responsabilidades de una
Los administradores de red son programacien de aplicaciones, pero la n
responsables de los componentes slave puede tener responsabilidades de fun
de esta infraestructura: enrutadores prograrnacion de sistemas y usuario tarr
(routers), conmutadores (switches), final. Ciel
cortafuegos (firewalls), segmentation del
de redes, gestion de desempetio, acceso 2.10.2 SEGREGACION DE alga
remoto, etc. Es posible que cada LAN FUNCIONES DENTRO DE SI (let
requiera de un administrador debido a
la dispersion geografica. Los titulos de puestos de trabajo reales
y estructuras organizacionales varian 2.1
Dependiendo de la politica de la Se la
compania, estos administradores mucho de una organization a otra,
dependiendo del tamario y de la s
pueden reportar al director del IPF sign
o, en una operaciOn descentralizada, naturalez.a del negocio. Sin embargo,
pueden reponarle al gerente de usuarios un auditor de SI debe obtener
suficiente informacion para entender y Au
finales, si bien se aconseja al inenos
documentar las relaciones entre las La
una linea de punkas al director del [PE
varias funciones de trabajo, dot
Esta position es responsable del control
responsabilidades y autoridades, y la I
tecnico y administrativo sobre la LAN.
evaluar la idoneidad de la segeegacion res
Esto incluye asegurar que los enlaces
de funciones. La segregation de Se
de transmisiOn esten funcionando
funciones evita Ia posibiliklad de que ger
correctamente, que las copias de
una sola persona pueda tray
Cu
115
Se
act
asi:
Capitulo 2—Gobierno y Gestian de TI ft se 4
res
par
adi
nisi
datos
Base
--.0'It Flgura 2.13—

de
Ac
Matrlz
Lo
me
yd
la 1
acc
CD
de control
a. Th-
Mgleso de Vas
Grupo
-
Red
437 .
ill t'1
...
eg d ,
(.,,
Grupo de control X X X X X X X
Analista de
X X X X
sistemas
;
Programador
de aplicaciones X X X X X X X
Mesa de ayuda y
X X X X X X X
Gerente de Soporte
Usuario final X X X X X X
Ingres() de dates X X X X X X
Operador de
X X X X X X X
computadoras
Administrador de
Ia base de dates X X X X X X X
Administrador de
X X X X X X X
redes de funciones diversas y criticas de tal forma que
ser responsible
pudieran ocurrir errores
Administrador deo apropiaciones indebidas y no ser
detectadas oportunamente,
sistemas enXel curso normal de
X los procesos
X de X X X
negocio. La segregacion
Administrador de de funciones es un importante medio por
el cual la
seSeguridad X fraudulentos
pueden prevenir y disuadir actos X y/o X X
_
maliciosos.
Programador
Las funciones de ser segregadas incluyen:
quo deben X X X X X X X
sistemas
· Custodia de los activos.
· Aseguramiento de Ia
AutorizaciOn. X X X
· calidad de transacciones.
Registro
X—La combinaciOn de estas funciones puede crear una posible debtlidad de control.
Si no existiera una segregaciOn de funciones adecuada, podria
ocurrir lo siguiente: por las acciones de
· Apropiacion indebida de activos. cualquier persona
· Estados ftnancieros falsos. queda por lo tanto
· DocumentaciOn financiera inexacta (por ejemplo, reducida. Los
errores o irregularidades). departamentos de S1
· Uso indcbido de rondos o Ia modificacion de datos podria y do usuarios
pasar inadvertida. finales deben
· Es posible quc no se detecten cambios o organizarse para
modificaciones de datos y programas no autorizados y lograr una
erroneos.
Cuando las funciones estan segregadas, se pueden restringir los

accesos a la computadora, la biblioteca de datos de producciOn, los
programas de produccien, la documentaciOn de programacion, el
adecuada segregacion de funciones. Vease la figura 2.13, para obtener una directriz
de las responsabilidades de trabajo que no deberian ser combinadas.
Nota: La matriz de control de segregacion de tunciones (figura 2.13) no es un
estandar de la industria, sino una directriz quo indica cuales posiciones de
deben separar y cuales requieren controles de compensacion cuando se
combinan. La matriz describe posibles problemas de Ia segregacion de
funciones y no se debe ver o usar comp una verdad absoluta; por el
contrario, se debe usar para ayudar a identificar posibles conflictos de
manera que se puedan plantear las preguntas apropiadas para identificar
controles de cornpensacian.
En Ia practica real, las funciones y designaciones pueden variar en diferentes empresas.

Ademas, dependiendo de la naturaleza de los procesos de negocio y de la tecnologia
desplegada, los riesgos pueden variar. Sin embargo, es importante que un auditor de SI
entienda las funciones de cads una de las designaciones especificadas en el manual.
Los auditores de SI necesitan entender el riesgo de combinar funciones indicadas en
la matriz de control de segregacion de funciones. Ademas, dependiendo de la
complejidad de las aplicaciones y de los sistemas desplegados, se puede requerir una
herramienta automatizada para evaluar el
116 Manual de Preparackin al Examen CISA 2015
ISACA. Todos los derechos reseruados.
lion
Seccion Dos: Contenido Capituto 2—Gobierno y Gesticin de 71
C „
„„., . G....ctred Information
LA i.& Systems koclitor .
acccso real que tiene un usuario contra la desarrollar e implementar controles de

matriz de Ia segregacion de funciones. compensacion.
La mayoria de las herramientas vienen
con una matriz de segregaciOn de 2.10.3 CONTROLES DE
funciones predefinidas que deben ser SEGREGACIoN DE FUNCIONES
1 adaptadas a los procesos de Ti y de
negocio de una organizacion, incluyendo Se pueden emplear varios mecanismos de
cualquier funcion adicional o riesgos que control para fortalecer Ia segregacion do
no ester) incluidos en la matriz de funciones. Los controles estan descritos en
segregaciOn de funciones entregada. las siguientes seccion es.
Los controles compensatorios son Autorlzaclon de transacciones

controles internos que pretenden reducir La autorizacion de transacciones es
el riesgo de una debilidad existente o responsabilidad del departamento de
potencial de control cuando las usuarios. La autorizacion es delegada en
funciones no pueden ser segregadas de la medida en que se relacione con el
una nianera apropiada. La estructura de nivel particular de responsabilidad de Ia
la organizacion y las funciones deben persona autorizada en el departamento.
ser tomadas en cuenta para determinar Se deben real iur verificaciones
los controles apropiados para el periOdicas tanto por parte de la gerencia
ambierite relevante. Por ejemplo, una como por parte de auditoria para detectar
organizaciOn puede no tener todas las el ingreso de transacciones no
posiciones descritas en Ia matriz o una autorizadas.
persona puede ser responsable de
muchas de las funciones descritas. El Custodia de activos
tamaiio del departamento de SI/TI Se debe detenninar y asignar debidamente
puede tambien ser un factor importante la custodia de los activos corporativos. El
que se debe considerar, es decie ciertas propietario de los datos usualmente se
combinaciones de funciones en un asigna a un departamento de usuarios
departamento de Ti de un cierto tainalio particular, y sus finiciones se deben
nunca se deberian usar. Sin embargo, si especificar por escrito. El duerio de los
por alguna razor] se requieren funciones datos tiene la responsabilidad de
combinadas, entonces se deben determiner niveles de autorizacion
requeridos para proporcionar seguridad responsabilidades para proteger los
adecuada, mientras que el grupo de activos de inforrnacian de acceso no
administracion suele ser responsable de autorizado.
implementar y reforzar el sistema de
seguridad. Las decisiones de control de acceso estan
basadas en la politica organizacional y en
Accent a los datos dos est5ndares de practica generalmente
Los controles sobre el acceso a los dates aceptados—segregacian (separacion) de
son provistos funciones y el menor privilegio. Los
mediante una combination de seguridad controles para el use efectivo no deben
fisica, de sistemas alterar el tlujo usual de trabajo mas de lo
y de aplicaciones tanto en el area de los necesario o colocar demasiada carga
usuarios como en sobre los adm in i stradores, auditores o
Ia IPF. El ambiente fisico debe ser usuarios autorizados. El acceso adicional
seguro para impedir el no debe ser incondicional y los controles
acceso de personas no autorizadas a los de acceso deben proteger adecuadamente
diversos dispositivos todos los recursos de la organizacion.
tangibles conectados a la unidad central Las politicas establecen niveles de
de procesamiento y sensibilidad tales cotno secreto maxima,
que pemiiten asi, el acceso a los datos. secrete, confidencial y no clasificado,
La seguridad del sistema para los datos y otros recursos. Estos
y de la aplicacion son capas adicionales niveles deben usarse para orientacion
de seguridad que sobre los procedimientos apropiados
pueden impedir que personas no para manejar los recursos de
autorizadas logren accedcr informacion. Ellos tambien se pueden
a los datos corporativos. El acceso a los usar como base para las decisiones sobre
datos proveniente de control de acceso. A las personas se les
conexiones extemas es una otorga acceso solo a los recursos que
preocupacion creciente desde Ia estan en un nivel especifico de
aparicion de Internet. Por to tanto, la sensibilidad o por debajo de este. Las
gestion de TI ha agregado etiquetas se usan para indicar el nivel de
sensibilidad de los documentos
alniacenados electranicamente. Los
controles basados en politicas pueden
caracterizarse bien como obligatorios o
como discrecionales.
Pam obtener ins detal les, consulte Ia

secciOn Controles de acceso
obligatorios y discrecionales, en el
tema Importancia de los activos de
informacion del capitulo 5.
FORMULARIOS DE apropiados para las funciones del puesto
AUTORIZACION
Los propietarios del sistema deben TABLAS DE AUTORIZACION DE

proveer a SI lonnularios de autorizacion USUARIO
formales (ya sean en copia fisica o El departamento de SI debe usar los
electronica) que definan los derechos de datos provenientes de los formularios
acceso de cada persona. En otras de autorizacion para crear y mantener
palabras, los gcrentes deben definir tablas de autorizaciones de usuarios.
quien tendril' acceso a que. Los Estas definirkin quien esti autorizado
formularios de autorizacion deben ser pare actualizar, modificar, eliminar o
debidamente evidenciados con la consultar datos. Estos privilegios son
aprobaciOn a nivel de gerencia. En asignados a nivel de sistema, de
general, todos los usuarios deben ser transaccian o de campo. En efecto,
autorizados a un acceso al sistema estas son listas de control de acceso de
especifico, por via de solicitud formal usuario. Estas tablas de autorizacion
de la gerencia. En las comparlias deben ser protegidas contra el acceso
grandes o en las que tienen sucursales no autorizado mediante contraseilas
distantes, se deben mantener registros (passwords) adicionales de proteccion
de fin-nas autorizadas y las solicitudes o mediante cifrado de datos, En on
fonnales recibidas por escrito deben ser registro de control debe registrarse Ia
comparadas contra cl registro de lamas. actividad de todos los usuarios y la
Los privilegios de acceso deben ser gerencia correspondiente debe revisar
revisados periodicamente pars asegurar este registro. Todos los casos de
exception deben ser investigados.

117
Capitulo 2—Gobierno y Gestion existir tnedidas de control
de Ti
eompensatorio para rnitigar
el riesgo resultante de una
falta de segregacion de
funciones. Antes de basarse
en reportes generados par el
Controies compensatorios por sistema o en funciones coma
fatta de segregacion de controles compensatorios, ci
funclones auditor de SI debe evaluar
En negocios pequerms donde cuidadosamente los reportes,
el departatnento de SI puede las aplicaciones y los procesos
estar constituido por solo relacionados con SI en busca
cuatro o cinco personas. debe de controles apropiados,
incluyendo pruebas y En algtmas organizaciones,
controles de acceso para el grupo de control de
pacer carnbios a los reportes datos puede realizar una
o a las funciones. Los conciliaciOn limitada de las
controles compensatorios aplicaciones mcdiante el
use de totales de control y
· Pistas de auditoria—Las hojas de balance. Este tipo
pistas de auditoria son un de verification
componente esencial de los independiente, incrementa
sistemas bien disehados, el nivel de confianza de que
ayudan tanto al la aplicacion ejeeuto
departamento de SI coma al exitosaniente y de que los
auditor de Si brindando un dates estan correctamente
mapa para trazar por balanceados.
segunda vez el flujo de una
transaction. Elias penniten a · Reportes de exception—Los
los departamentos de SI y de reportes de excepcion
usuarios asi coma tambion al debett ser nianejados a
auditor de SI recrear el flujo nivel de supervision para
real de transacciones a lo cual se requiere
partir del punto en que se evidencia, coma par
originan hasta su ubicacion ejemplo las iniciales en el
en un archive actualizado. reporle, hacienda notar
Ante la ausencia de una clue la exception ha sido
adecuada segregaciOn de debidamente tratada.
funciones, las pistas de Tambien, la gerencia debe
auditoria pueden ser un asegurarse que las
control compensatorio excepciones se hayan
aceptable. Con las pistas de atendido oportunamente.
auditoria el auditor de S1 · Registrus de transacciones
debe ser capaz de —Un rcgistro de
determinar quien inicio la transacciones puede ser
transaction, la horn y la manual o automatizado. Un
fecha de ingreso, el tipo de ejernplo de un registro
ingreso, clue campus de manual un registry de
infonnacion contenia y qud transacciones (agrupadas o
archivos actualize. en late) antes Tie las
· Conciliation—La mismas scan entregadas
conciliaciOn es para su procesamiento. Un
responsabilidad, en registro de transacciones
ciltima instancia, del automatizado provee un
departamento de usuarios. registro de todas las
transacciones
procesadas y Section Dos: ContenidoCISA rgedris 'tit?
es mantenido Jr I'SJ.1 1,51,r111.
por el sistema
de
cotnputacion.
· Revisiones de 2.11 AUDITORIA A LA ESTRUCTURA E •
supervision—Las
revisiones de supervision
IMPLEMENTACIoN DEL
pueden ser efectuadas a GOBIERNO DE TI
traves de observacion, •
investigation o Aunque son muchos los
remotamente. aspectos que le preocupan
· Revisiones independientes— al auditor de SI cuando
Las revisiones audita el funcionamiento
independientes se ilevan a de Si, algunos de los
cabo para compensar los indicadores mas
errores o Callas significativos de los
intencionales al seguir los problemas potenciales
procedimientos prescritos. incluyen:
Estas revisiones son · Actinides desfavorables
particularniente del usuario final
importantes cuando las § Costos excesivos
funciones en una · Gasto por encima del
organizaciOn pequefia no presupuesto
pueden ser segregadas - Proyectos atrasadus
debidamente. Dichas · Alta rotation de personal
revisiones ayudaran a · Personal con poca
detectar errores o experiencia
irregularidades. · Errores frecuentes de
FINV/SW
· Exceso de solicitudes
atrasadas de usuarios
· Largo tiempo de
respuesta de computadora
· Nurnerosos proyectos de
desarrollo interrumpidos v
suspendidos
· Conipras de
hardware/software sin
soporte 0 sin autorizacion
· Freeuentes ampliacioncs
de capacidad de HW/SW seguir en contra de los
· Informes cle excepcion transgresores. Por esta
largos razon, esta parte del
· Reportes de excepciones document° de politica debe
a los que no se les hizo ser tratado coma un
seguimiento document° confidencial.
· MotivaciOn deficiente - Cuadros
· Ausencia de planes de organizativosifuncionales—Proveen
reemplazo al auditor de S1 una
· Confianza en uno n dos comprension de la linen de
miembros clave del personal subordination dentro de un
· Falta de capacitation departamento u
adecuada organizacien determinados.
Ellos ilustran una division
2.11.1 REVISION DE de responsabilidades y dan
DOCUMENTACION una indicacian del grado de
segregaciOn de fiinciones
I,a siguiente documentation dentro de la organization.
debe ser revisada:
· Deseripciones de los puestos de
- Las estrategias, planes y
trabajo—Definen las
presupuestos de TI—Proveen
funciones y las
evidencia de planificacion
responsabilidades de los
y control de gestion sabre
cargos en toda la
el ambience de Si y el
organizacion. Estas proveen
alinearniento con la
a la organization Ia
estrategia del negocio.
capacidad de agrupar
· Documentation de politicas de puestos de trabajo similares
seguridad—Provee el estandar en distintos niveles •
a curnplir. Debe establecer categoria para garantizar
la posiciOn de Ia una compensacion justa a la
organization respecto de A
fuerza de trabajo. Ademas,
todos y cada into de los las descripciones de los
riesgos de seguridad. Debe puestos de trabajo dan
identificar quien es indication del grado de
responsable de segregacion de funciones
salvaguardar los acfivos de dentro de la organizacion y
la cornpailia, incluyendo los pueden ayudar a identificar
programas y los datos, las funciones de posible
Debe establecer las conflicts. Las descripciones
medidas preventives a de los puestos de trabajo
tomarse para brindar la deben identificar la posicion
proteeciOn adecuada y las a la que se subordina este
acciones que se deben
personal. El auditor de SI en conceptos correctos del
debe entonces verificar que negocio y no afecten la
los niveles de relation de segregacion de lunciones.
subordination esten basados
11 Et Manual de Preparacidn al Examen CISA 2015

CISA systems Auditor Session Dos: Contenido Capitulo
Af 4LADVG“winne.
sobre coma se espera quc sus

empleados se conduzcan. Los
manuales de Recursos Hwnanos
iambi& incluiran las normas
· Reportes del comae directivo
relacionadas con las licencias
—Proveen informacion
anuales, que ayudan a proteger a la
documentada en relacion con los
organizacion del riesgo de
nuevos proyectos de sistemas.
actividades inapropiadas o
Estos reportes son revisados por la
fraudulentas y la dependencia
alta direcciOn y son divulgados
excesiva en personal slave.
entre las diferentes unidades del · Procedimientos de QA—Estos
negocio. procedimientos proporcionan el
· Procedimientos de desarrollo
marco y los estandares que debe
de sistemas y de cambio de seguir el departamento de SI.
programas—Estos procedimientos Adernas se deben valorar los
proveen tin marco dentro del cual diferentes documentos revisados
emprender el desarrollo de sistemas o
para determinar si:
el cambio de programas. Fucron creados como lo autoriz6 Ia
· Procedimientos de operaciones
gerencia y como esta queria que
—Estos procedimientos describen fueran creados.
las responsabilidades del personal de · vigentes y actualizados.
operaciones. Los procedimientos de
medicion de desempetio
generalmente se encuentran dentro 2.11.2 REVISION DE
de los procedimientos operativos y COMPROMISOS
se reportan periOdicamente a la alta CONTRACTUALES
direcciOn y/o los comites directivos.
flay diferentes etapas para los
Los auditores de SI deben garantizar
contratos de hardware, software y
que egos procedimientos formen
servicio de SI que incluyen:
parte de los procedimientos
· Desarroilo de los requcrimientos
operativos.
de contrataciOn
· Nlanuales de RR.H H.—
*Proceso de licitacion de contratos
Proveen las reglas y las regulaciones
*Proceso de selecciOn de contratos
(determinadas por una organizacion)
AceptaciOn de contratos
*Mantenimiento de contratos
*Cumplimiento de contratos
Cada una de estas etapas debe estar

respaldada por doctunentos legales, Nota: Un auditor de SI debe
sujeto a Ia autorizacion de Ia gerencia. estar familiarizado con el
El auditor de SI debe verificar Ia proceso de solicitud de
participacion de la gerencia en el propuesta (RFP) y conocer
proceso de contratacion y debe quO es lo que necesita ser
asegurar tin nivel adecuado de revisado en una RFP. ilunbien
revision oportima del cumplirniento es importante whaler que un
del contrato. El auditor de SI podra CISA debe saber, desde la
efectuar una revision por separado del perspectiva de gobiemo, los
cumplimiento en una muestra de criterios de evaluaciem y la
dichos contratos. metodologia de una REP, y los
requerimientos para cumplir
Al revisar una muestra de contratos, el con los estandares
auditor de SI debe evaluar organizacionales.
la adecuaciOn de los siguientes
tertninos y condiciones:
*Niveles de servicio. 2.12 PLANIFICACION DE
Derecho a auditar o reporte de CONTINUIDAD DEL
auditoria de tercero.
§ ?oiler el software en custodia de
NEGOCIO
un tercero.
· Penalizaciones par El proposito de la continuidad del
incumplimiento. negocio/reetiperacion en caso de
Aeatamiento de las politicas y desastre es penuitir que una empresa
procedimientos de seguridad. continue ofreciendo servicios criticos en
* Proteccion de informaciOn de clientes. caso de que ocurra una interrupcion y
*Derecho a Ia propiedad intelectual que sobreviva a una internipcion
(PI) desastrosa de las actividades. Es
Proceso de cambio de contrato. necesario contar con una planificacion y
*TerminaciOn de contrato y cualquier un compromiso rigurosos de los recursos
penalizacion apropiada. para prever tales eventos de forma
adecuada.
El primer paso en Ia preparacion de un

nuevo BCP, o en Ia actualizacion de uno
existente, es identiticar los procesos de
negocio de importancia estrategica,
aquellos procesos chive que son
responsables del crecimiento
permanente del negocio y de la · La eficiencia y eficacia de los
consecticion de las metal del negocio. controles existentes de mitigacion de
Lo ideal es que el BCP/DRP sea riesgos (contramedidas para afrontar
respaldado por una politica ejecutiva riesgos)
formal que establezca el objetivo
general de la organizacion en lo que El BCP es tasicamente responsabilidad
respects a Ia recuperaciOn y asigne de la alta gerencia, debido a que a esta se
atribuciones a las personas que le confi6 la proteecion de los activos y la
participan en el desarrollo, las pruebas y viabilidad de Ia organizacion, tal coma
el mantenimiento de los planes. se definio en la politica de BCP/ DRP.
En general, las unidades de negocio y
Basado en los procesos slave, el soporte siguen el BCP para ofrecer un
proceso de gestiOn de riesgos deberia nivel de fiincionalidad redueido pero
comenzar con una evaluacion de suficiente en las operaciones de negocio
riesgos. El riesgo es directamente inmediatamente despues de enfrentar
proporcional al impacto sobre la una interrupcion, mientras ocurre Ia
organizacion y Ia probabilidad de que recuperation. El plan deberia tratar todas
ocurra la amenaza percibida. Por lo las funciones y los activos requeridos
tanto, Ia evaltiacian de riesgos deberia para continuar como una organizaciOn
permitir idcntificar lo siguiente: viable. Esto incluye procedimientos de
· Los recursos humanos, los continuidad considerados como
datos, los elemcntos de Ia necesarios para sobrevivir y minimizar
infraestructura y otros recursos las consecuencias de la interrupcion del
(incluyendo los proporcionados por negocio.
terceros) que respaldan los procesos
clove El BCP toma en consideracion:
· Una lista de las posibles · Las operaciones
vulnerabilidades, es decir, los eriticas que son
peligros o amenazas para Ia neccsarias para la
organizacion supervivencia de la
· La probabilidad estirnada de que organizacion
ocurran estas amenazas · Los recursos humanosimateriales
quc los soportan
Manual de Preparacion a! Examen CISA 2015

119
ISACA. Todos los clerechos reservados.
Capituto 2—Gobierno y Gesticin de TI Seccion Dos
,
S,C+V
Adenis del plan para la continuidad de las operaciones, el BCP incluye:

· El DRP que se utiliza para esta procesando una transaction en linea
recuperar una instalacion que se para un cliente y Ia back office esta
Maya vuelto inoperable, incluyendo procesando una transaccion para otro
la reubicacien de las operaciones en cliente). Una solution de BCP pant el
una nueva ubicacian servicio en linea sera sig-nificativamente
· El plan de restauracion diferente a la solucion para el
que se utiliza para normalizar procesamicnto de Ia back office.
las operaciones en una
instalacion restaurada o nueva 2.12.1 PLANIFICACKIN DE
CONTINUIDAD DEL
Dependiendo de Ia complejidad de la
organizacion, podria haber uno o Inas NEGOCIO DE SI
planes para tratar los diferentes En el caso de los planes de
aspectos de la continuidad del negocio continuidad del negocio de SI, el en
y Ia recuperaciOn ante desastres. Estos foque es el mismo clue en el BCP
planes no necesariamente tienen que con Ia excepciOn de que esta
integrarse en un 011ie° plan. Sin amenazado el procesamiento de SI.
embargo, cada uno tiene que ser El procesamiento de SI es de
consistente con otros planes para importancia estrattigica—es un
contar con um estrategia de BCP componente critico porque la
viable. mayoria de los procesos slave de
negocios dependen de la
Es muy recornendable tener un disponibilidad de los componentes y
plan integrado imico para los datos de la infraestructura de
asegurar que: sistemas slave.
- I Iaya una coordinacion
apropiada entre diversos El plan de continuidad del negocio de Si
cotnponentes del plan. debe estar alineado con la estrategia de la
· Los recursos comprometidos se organizacion. La criticidad de los
utilicen de Ia mancra Inas eticaz diferentes sistemas de aplicaciones de Ia
y exista la confianza de que, a traves organization depende de Ia naturaleza del
de su aplicacion, negocio, asi como del valor de cada
Ia organizacion sobrevivira a una aplicacien para el negocio.
interrupciOn.
El valor de cada aplicacian para el
Aun cuando procesos similares de la negocio es directamente . proporcional al
misma organizacion se manejen en una ml que desemperia el sistema de
ubicacion geografica diferente, las infonnacion en el apoyo a la estrategia de
soluciones de BCP y DRP pudieran ser Ia organizacion. Los componentes del
diferentes para esccnarios diferentes. Las sistema de informacion (entre ellos los
soluciones pudieran ser diferentes componentes de la infraestructura de
debido a requerimientos contractuales tecnologia) se asocian posteriormente con
(por ejemplo, Ia misma organizacion las aplicaciones (por ejemplo, el valor de
una computadora o una red depende de la A lo Largo de todo el proceso de
importancia del sistema de aplicaciones planificaciOn de la continuidad del
quo la utiliza). negocio de SI (a veces mencionada coma
continuidad de los servicios de TI), se
Par lo tanto, el BCP/DRP del sistema debe toner en consideracion el plan
de informaciOn es un componente general de continuidad del negocio de la
principal de la estrategia general de organiz.acion: de nuevo, este debe contar
continuidad del negocio y con el respaldo de la politica ejecutiva.
recuperacion en caso de desastre de Todos los planes de SI deben ser
una organizacion. Si el plan de SI es consistentes con y apoyar el BCP
un plan separado, debe ser consistente corporativo. Esto significa quo las
con y apoyar el BCP corporativo. instalaciones altemas de procesainiento
que apoyan las operaciones slave deben
estar preparadas, ser compatibles con la
instalaciOn original de procesamiento y
contar con planes actualizados en lo que
respecta a su uso.
Nuevamente, se deben tomar todas

las medidas posibles para reducir o
eliminar la probabilidad de una
interrupcian utilizando el metodo
descrito en otras secciones de este
Manual. Los ejemplos incluyen:
· Minimizar las amenazas al
centro de datos considerando Ia
ubicacian:
· No establecerlo en una llanura
inundable
· No establecerlo en, o cerca de,
una falls sismica
· No establecerlo cerca de un area
donde se utilicen regulannente
dispositivos explosivos o materiales
taxicos
· Utilizar topograflas de red
resilientes, como las de Buck o
Malta, con instalaciones
altemativas de procesamicnto ya
integradas a Ia infraestructura
de red.
Desarrollar y probar el BCP/DRP del las aplicaciones slave agrupadas por su
sistema de infonnacion es un criticidad) es el resuitado de la
componente principal de la estrategia evaluacion de riesgos.
general de continuidad del negocio y
recuperaciOn en caso de desastre de una Una vez que la evaluaciOn de riesgos
organizaciOn. El plan se basa en el uso identifica la importancia de los
coordinado de las contramedidas para componentes de SI para Ia
afrontar riesgos que estan disponibles organizacion, y las amenazas y las
pant la organization (es decir, instalacion vulnerabilidades de esos componentes,
alterna de procesamiento, redes de se puede desarrollar un plan de
datos redundantes, equipos resilientes, acciones corrcctivas para establecer
sistemas de respaldo y recuperation, los metodos Inas apropiados para
replicacion de (labels, etc.). Si el plan proteger los componentes. Siempre
de SI es un plan separado (a varios hay diferentes opciones de mitigacion
planes separados), debe ser de riesgos para escoger
consistente con y apoyar el BCP (contramedidas para afrontar riesgos),
corporativo. bien sea para eliminar la amenaza yio
corregir la vulnerabilidad.
Establecer dependencias entre los
procesos criticos de negocio, las El riesgo se puede estimar bien sea
aplicaciones, el sistema de infonnacion y de forma cualitativa (asignando
los componentes de Ia infraestructura de valores cualitativos al impacto de Ia
TI es uno de los pasos de la evaluacidn amenaza y su probabilidad) o
de riesgos. El mapa de dependencias cuantitativa (asignando valor
resultante con las arnenimis para y las monetario al impacta—es decir, Ia
vulnerabilidades de los perdida—y asignando una
componentes/dependencias (junto con probabilidad).
120 Manual de Preparacion al Examen C1SA 2015

mow V IlUfmation
Seccirin Dos: Contenido
C apitulo 2—Gobierno y Gestiem de Ti
C
Audi
A Systems Aditor*
M .].CIF forti,VIA
A medida que se ejecuta la estrategia de

Note: El candidate a CISA no sera continuidad del negocio de SI y su
evaluado con respecto at calculo estrategia global de Ti. la estnictura de
Id Tide Ia organizacion cambia. Se
real del analisis de riesgo; sin
los introducen nuevas contramedidas para
embargo, el auditor de SI debe
Al afrontar riesgos y las anteriores se
ester familiarized° con el calculo
de vuelven obsoletas. El BCP del sistema de
del analisis de riesgo.
;be informacien se debe cambiar segan
de corresponda y se debe volver a probar
Si la organizaciOn esta dispuesta a
,sto periadicamente pare asegurar que estos
investigar Ia magnitud de las perdidas
apoyan cambios seen satisfactorios.
que sufrira el negocio por la
internipcien, la organizacion puede
Igual que cualquier BCP, un BCP del
Hever a acabo un BIA (explicado en
sistema de infonnaciOn es macho Inas
otra section de este manual). El BIA
era que un plan para los sistemas de
pennite a la organizacion detenninar
zando informaciOn. Un BCP identifica lo que
el maxima tiempo posible de
hard el negocio en caso de que suceda un
inactividad pare una aplicacien en
desastre. Par ejemplo, a donde se
particular y cuantos datos se
reportaran los empleados para trabajar,
la podrian perder. El BIA tambien
came se tornaran los palidos mientras se
pert-114e a la organizacion
restablece el sigma informatico, a cuales
cuantificar las *ides a medida
proveedores se liamara para que
que aumentan despues de la
surninistren las provisioner necesarias. Un
rmente interruption, con lo cual la
subcomponente del BCP es el plan de
-1 organizacion puede tornar una
recuperacion de TI en case de desastre.
0 decision sobre la tecnologia (y
Nonnalmente detalla el proceso que
las instalaciones) utilizada pare
utilizara el personal de Ti para restablecer
la proteccion y recuperacion de
los sistemas informaticos, las
sus actives de informacian
comunicaciones, las aplicaciones y SUS
chive (sistema de informaciOn,
n es un datos. Los planes de recuperaciOn en
componentes de Ti, datos, etc.).
1del caso de desastre (DRP) Sc pueden incluir
;ion. en el BCP o come un document°
Los resultados de la evaluation de
Ira separado, dependiendo de las necesidades
riesgos y el BIA se incorporan a la
del negocio.
estrategia de continuidad del
negocio de SI, la cual describe la
No todos los sistemas requeriran una
tecnologia principal y los
n plan estrategia de recuperacion. Basandose en
principios que sirven de base a la
In y los resultados de la evaluaciOn de riesgos
proteccian y recuperacion de SI,
y el INA, la gerencia podria considerar
asi como Ia directriz para
que no es conveniente desde el panto de
D, las implementer Ia tecnologia y los
vista economic° restaurar ciertas
la principios.
aplicaciones en caso de desastre. Un
lesgos.
as
las
;ia
de la
zas y
liar
factor primordial cuando se determinan 2.12.2 DESASTRES Y OTROS
las opeiones de recuperacion es que el
EVENTOS QUE PUEDEN
costo nunca debe exceder el beneficio
(esto suele detenninarse claramente CAUSAR INTERRUPCIONES
despues de un BIA). Los desastres son interrupciones que
causan que recursos de infomiaciOn
La recuperacion de SI en caso de criticos queden inoperantes durante
desastre suele ocurrir ert circunstancias urn periodo, afectando de manera
pace comunes y estresantes (incendio, adverse las operaciones
inundation, devastation par Itracan). organizacionales. La interrupciOn
Con frecuencia sucede que los podria durar de algunos rninutos a
controles de seguridad (tanto fisicos varios meses, dependiendo del grade
como de SI) no funcionan. Porto tanto, del ciao caused° at recurso de
se recomienda que la organizacion
informacien. Es importante conocer
implcmente un sistema de gestion de la
que, ante situaciones de desastre, es
seguridad de la information (ISMS) para
mantener la integridad, confidencialidad necesario desplegar esfuerzos de
y disponibilidad del SI, y no solamente recuperacion para restaurar el estado
baja condiciones normales. operacinnal.
Un desastre pudiera ser el resultado de

desastres naturales, como terremotos,
inundaciones, tornados, tormentas
elOctricas severas c incendios, que
causan defies extensos a la instalacion de
procesamiento y a Ia localidad en
general. Otros eventos desastrosos que
causan interrupciones pueden ocurrir
cuando los servicios esperados, coma
energia electrica, telecomunicaciones,
suministro de gas natural u otra servicio
pdblico, ya no ester) disponibles para la
compahia debido a un desastre natural u
otra cause. Un desastre podria ser
tambien el resulted() de eventos
causados por seres huntanos, tales coma
ataques terroristas, ataques de intrusos
informaticos, virus o error humane.
No lodes las interrupciones criticas del

servicio o desastres se deben a causes
naturales. Per ejemplo, la interrupciOn
del servicio algunas veces es causada
per desperfectos del sistema,
r d).
la
eliminaciones de archivos par esporadicas de parte de los usuarios.
accidente, versiones de aplicaciones que
no han sido probadas, perdida de los Basandose en la evaluation de riesgos, se
datos dc respaldo, ataques de negation fommlan escenarios del peer caso y
de servicio (DoS) de red, intrusiones y estrategias de contingencia a largo y corto
virus. Estos eventos pueden requerir plazo dentro de la estrategia de
acciones para recuperar el estado continuidad del negocio de SI para luego
operacional a fin de reanudar el incorporarlos en ci BCP (u afro plan). A
servicio. Las acciones pueden necesitar corto plazo, se puede requerir tine
del restablecimiento del hardware, instalacion de procesamiento alterna para
sonware o archivos de dates. satisfacer necesidades operatives
inmediatas (coma en el caso de un
Mochas interrupciones cornienzan con desastre natural). A largo plaza, se debe
simples incidences. Nonnalmente, si la identificar una nueva instalacion
organizacion posee un centre dc soporte permanente para recuperacion en caso de
(help desk) o un centro de servicio, este desastre, y este se debe equipar para
actuary come el sistema de advertencia proporcionar continuidad de los servicios
temprana pare reconocer las primeras de procesarniento de SI regularmente.
striates de una interruption intninente. A
menudo, tales interrupciones (par Planificacion para pandemias
ejemplo, un rendimiento de la base de Las pandemias pueden ser defmidas
datos que desmejora graduahnente) come las epidentias o brotes de
pasan desapercibidas. Haste que estallan enfernnedades infecciosas en los seres
estos "desastres progresivos" (la base de humanos, y que tienen la capacidad de
dates se detiene), solo causan quejas propagarse rapidamente en grandes
015 Manual de Preparation al Examen CM 2015

ados. ISACA. Todos los derechos resorvados.
Capitulo 2—Gobierno y Gestion de Ti SecciOn
Dos: Contenido
areas, posiblemente en todo el mundo. A consecuencias pueden ser

lo [argo de Ia historia han ocurrido devastadoras. Una de las peores
varias pandemias, y recientemente las consecuencias de las crisis es Ia
amenazas de pandemias como los brotes perdida de confianza.
de gripe aviar o porcina han
concientizado atin Inas a la gente sobre Las actividades efectivas de relaciones
este terra. Hay claras diferencias entre ptiblicas (RP) en una organizaciOn
planificacion para una pandemia y pueden desempeliar un papel
planificaciOn de continuidad del importante en la (area de contener el
negocio tradicional, y por lo tanto, el daiio a la imagen y asegurar que la
auditor de SI debe evaluar la crisis no empeore. Ciertas industrias
preparaciOn de la organizacion para (por ejemplo, bancos, organizaciones de
brotes servicios de salud, acrolineas, refinerias
de pandemia. planificacian para petroleras, productos quimicos,
una pandemia presenta desafios anicos; transports, plantas de energia nuclear u
a diferencia de los desastres naturales, otras organizaciones con impacto social
los desastres tecnicos, los actos relevante) deberian contar con
maliciosos o los actos terroristas, el protocolos elaborados para tratar
impacto de una pandemia es mucho accidentes y catastrofes.
mOs dificil de determiner debido a Ia
diferencia prevista en magnitud y Una organizackin que experimente un
duraci6n. incidente importante deberia considerar y
aplicar algunas mejores practicas basins.
Enfrentar dalios a imagen, Independientemente de las consecuencias
reputacitin o marca Los objetivas resultantes de un incidente
rumores perjudiciales pueden (dernora o intermpciOn de servicio,
surgir de muchas fuentes (incluso perdidas economicas, etc.), de existir
internas). Pueden estar o no alguna, una opinion p6blica negativa o
relacionados con un incidente rumores negativos pueden ser costosos.
scrip o crisis. Reaccionar apropiadamente en pnblico (o
Independientemente de que scan ante los medios) durante una crisis no es
"esponthneos" o un efecto simple. Es necesario desigiar y preparar
colateral de un problema de con antelacion a un portavoz entrenado
continuidad del negocio o para estos casos. En general, un asesor
recuperation ante desastres, sus legal senior o tin funcionario de
relaciones pablicas es la mejor opci6n. hecho, son a inenudo racionalizados
Nadie, independientemente de su rango de manera inadecuada coed
en la jerarquia organizational, excepto el beneficio en retrospective.
portavoz, deberia emitir declaraciones
publicas. Un ejemplo reciente de un evento de
cisne negro es el desastre nuclear de
Como parte de Ia preparaciem, el Fukushima ocurrido en JapOn en
portavoz deberia redactar y guardar en marzo de 2011, Un terremoto provoc6
archive un comunicado general con un tsunami que desactivo la energia de
espacios en blanco que se Ilenaran con respaldo para los generadores que eran
datos especificos de cada circunstancia. esenciales para inyectar agua para el
Este procedimiento no deberia eludirse enfriamiento de los reactores
debido_a la improvisation o presiOn nucleares, que finalmente Ilev6 al
del tiempo. El comunicado no deberia desastre nuclear. Antes de este evento,
establecer las causas del incidente, sino un plan de contingencias no habria
indicar que se inici6 una investigation y considerado o contemplado dicha
que se reportathn los resultados. No se interconexion de eventos de ninguna
deberian asumir responsabilidades. No manera. Si bien estos eventos son
se deberia responsabilizar al sistema o escasos y estan muy dispersos, una
al proceso. vez que ocurren, tienen tal impacto
agobiante en la organizacion que,
Eventos no basado cn Ia criticidad del proceso o
antkipados/imprevistos industria o actividad, la direcciOn
La direcciOn debe considerar los debe comenzar a pensar en la
posibles impactos de los eventos planificaciOn de contingencia para
imprevistos (cisne negro) en el negocio terser en cuenta dichos eventos. Los
de la organizacion. Los eventos de cisne directores ejecutivos que han
negro son aquellos eventos que son una compartido responsabilidades y que se
sorpresa (para el observador), tienen un les ha prohibido viajar juntos es otro
efecto importante y, despu6s del ejemplo donde la direction es
proactiva, asegurando que, si un la prof
desastre en comint ocurre, Ia mitig
organizacion no quedarki acefala. El BC
de quc
Nota: Aunque tratar los daf[os a gesti61
la imagen, reputation o marca
es una preocupaciOn de Los in
muchas organizaciones mitiga
pnblicas, el candidato a CISA descrii
no sera sometido a prueba Esto rt
sobre este tem servici
on 2.12.3 PROCESO DE lo mismo.
· Su parte publica es un mensaje

PLANIFICACION DE para las partes intcresadas externas
El proceso de BCP puede dividirse (accionistas, reguladores,
en las fases de ciclo de vida que se autoridades, etc.) de que la
muestran en la figura 2.14. organizacion se toma en serio sus
obligaciones (por ejemplo,
2.12.4 POLITICA DE prestacion de servicios,
CONTINUIDAD DEL NEGOCIO - Es una declaration para Ia
organizacion que empodera a
Una politica de continuidad del los responsables de la
negocio es un documento aprobado continuidad del negocio.
por la aka gerencia que define la · Puede establecer de manera
magnitud y el alcance del esfuerzo amplia los principios generales en
de continuidad del negocio (un los cuales se basa Ia continuidad
proyecto o un programa continuo) del negocio.
dentro de la organizacion. La politica
de continuidad del negocio se puede Una politica de continuidad del negocio
dividir en dos partes: pnblica e debe ser proactiva. El mensaje que se
interim La politica de continuidad debe transmitir a la organizaciOn es que
del negocio sirve para otros diversos se tienen que usar todos los controles
propositos: posibles para detectar y evitar
· Su parte interna cs un mensaje interrupciones y que, aunque ocurran, se
para las partes interesadas de Ia deben terser los controles necesarios
organizacion (por ejemplo, para mitigar las consecuencias.
empleados, gerencia, directores) de Posteriormente, esto se refleja en Ia
que Ia cornpaiiia realiza esfiterzos, estrategia de continuidad del negocio de
compromete sus recursos y espera SI y en su ejecticiOn. Existen controles
que el resto de la organizacion Naga preventives y detectives para reducir
122 Manual de Prepar

IS
Certified
Information Section Capitulo 2—
CISA Systems Dos: Gobierno y
Auditor'
Contenid Gestion de TI
o
Figura 2.14--Cielo de vida de la planificacidn de la continuidad del negocio

la probabilidad de una interruption y controles correctivos capacitado en gestiem de crisis,
para mitigar las consecuencias. documentado, probado en profi
El BCP (o DRP de TI) es el control correctivo Inas critico. Depende
de que aims controles scan efectivos; en particular, depende de la
gestion de incidentes y de las soluciones de respaldo y recupcmcion. 2.12.5 GESTION DE INCI
PLANIFICACION DE LA C
Los incidentes y sus impactos se pueden, hasta cierto punto,
NEGOCIO
mitigar a travel de controles preventivos. Estas relaciones se
describen en la figura
/- •2.15.
Planificacion del Los incidentes y las crisis son d
proyecto (politica Monitored. Evolucionan, cambian Pruebas
en el tiem
Esto requiere que el gmpo de gestion mantenimiento
de BC, alcancede incidentes (centroy de menudo son rapidos e imprevis
actualizaciOn
del plan
servicio) este adecuadamente dotado de personal, respaldado y
del proyecto) de BCy
debe ser dituimica, proactiva
del plan de BC
_____________2
cualquier evento inesperado, au
significativos. Tatnbien ver la se
Desarrollo
Manual de Preparation al Examen CISA 2015 del plan
123
ISACA. Todos l os de re chos reservados.
Ciclo de vida de la de BC
EvaluaciOn y analisis planificacion de continuidad
de riesgos
CapituIo 2—Gobierno y Gestion de 11 del negocio Section
BC
Plan
Development
Analisis de Estrategia de
impacto del desarrollo de BC
Dependiendo de una estimation del nivel del dill° a Ia
negocio
_2 deem& de estrate
(implementaciOn de
contramedidas para
\...enfrentar riesgos).)
itLti
au
Reducir
Figura la probabilidad
2.15 —Diagrama de rein& entre incidente eControles
impacto
,
Monitored de (contramedidas{ClausufasPlan deoIJC en
especiales
( Gestion
Gestion
de de
Gestion
GestiOn de
de para enfrentar contratos de UPS
Sitio de procesamiento 4b- Controles
Controles aControles
Respaldo
DRgenerador
de IT de y
(centre) )
riesgos riesgos) Mitigar
.
5 , configuration
capacidad
incidentes
de reserva preventivos
detectivo las consecuencias
corrective's
endedoresiproveedores
recuperaciO
infraestructura
organization, es necesario industria y circunstancias,
categorizar todos los tipos de pero en general es
incidentes. Un sistema de directamente proporcional al
clasilicacion podria incluir las tiempo transcurrido desde el
siguientes categorias: inicio del incidente hasta su
insignificante, menor, mayor y solution.
crisis. La clasificacion puede
cambiar de manera dinamica Es necesario documentar,
mientras se resuelve el clasificar y revisar los
incidente. Estos niveles pueden incidentes menores, mayores
describirse como sigue: y de crisis hasta que se
· Los incidentes corrijan o resuelvan. Es un
insigniticantes son los que proceso dinthnico, debido a
causan dafios no perceptibles que un incidente mayor
o significativos, tales como puede disminuir en grado
colapsos muy breves del inomentaneamente y
sistema operativo (SO) con extenderse luego para
recuperacion total de convertirse en una crisis.
infonnacion o cartes moments
neos de energia con Los incidentes insignificantes
suministro permanente de se pueden analizar en
energia (UPS). terminos estadisticos para
· Los eventos menores son identificar cualquier causa
los que, aunque no scan sistemica o evitable.
insignificantes, no gencran
impactos materiales (de La figura 2.16 muestra un
importancia relativa) o ejemplo de tin sistema de
financieros negati vos. clasificackin de incidentes y
· Los incidentes mayores protocolo de reaccian.
causan un impact()
material negativo sobre los El director de seguridad (SO)
procesos de negocio y u otro individuo designado
pueden afectar otros debe ser notificado de todos
sistemas, departamentos o los incidentes relevantes tan
incluso clientes externos. pronto como
· La crisis es un incidente
mayor que puede Eerier un
impacto material (de
importancia relativa) serio
sobre el funcionamiento
pennanente del negocio y
pudiera afectar de manera
adversa otros sistemas o a
terceros. La severidad del
impacto depende de la
SE
cualquier evento figura 2.16). A medida que el
desencadenante ocurra. incidente evoluciona, este di
Luego, esta persona debe nivel debe ser reevaluado
seguir un protocol° de I)
regularmente por la persona o
escalamiento pre-establecido ;
el equipo a cargo, al que
(por ejemplo, llamar a un di
comunmente se Trace
portavo4 alertar a Ia alta S
referencia como equipo de
gerencia e involucrar a las di
respuesta a incidentes o
agencias regulatorias), el di
"firecall".
cual puede estar seguido por re
di
la invocation de un plan de 2.12.6 ANALISIS DE IMPACT° in
recuperaciOn, COITIO el DRP
de tecnologia de la
EN EL NEGOCIO si
informacian. El BIA es un paso critico en of
el desarrollo de la estrategia
El servicio se puede definir de continuidad del negocio y
como compromisos la subsiguiente P;
incluyentes con clientes que implementacion de las in
pueden ser consumidores contramcdidas de riesgo y el sc
extemos o departamentos BCP en particular. L
internos. Generalmente, Ia (1
prestaciOn de servicios es El BIA se utiliza para evaluar 1
regulada per acuerdos de los procesos criticos (y (f
nivel de servicio (SLA), los componentes de TI que los di
cuales pueden establecer el respaldan) y para determinar
tiempo improductivo maximo y marcos de tiempo, re
los estimados de prioridades, recursos e CE
recuperacion. Aunque no es interdependencies. Incluso si 0

siempre cierto, la severidad se ha realizado una extensa LI!
suele basarse en gran medida evaluacion de riesgos antes

en el tiempo improductivo del BIA, y la criticidad y los (r
estimado. Otros criterios riesgos se incluyen en el BIA, P1
pueden incluir el impacto la regla general es veriticar
sobre datos o platafonnas y el dos veces. Comanmente, el
grado en el cual el BIA descubre algun
funcionarniento de Ia componente memos visible,
organization sufre un impact() pero aun asi vital, que
adverso. Un enfoque respalda el proceso de
conservador e infalible seria negocio critico. En los casos
asignar a cualquier incidente en que se hayan externalizado
significativo un nivel inicial de actividades de TI a
sevcridad provisional (ver la proveedores de servicio,
tambien
L.
pz
Cr
P1
(r
se
Ion
CCertified irtformalioo Section Dos: Contenido Capitulo 2
CISA Systems Auditor*
_÷.._ M CP G rec s. ow
4 1 1
Figura 2.16—Niveles de incidente/crisis

Fuente: Personas & Tecnicas Multimedia SL 0 2007. Todos los derechos
reservados. Usado con autarizacion.
124
Manual de Preparation a! Examen CISA 2015

se deben considerar los compromisos TI y de usuario final. La criticidad de los
contractuales (en el contexto de un recursos de informacion (por ejemplo,
BCP). aplicaciones, datos, cedes, software del
sistema, instalaciones) que respaldan los
Para cumplir esta Ease: con exito, se debe procesos de negocio de una organizaciOn
alcanzar una comprensian de la deben ser aprobados por Ia alta gerencia.
organizaciOn, los procesos slave del
negocio y los recursos de Sl utilizados Para el BIA, es importante incluir todos
por la organizacion para respaldar los los tipos de recursos de informacion y ver
procesos slave del negocio. Por lo mas al la de aquellos tradicionales (por
general, esto se obtiene a partir de los ejemplo, servidores de base de datos).
resultados de Ia evaluacion de riesgos. El Los sistemas de informacion constan de
BIA requiere un alto grade dc multiples componentes. Algunos de los
respaldoipatrocinio de la alta direction y componentes (por ejemplo, servidores de
una amplia panicipacion del personal de base de datos o matrices de
A
cl
t
CRITE RIO PRINCIPAL
t En nasal
—______________________________
tii
-
Nowa Fuera de See VICIO 2 ACCIONES
NIVEL Prilano 5 TIC° ACTUAL Ct
:P1319.
.
Segue- el Plan de Conbnuidad del II egodo 24
.. el Plan de Coritinuldad 12
..t.ietiar al St,I - y @V brilualMente 3 Las A 29.11 CIS s el
Snot 24 del Iteryl ,ao Alerlar al SU y 9Verltuairrento a L Agen [las r 9 onaies
I KC ICV.TE . ! 12
0ENTegmtirroar/ResteurareReertpuuar 9 ,.. Aderlar al St,i la
tt•,',.:P • arR e,AzurateRe
6 eirp Liz .v- A
C arreex.t.impi
)
COfrecW 4 2
Aiertar ai S1.1
Si se corirwma alerlar al SO ' es
INCIC9.‘TE Comely R E A2C C I O N E S A N T E L1O S N I V E L E S D E I N C I D E N T E V C R I S I S
V. ENCP •
Carmel, I C9 1.1 ma gement IA dm nistrador Senor)
SLI Sensor
r
41,C,CENT
INCIGU•T
EtrENC.Irt
9910Khrir.-.7
VAYV
l'JC
IC. . LP-.,
NIVEL "I SO. Seculliy
Pkrdea oacor(oticial
6e idteVded A rtaicar
de la SC Reg eeutarrrente
so-giro-los
Pirdtda AS
deC E R,t FC161-!sticvil
R IbOuf
tulnsacqm
TDATOS ea
ONArus c Tielet.do
S C Ot;•sards,
MPLE PLATA,
M E Noel
toes TA ar
R er
0rernvere
RPI OASS
Iselvtoo
almacenamiento) son bastante visibles. y, para cada proceso, el impact()
Otros (por ejemplo, pasarelas estima en tiempo (horas, dias,
(gateways), servidores de transporte, semanas). El mismo enfoque se usa al
dispositivos de red) pueden quedar fuera estimar el impacto de la perdida de
de alcance y pernianecer "invisibles". datos. Si es necesario, el impacto
Por ejemplo, una aplicaciOn de banca financier° se puede estimar utilizando
no puede realizar sus servicios si las las mismas t&nicas, para asignar el
pasarelas (gateways) de pago no estan valor financiero a la banda de impact()
activas, Con frecuencia, las partes particular.
vitales de la aplicacion o los datos
criticos pueden residir en las estaciones Ademas, los datos del BIA se pueden
de trabajo del usuario. Idealmente, al recolectar en las ventanas de tiempo
completarse el BIA, estos componentes necesarias para suministrar recursos vitales
"ocultos" se deben descubrir e incluir en —cuanto tiempo puede funcionar Ia
el campo del programa (proyecto) de organizacion si se data un suministro o
continuidad del negocio para man& IlegO el reemplazo. Por ejemplo,
incorporarlos posterionnente en el BCP. i,cuanto tiempo funcionard el banco sin
tarjetas plasticas con chips para
Nota: El auditor de SI deberia personalizarlos en Las tarjetas de credit° o
poder evaluar el BIA. El cuando necesitara TI que se traigan las
enunciado de tarea en la practica estaciones de trabajo de escritorio despues
laboral establece: evaluar el BCP de tin desastre? Esisten diferentes enfoques
de la organizacion para asegurar para realizar tin BIA. Uno de los enfoques
su capacidad de continuar con populares es el cuestionario. Este enfoque
operaciones empresariales involucra el desarrollo de un cuestionario
esenciales durante el periodo de detallado y su distribuciOn a los usuarios
una interruption de TI. El slave en las areas de TI y usuario final. La
auditor necesita saber en que informacion
consiste el desarrollo de un BIA,
de manera de poder evaluarlo
apropiadamente. Sin embargo, el
candidato a CISA no sera
sometido a prueba sabre como se
man un BIA 0 que metodo se
utiliza para realizar tut BIA.
La informacion que se recolecta para el

BIA proviene de diferentes partes de la
organizacion, la cual posee
aplicaciones/procesos critices. Para
evaluar el impacto de tiempo
improductivo para un procesoiaplicacion
particular, se desarrollan las bandas de
impacto (por ejemplo, alto, medio, bajo)
recopilada se tabula y analiza. En caso
de que se requiera informaciOn
adicional, el equipo de WA contactaria
a los usuarios relevantes para obtener
esa informacion. Otro enfoque popular
es entrevistar a grupos de usuarios
claw. La informacion recopilada
durante estas sesiones de entrevistas se
tabula y analiza para desarrollar un
plan de BIA y estrategia detallados. Un
tercer enfoque es reunir a miembros del
personal de T1 y usuarios finales
relevantes (es decir, los que son duetios
de los procesos criticos) en una
habitacian para Ilegar a una conclusion
sobre el impacto potential de varios
niveles de interrupciones sobre el
negocio. El Ultimo metodo se puede
utilizar despues de recolectar todos los
datos. Un grupo mixto decidira
rapidamente sobre el tiempo
improductivo aceptable y los recursos
vitales.
De ser posible, el cquipo de BCP debe
analizar el volumen de transacciones
del pasado al determinar el impacto
sobre el negocio si el sistema no estuvo
disponible durante un period()
prolongado. Esto sustentaria el proceso
de entrevistas que el equipo de BCP
realiza para ejecutar el BIA.
Las tres preguntas principales que
deberian considerarse durante la fase de
BIA se muestran en Ia figura 2.17.
Manual de Preparation al Figura 2.17—Consideraciones del BIA

Examen CM 2015 125
ISACA. Todos los derechos
reseruados.
Capitulo 2—Gobierno y Gestion de T1 Secchin D

1. 4Cuales son los diferentes procesos del negocio? Cada proceso debe
ser evaluado para determinar su importancia relativa. Las
indicaciones de criticidad incluyen, per ejemplo:
· El proceso respalda asuntos de salud y seguridad, tales coma
registros de pacientes hospitalizados y sistemas de control de trafico
Para tomar esta decision, es aereo
necesario considerar dos factores · La interrupciOn del proceso causa una *dicta de ingresos a
de costa independientes, tae comp la organizacion o costos excepcionales inaceptables
se muestra en la figura 2.18. Uno · El proceso cumple con requerimientos legates o estatutarios
cs el costa del tiempo fuera de · El nOrnero de segmentos del negocio o ntimero de usuarios
servicio del desastre. afectados
Este componente, en el corto
plaza (por ejemplo, horas, dins, Un proceso puede ser critico o no critico dependiendo de factores
semanas), crece rapidamente en el tales como tiempo de operaciOn y mode de operation (por ejemplo,
tiempo, en cuyo case el impact() horas habites u operaciones de cajeros autornaticos).
de una interrupcion aumenta a
medida que se extiende su 2. ,Cuales son los recursos de informacion criticos relacionados con los
procesos del negocio criticos de una organizacion? Esta es la primera
duration. En un momenta consideracian ya que la interruption de un recurso de informaciOn no es
determinado, deja de crecer, un desastre de per si, a menos que este relacionado con un proceso del
reflejando el memento o punto en negocio critico. Pot ejemplo, una organizacion pierde su ingreso, lo que
que el negocio ya no puede genera procesos del negocio debido a una falla de SI.
funcionar. El costo del tiempo
fuera de servicio (que crece en el Otros ejemplos de procesos del negocio criticos pueden
tiempo) tiene muchos · Recepc& de pagos
componentes (dependiendo de Ia · Produce&
industria y Ia compaiiia y · Pago de empleados
circunstancias especificas), entre · Publicidad
Ostos: costo de recursos inactivos · Despacho de productos terminados
(per ejemplo, en producciOn), · Cumplimiento con las (eyes y regulaciones
cada en las ventas (per ejemplo,
ordenes), costos financieros (pot- 3. 4Cual es el periodo de tiempo de recuperac& critico para recursos de
ejemplo, no hay facturacicin ni informaciOn en el cual los procesos del negocio se deben reanudar
antes de sufrir perdidas significativas o inaceptables? En gran medida,
recoleccion), demoras (por
la duraciOn del periodo de tiempo de recuperacidn depende de la
ejemplo, adquisicion) y costos naturaleza del negocio o servicio interrumpido. Por ejemplo, las
instituciones financieras, tales como bancos y casas de corretaje,
suelen tener un periodo de tiempo de recuperaciOn critic() macho mas
corto que las fabricas. Iguatmente, el moment() del alio o el dia de la
semana pueden afectar la ventana de tiempo de recuperacion. Par
ejemplo, un banco que experimenta una interrupc& importante el
indirectos (por ejemplo, perdida de Al identificar estos costos, to figura
participation de mereado, imagen y bum 2.18 muestra tambien Ia suma de las
nombre). curvas de costos comet total de costos
(interrupcion y recuperaciOn), en cuyo
Figura 2:18—Costos de interrupcion vs. case una organizacidn desea encontrar
costos de recuperacion el punto en el coal se puede miniinizar
El otro factor es el costo de las el costa total. Para esto, se evaleran las
medidas correctivas alternativas (la estrategias de desarrollo alternativas,
activation del BCP), que disminuye en cuyo case, con algunas estrategias
con el objetivo elegido para el tiempo discretas, se puede dibujar la curva
de recuperaciOn. El costa de descendente y cada punto en la curva
recuperacion tambien tiene muchos representaria una posible estrategia. La
componentes (la mayoria de los curva come tin todo representa todas
cuales son rigidos—inelasticos). Este las estrategias posibles. Cada
incluyc el costo de preparacion y estrategia posihie tiene tin costo fijo,
prueba periOdica del BCP, el costo de es decir, no cambia en el tiempo. Note
instalaciones de almacenamiento que el costo fijo de cada estrategia
fuera del sitio, el costo de cobertura posible puede diferir; en general,
de seguro, el costo anual de mientras mas corta sea la recuperacion
configuration de shies alternatives, objetivo, mils alto sera el costa fijo. La
etc. Las estrategias de recuperacion organization paga el caste de
alternativas pueden representarse implementation, aun cuando no
mediante putties, utilizando ocurran
coordenadas come interval° de tiempo
Operaciones
Costos Descontinuada
s
Total
Tiempo fuera de servicio

__ Minimo
Estrateg las de
RecuperaciO
n
Tiempo
y costo.
accidentes. Si existe un accidente, los sometera a prueba de calculos de
costos variables aumentaria costes.
significativamente (per ejemplo, su
emirate de "warm site" puede contemplar Clasificacion de operaciones y
una cuota anual plena mas una cuota analisis de criticidad i_,Que es Ia
diaria per oeupacion real) debido a la clasificacien de riesgo del sistema?
necesidad de personal adicional, horns Involucra una detemtinacien de riesgo
extra, transporte y otros problemas basada en el impact° derivado del
logistices (per ejemplo, per diem, nuevas period() de tiempo de recuperaciOn
lineas de comunicacion). C
critico, asi come tambien la
posibilidad de que ocurra una
Si la estrategia de continuidad del interrupciOn adversa. Muchas
negocio busca un tiempo de organizaciones utilizaran un riesgo de
recuperaciOn rinds large, sera metros ocurrencia para determinar un cosh)
costosa que una estrategia de tiempo mas razonable de preparacien. Per
reducido, pero puede ser mas susceptible ejemplo, pueden determinar que La
a que los costos de tiempo fuera de existe un riesgo de 0,1 per ciento (o I las
servicio salgan de control. en 1 000) de que en los prOximos pa
cinco Aces Ia organizacion sufrira una La
Uno de los resultados importantes del seria interrupcion, Si el impacto el
BIA, aparte del RTO y RPO, es que evaluado de una interrupcion es US 10
proporciona una mantra de agrupar $10 millones, el costo razonable 5S
sistemas de information de acuerdo a su maxim° de estar preparado puede ser re(
tiempo de recuperacion. Este suele de US SI 0 mil tones x 0,1 per ciente = ay
server contra guia en la selecciOn de US SIO 000 durante cinco afies. Este yc
soluciones tecnologicas (es decir, inetode se llama Expectativa de
controles) que soportan Ia continuidad perdidas anuales (ALE). En este La
del negocio y la recuperaciOn en caso de proceso de analisis basado en el ea!
desastre de TI. riesgo, la prierizacion de sistemas
criticos puede oeurrir al desarrollar 2.
En resurnen, es necesario minimizar la estrategias de recuperacion. El
suma de rectos los costos—tiempo fuera procedimiento de clasifteaciOn de DI
de servicio y recuperacion. El primer riesgo se deberia realizar en To
amp° (costes de tiempo ftiera de coordinacian con el procesamiento de an;
servicio) aumenta en el tiempo, mientras SI y el personal de usuario final. pU
que el segundo (costos de recuperacion) del
disminuye en el tiempo; la suma es Un sistema caracteristico de al
generalmente una curva en U. En la pane calificacian de riesgos puede ; is
inferior de la curva en U, se puede contener las clasificaciones que re c
encontrar el costo mas bajo. aparecen en la figura 2.19. qui
los
Nets: El candidate a CISA no se ·
C
p
·
M
IS,
. aerkiSed Int o
LISA Weirs Ami rmationte Section Dos: Contenido Capitulo 2
i
471,,r
Figu desastre (DRP). Las dos inetricas que

ra
ayudan a determinar las estrategias de
ClasificaciOn Descrfpcion recuperacion son el RPO y el RTO.
Critica No se pueden realizar estas funciones a memos
que se reemplacen por capacidades identicas.de recuperacion se
Las estrategias
No se pueden reemplazar las aplicaciones
describen detalladamente en el
criticas con mOtodos manuales. La 4.
Lapitulo
a las interrupciones es muy Baja; por lo tanto, el
corto de interwpciOn es muy alto.
2.12.7 DESARROLLO DE
Vital Estas funciones se pueden realizar manualmente,
pero solo por un breve periodo dePLANES DE una
tempo. Existe CONTINUIDAD
DEL
mayor tolerancia a Ia interrupciOn queNEGOCIO
con los
sistemas criticos y, por consiguiente,
Tomandacostos
los de las entradas que se
en cuenta
interrupciOn resultan on tante mas bajos, siempre
recibendedel
que las funciones se restauren dentro B1A,
cierto los analisis de
lapso
de tiempo (par lo general cinco criticidad y Ia estrategia de recuperacion
dias a nnenos).
seleccionada por Ia gerencia, se deberian
Sensitivas Estas funciones se pueden realizar manualmente,
desarroilar a los BCP y DRP
o revisar
on costa aceptable y por un periodo de tiempo
deiallados. Se deberian tratar todos los
prolongado. Aunque se puede realizar manualmente,
probleinas
generalmente es un proceso dificil concern ientes al alcance de Ia
y se requiere
continuidad del negocio relacionados con
personal adicional para ejecutarlo.
la intemipcion de los procesos de
No sensitivas Estas funciones se pueden interrumpir
negocios, paincluyendo
on la recuperacion
periodo de tiempo prolongado, a un costa bajo o
nulo para Ia compania y requieren poco a ['ling& Los diferentes
despues de un desastre.
esfuerzo de actualizacion cuandolactates que se deben considerar cuando
se restauran.
se desarrolla/revisa el plan son los
La proxima lase en Ia gestion de la siguientes:
continuidad es identiftear las diversas · Capacidad parr actuar antes de
estrategias de recuperacion y alternatives quc ocurran desastres, que cubra el
posibles para recuperarse cuando manejo de la respuesta a incidentes
ocurre una interruption y/o desastre. con el fin de resolver correctamcnte
todos los incidentes relevantes que
La seleccian de una estrategia
apropiada, basada en el BIA y el afecten los procesos de negocios
· Procedimientos de evacuation
analisis de criticidad, es el siguiente
paso para desarrollar los planes de Procedimientos para la declaracien de tin
continuidad del negocio (BCP) y desastre
planes de recuperaciOn en easo de (procedimientos de escalamiento)
· Circunstancias bajo las minima incidente si no se maneja a
cuales se debe declarar un tiempo o de una manera adecuada,
desastre. Todas las interrupciones podria conducir a un desastre. Por
no representan desastres, pero un ejemplo, el ataque de un virus que
no se reconoce y se ha mantenido
por algk tiempo puede destruir toda
Ia instalaciOn de TI.
· La identificaciOn clam de las
responsabilidades en el plan
· La identiticaciOn clara de las
personas responsables para cads
funcian en el plan
· La Wend ficacidat clara de la
informaciOn sabre el contrato
· La explieacion paso a paso del
proceso de recuperaciOn
· La identification clara de
los diferentes recursos que se
requieren para la operacion de
recuperaciOn y continuidad de
la organization
El plan debe estar documentado y

escrito en un lenguaje seneillo y faun
de entender.
Es comtin identificar los equipos de

personal que son responsables de tareas
especificas en case de desastre. Algunos
equipos importantes deben formarse y
sus responsabilidades se explican en Ia
siguiente section. Se deben mantener
copias del plan luera del sitio. El plan se
debe estructurar de modo tat que sus
panes puedan ser flicilmente manejadas
por diferentes equipos.
2.12.8 OTROS PROBLEMAS EN

EL DESARROLLO DE LOS
PLANES
El personal que deber6 reaccionar a la
interrupcion o desastre es aquel desarrollo del plan. Cuando no exista un
responsable par los recursos mas plan BCP unifonne en toda Ia
criticos. Por consiguiente, la organization, deberia ampliarse el plan
participation de la gestion de para el procesamiento IS a fin de incluir
usuario es vital para el exit° en la Ia planificaciOn para todas las divisiones
ejecueion del BCP. La participation y unidades que dependen de las
de la gestion de usuario es esencial funciones de procesamiento de los
para la identilicacion de sistemas sistemas de infonnacion.
criticos, sus correspondientes
liempos de recuperacion y la En la fonnulacian del plan,
espccificacion de los recursos deberian asimismo incluirse los
necesarios. Las tres principales siguientes aspectos:
divisiones que requieren · Lista del personal, con informacion
participation en la formulaciOn del de contacto, necesaria para
BCP son los servicios de apoyo mantener las funciones criticas del
(quienes detectan las primeras negocio a corto, mediano y largo
setiales de incidentes o desastres), plaza.
las operaciones comereiales · Configuration de las
(quienes pudieran verse afectadas a instalaciones del edificio,
raiz del incidente) y el apoyo en el escritorios, silias, telefonos, etc.,
procesamiento de la informaciOn que se requieren para mantener las
(quien correra la recuperacion). funciones criticas del negocio a
corto, mediano y largo plaza.
Debido a que el proposito subyacente · Los recursos requcridos para
del BCP es la recuperacion y el reanudar/continuar las operaciones (no
restablecimiento de las operaciones necesariamente recursos de Ti y ni
comerciafes, es esencial considerar a siquiera de tecnologia, conio par
toda la organizacion, no solamente los ejemplo los materiales con el membrete
servicios de procesamiento IS, en el de la compaitia).
Manual de Preparackin at Examen C1SA 2015 127

Section Dos: CertifiedItionmato
Contenido
Capitulo 2—Gobierno y Gestion de Ti LISA systems haw
MCA' CrtAcAM
Figura 2.20—Proansito del alcance de los componentes del plan de contin

Plan PropOsito
Planes de continuidad del Brindar los procedimientos para sostener las operaciones Aborda los proceso
negocio esenciales del negocio mientras se recuperan de un en su respaldo a los p
, trastorno significativo.
Plan de recuperaciOn (o Brindar los procedimientos para recuperar las Trata los procesos co
restablecimiento) del negocio operaciones comerciales inmediatamente despues de solamente en el resp
(BRP) una situacian de desastre.
Plan de continuidad de Brindar los procedimientos y las capacidades para Aborda el subconjun
operaciones (COOP) sostener las funciones esenciales y estrategicas de una organization que se
organization como sitio alterno durante un lapso de usualmente escritas
hasta 30 dial.
Continuidad del plan Brindar los procedimientos y capacidades para recuperar Igual quo el plan de
de respaldo o plan de una *cad& mayor o un sistema general de respaldo. irregularidades en e
contingencia TI el proceso comercia
Plan de comunicaciones Brinda los procedimientos para distribuir informer de Trata las comunicac
criticas situacion al personal y al ptiblica TI no enfocada.
Plan de respuesta a incidentes Proporciona estrategias para detectar, responder y limitar Se centra en respue
cibernetices las consecuencias de incidentes ciberneticos dolosos. a los incidentes que
Plan de recuperacion en Brindar procedimientos detallados para facilitar la A menudo TI enfocad
caso de desastre recuperaciOn de capacidades en un sitio alterno. con efectos a largo pl
Plan de emergencia del Brinda procedimientos coordinados para minimizer las Se enfoca en el pers
ocupante (OEP). perdidas de vida a lesiones y proteger contra los dews a en particular; no esta
la propiedad privada en respuesta a una amenaza fisica, en una funcionalidad
2.12.9 ELEMENTOS DE UN PLAN · Plan de continuidad de las

DE CONTINUIDAD DEL NEGOCIO operaciones
· D RP
Dependiendo del tamario o los · Plan de restablecimiento del
requcrimientos de una organizaciOn, negocio
un BCP puede constar de uno o mas
documentos. Tambien puede incluir:
· Continuidad del plan de
Esto debe incluir:
apoyo'Plan de contingencias TI - Recursos (ineluso
· Plan de comunicaciones de crisis humanos) disponiblcs para
· Plan de respuesta a incidentes ayudar en su
· Plan de transporte implementaciOn
· Plan de emergencia del ocupante · Programa de actividades con
· Plan de evaettac ion y prioridades establecidas
reubicacion de ernergencia
Muchos BCP son creados como
Un ejemplo de los componcntes de un procedimientos que albergan los
BCP segon lo sugerido por NIST sistemas de recuperacion de Ia
800-34 se inuestra en Ia figura 2.20. informaciOn (es decir:
almacenamiento de datos, servidores,
Para la Ease de planificacion, etc.), estaciones de trabajo de usuario,
implantacidn y evaluation del BCP, otros equipos dctcrminados (lectores
deberia acordarse lo siguiente: de tarjetas, scanners de codigos de
· Las politicas que regiran barras, impresoras, etc.) y la red
todos los esfuerzos de continuidad (eanales, equipo). Las copias del plan
y recuperacion deberian mantenerse fuera del
· Metastrequerimientosiproductos establecimiento: en la instalacion de
para cada fuse recuperacion, en la instalacion de
· lnstalac iones alternas para almacenamiento de medios y
realizar las tareas y operaciones posiblemente en las casas del personal
· Recursos de informaciOn slave en la Ionia las decisiones. Cada
critica que se van a vez con mayor frecuencia, una
implementar (p.ej. datos y organization coloca la version
sistemas) electrOnica del plan en un sitio web
· Personas responsabics de duplicado.
llevarlas a cabo
Personal slave para la toma de
decisiones
El plan deberia contener una lista
telefonica o "arbol de llaniadas",es decir,
un directorio de notification, del personal
IS slave en Ia torna de decisiones y del
personal de usuario final, que se
requieran para emprender y llevar a
cabo los esfuerzos de recuperacion.
Usuahnenk se trata de un directorio
telefonico de personas que deberian ser
notifieadas en el caso de un incidente,
desastre o catistrofe.
Los puntos para recordar al preparar la oficinas de la organization, muchos
lista son: lideres de equipo podrian no estar
· En caso de un desastre de disponibles
envergadura o un · La lista telef'onica a "cudena
incendio/explosion en horas de llamadas- tiene que ser rnuy
laborables que dine seriamente las redundante y actualizada
regularmente.
128 Manual de Preparation al Examen C1SA 2015

I S A C A . To d o s l o s c l e re c h o s re s e r v a d o s .
- Certified information Secular) Dos: Contenido Capitulo
It ISJC-IV,Ten,rsr4o,
seguros.
'Mutter° telefonico de los
contactos en los servicios
Este directorio telefonico debe contener suministrados por
la siguiente informaciiitu personal contratado.
'Nattier° telefonico y
· Lista de contactos por orden
de prioridad (es decir, j,a qui& contactos de organismos
deberia llamarse primero?) legales, reglamentarios o
· Niimeros teleftinicos y direcciones gubemamentales, de ser
principales y para necesario.
emergencias por cada persona · Un procedimiento para
critica de contacto. Usualmente deterrninar a cuantas personas se
scrim los lideres clave de equipo tibia') mientras se utilizaba la cadena
quienes se encarguen de de Ilamadas (call tree)
comunicarse con los integrantes de
sus equipos. Respaldo de los sumlnIstros
§ Nitmeros telefonicos y requerldos
direcciones de El plan debe tener provisiones para
=.•
representantes de todos los insumos que

proveedores de equipo y se necesiten para continuar con las
software. actividades de negocio
Nameros telefonicos de contactos nonnales durante las actividades de
dentro de connpanias que se hayan recuperaciOn. Esto incluye
designado para proporcionar servicios, procedimientos detallados impresos y
equipo o insumos. .Nameros actualizados que pueda
telefOnicos de personas de contacto en seguir facihnente tante el personal
los sitios de recuperaciein, incluso interno corm externo
representantes en el hot site o servicios que no este familiarizado con las
para volver a enrutar comunicaciones operaciones normales y de
de red predefinidas. recuperation. Asimismo, se debe
.NUmeros telefonicos de personas
garantizar que la ubicaciOn fuera
de contacto en sitios de del sitio cuente con un abastecimiento
almacenamiento de medios fuera de formatos especiales,
del sitio y de las personas de tales coma cheques, facturas y pedidos.
contacto dentro de la compaiiia que
esten autorizadas para recuperar Si la funcion de entrada de datos depende
medios desde la locaciOn fuera del de ciertos dispositivos de hardware ode
sitio. programas de software, tales programas y
.Nameros telefonicos de agentes de equipo deberian proporcionarse en el hot
site. Lo mismo aplicaria al equipo
criptografico, incluidas las teclas
electrOnicas (tokens RSA, teclas USB,
etc.). · Equipo e instalaciones IS—
Ofrece cobertura contra dailos
War° fisicos al 1PF y equipo propio.
El plan de recuperaciOn debe contener (Deberia obtenerse un seguro para
information clove el equipo rentado cuando el
c}bre el seguro de la organizacion. La arrendatario sea responsable por la
poliza de seguro para el procesamiento cobertura contra riesgos.) Se
de SI es por lo general una Olin contra advierte al auditor de SI que
multiples dahos disetiada para brindar deberia revisar estas polizas, ya
varios tipos de cobertura de TL Debe que inuchas obligan a los
claborarse modulannente, para que se proveedores de seguros a
pueda adaptar al ambiente dell reemplazar equipos que no
particular del asegurado. pueden restaurarse solamente con
"de igual clase y calidad", no
Nota: Los pormenores sobre necesariamente con nuevo equipo
las Ohms de seguro no se per el misrno proveedor del
incluyen en el examen de equipo dafiado.
CISA porque difieren de un · Reconstruction de medios
pais a otro. La pmeba abarca (software)—Cubre contra daiios a
lo que deberia incluirse en los medios informaticos que sean de
las pOlizas y acuerdos con la propiedad del asegurado y por los
terceros, pero no deberian cuales el asegurado podria ser
examinar los tipos responsable. El seguro esta
especificos de cobertura. disponible para desastres en las
instalaciones, fuera de las
so Los tipos especificos disponibles de instalaciones o en transit° y cubre el
cobertura son; costa de reproduction real del bien.
Algunas consideraciones para
determiner el monto de la cobertura
necesaria son los costos de
programacian para reproducir los
medios danados, gastos por respaldo
y reemplazo fisico de dispositivos
de medios, tales coma cintas,
cartuchos y discos.
· Gastos adicionales—Disertada
para cubrir los costos adicionales por
continuar las operaciones despues del
daiio o destruction en IPF. El monto
del seguro por gastos adicionales protection contra responsabilidad
necesario se basa en la disponibilidad legal en caso de que un experto
y el costa de los equipos y incurra en un acto, error u omisiOn
operaciones de respaldo. Los gastos que resulte en una perdida
adicionales tambien pueden cubrir la financiera para el cliente. Este
perdida de ganancias netas seguro se disetio originalmente
ocasionadas por darios en medios para agendas de servicios, pero
informAticos. Dispone el reembolso agora estd disponible con muchas
por perclidas pecuniarias causadas aseguradoras para protegerse
por la suspension de las operaciones contra acciones de analistas de
debido a Ia perdida fisica de equipos sistemas, disefiadores de software,
o medios. Un ejemplo de una programadores, consultores y otro
situation que requiere este tipo de personal de SI.
cobertura es si las instalaciones para · Cobertura de fidelidad—Por lo
el procesamiento de infonnacion general se trata de una fianza
estaban en el sexto piso y se bancaria general, un seguro per
quemaron los cinco primeros pisos. exceso de fidelidad o fianzas
En este caso, las operaciones se generales comerciales. Cubre
interrumpirian aun cuando las contra perdida ocasionada por
instalaciones de procesarniento de actos deshonestos o fraudulentos
information (IPF) no se hubieran por parte de empleados. Este tipo
afectado. de cobertura es comun en
· InterrupeiOn del negoeio-- instituciones financieras, que
Cubre el fuer° cesante debido al operan sus propias instalaciones de
trastomo de la actividad de Ia procesamiento de infounacion
empresa causada por el mal (1PF).
funcionamiento de Ia · Transporte de medios—
organization [S. Proporciona cobertura contra
· Documentos y registros de valor posible perdida o (tato de medios
—Cubre el valor real en efectivo de en transit° a equipos de
documentos y registros (no procesamiento de information
definidos como medios) en las (1PFs) que esten fuera de las
instalaciones del asegurado contra instalaciones. La redaction de la
divulgacion no autorizada, perdida o cobertura de transit° en la poliza
dark) fisico directo. suele especificar que todos los
· Errores y omisiones—Brinda documentos tienen que
Manual de Preparation of Examen CISA 2015 129

Capitulo 2—Gobierno y Gestion de Ti Seccion Dos: Contenido
d
ser filnaados o copiados por otros efectivamente se prueban en su
medios. Cuando Ia pOliza too totalidad. Esto no descarta hacer
requiere especificamente que los pruebas totales o parciales, porque
datos se filmen antes de su una de los propOsitos de Ia prueba al
transportacien y el trabajo no se tibia, plan de continuidad del negocio es
la gerencia debe obtener del servicio determinar que tan bien funciona el
de mensajeria de la aseguradora una plan o clue partes del plan requieren
•
cam que describa en fonria especifica mejoras.
la posiciOn del servicio de inensajeria
de la compaiiia aseguradora y la Las pniebas deben programarse
cobertura en caso de destmcciOn de durante un tiempo que minimice las
los datos. intemipciones de operaciones
normales. Los fines de sernana son, •
Es importante recordar varios puntos por lo general, un buen moment() para
slave sabre el seguro. La mayoria de realizar las pruebas. Es importante que
los seguros cubrcn finicamente las los miembros slave del equipo de
perdidas financieras con base en el recuperacion participen en el proceso
nivel historic° y no en el nivel actual de la prueba y le dediquen el tiempo
de rendimiento. El auditor de SI necesario para poner todo su emperio
tambien se ocupara de garantizar que en ello. La prueba debe incluir todos
Ia valoracion de los elementos los componentes criticos y simular las
asegurados, como el equipamiento condiciones reales de procesamiento L
tecnico, la infraestructura y datos, sea durante los momentos de mayor
adecuada y este actualizada. Ademas, actividad, aun si se Ileva a eabo fuera e
el seguro indemniza par perdida de de las horas pica. d
imagen o fondo de comercio.
Tampoco, el seguro indemniza por Especificaciones e
perdida de imagen o fondo de En la prueba deberia hacerse enfasis en 1
comercio, el cumplimiento de 4
d
las siguientes tareas:
2.12.10 PRUEBAS DEL PLAN · Verificar la integridad y
precision del BCP.
Muchas pruebas de continuidad del
· Evaluar el desempeno del
negocio no alcanzan a ser una prueba
personal involucrado en el ejereicio.
a toda escala de todas las porciones ri
· Informar sabre la capacitation y it
operativas de la organizacian, si
concienciacion de los empleados que
L •
e
•
•
no formen parte de un equipo de Ejecucion de la prueba
continuidad del negocio. Para realizar las pruebas, se debe Ilevar
- Evaluar Ia coordination entre a cabo cada una de las
los miembros del equipo y los siguientes fases de prueba:
contratistas y proveedores · Prueba preliminar—El conjunto
extemos. do acciones necesarias destinadas a
· Medir Ia habilidad y la establecer la etapa para la prueba
capacidad del sitio alterno para real. Esta lase incluye desde colocar
realizar procesamientos mesas en el area de recuperacion de
recomendados. operaciones hasta transportar e
- Evaluar la capacidad de instalar equipo telefonico de
recuperaciOn de registros vitales. respaldo. Estas actividades estan
· Evaluar el estado y la fuera del ambito de aquellas que
cantidad de equipos c insumos ocurririan en el caso de una
que se han reubicado al sitio ernergencia real, en la cual par lo
de recuperacion, general no hay una advertencia del
· Medic el desempelio general de evento y, por tanto, ningun tiempo
las actividades de procesamiento de para tomar acciones preparatorias.
sistemas de informaciOn y operativos · Prueba—Esta es Ia action real
para mantener la entidad de negocio. de la prueba del plan de continuidad
del negocio. Se ejecutan las
Nota: Este forma parte actividades operativas reales pant
importante de la probar los objetivos especificos del
responsabilidad del auditor — plan. Se deben hacer capturas de
evaluar los resultados y el datos, Ilamadas telefonicas,
valor del BCP y las pruebas procesamiento de sistemas de
infonnaciOn, manejo de pedidos y
DRP.
movimiento de personal, equipo y
proveedores. Los evaluadores deben
reviser a los miembros del personal
mientras realizan [as tareas
designadas. Esta es la pnieba real de
preparation para responder a una
emergencia.
· Prueba posterior—La
depuraciOn de las actividades de
grupo. Esta lase comprende
asignaciones como regresar todos los
recursos a su lugar apropiado,
desconectar los equipos, regresar al
personal a sus ubicaciones nonnales y
borrar todos los datos de Ia compaiiia
de los sistemas de terceros. La
depuracion posterior a Ia prueba
Ell
Seccidn Dos: Contenido Capitulo 2—Gobierno y Gestitin de Ti
CCurtifiedInformation CISA
In !SAP' GM% r41.104Swims
Auditor'
tambien incluye evaluar formalmente una prueba en papel y a nivel local

el plan e implemental- las mejoras antes de intentar parar las
indicadas. operaciones por completo. A los
Ademas, se pueden realizar los efectos de las pruebas BCP, este es el
siguientes tipos de pruebas: desastre.
· Prueba de evaluaciOn con
lapiz y papel—Veriticacion fisica del Documentacicin de los resultados
plan, que involucra a los principales Durante cada rase de la pnieba, se debe
aetores en la ejectician del plan, mantener doetimentacion detallada de las
quienes disciernen sabre qui podria observaciones, problemas y soluciones.
pasar en un tipo en particular de Cada equipo deberia tenor un formulario
trastorno del servicio. Podrian dar un en forma de diario, para anotar los pasos
repaso al plan entero o solo a una especificos y la information, que puede
parte de el. La prueba en papel suele emplearse a modo de documentacion.
anteceder a las pruebas de Esta documentaciOn sirve como una
preparacion. infonnacion histOrica importante que
· Prueba de preparation— puede facilitar la recuperacion real
Usualmente es una version localizada durante un desastre real. Ademas, la
de una prueba completa, donde se compania aseguradora o las autoridades
invierten recursos reales en la locales pudieran pedirto. Tatnbien Ia
simulation de averia de un sistema. documentacion ayuda a realizar un
Estas pruebas se aplican a diferentes analisis detallado tanto de las fortalezas
aspectos del plan y pueden ser una como de las debilidades del plan.
forma rentable de obtener gradualmente
evidencia sabre que tan bueno es el Anallsis de resultados
plan. Tambien brindan los medios para Es importante contar con una manera de
mejorar el plan en incrementos. medir el exito del plan y de la patch
· Pruebas operativas completas frente a los objetivos establecidos. Par
—Estan a un paso de una consiguiente, los resultados deberan
interrupcion real en el servicio. Una calibrarse cuantitativamente en
organizacion necesita haber realizado contraposition a una evaluation basada
solamente en Ia observacitin.
130 Manual de F'reparaciOn al Examen CISA 2015
MAGA. Todos los derechos reservados.
Las mediciones especiticas varian suelen aplicar:
dependiendo de la prueba y § Tiempo--El tiempo transcurrido
de Ia organizacion; sin embargo, las para Ilevar a cabo las tareas
siguientes rnedidas generales establecidas, Ia entrega de equipos,
la con formacion del personal y Ia planes y estrategias. Los siguientes
Ilegada al sitio cstablecido factores, y otros, pueden irupactar en
previamente. los requerimientos para Ia
Ca atidad—La cantidad de continuidad del negocio y la
trabajo realizado por el personal necesidad de actualizar el plan;
administrativo en el sitio alterno y § Una estrategia que results
el volumen de operaciones de apropiada en un rnomento
procesamiento de los sisternas de determinado pudiera no scar
in formacion. adecuada a medida que cambian
Conteo—E1 niimero de registros las necesidades de la organizacion
vitales que se transportaron con exit° (procesos comerciales, nuevos
al sitio alterno en comparaciem con el departamentos, cambios en el
mlinero requerido, asi como el personal claw.)
niiinero de insumos y equipos
Se podrian desarrollar o adquirir
solicitados en comparacion con los
in nuevas aplieacionestrectirsos. Los
que se recibieron en realidad.
Asimismo, el nfunero de sistemas cambios en la estrategia coinercial
criticos que se recuperaron con exito pueden alterar Ia sigAiticacion de
puede medirse con el narnero de las aplicaciones criticas o catalogar
transacciones procesadas. de criticas las aplicaciones
§ Exactitud—La exactitud de la adicionales
captura de dates en el sitio de · Nuevos acontecimientos un
recuperacion en comparacion con cambio en su probabilidad pueden
la precisiOn normal (como un generar interrupeiones,
porcentaje). De igual forma, Ia · Se rcalizan cambios en el
exactitud de los ciclos de personal slave et en sus dctalles do
procesainiento real se puede contacto.
determinar comparando los
resultados de salida con aquellos tin paso importante en el
del mismo period° procesados en mantenimiento de un BCP
condiciones normales. consiste en actualizarlo y probarlo
cada vez que se produzcan
Mantenimiento del plan cambios relevantes denim de la
Reberian revisarse y actualizarse los organizaciiin. Tambien seria
planes y estrategias para la deseable incluir el BCP como
continuidad del negocio con base en parte del proceso del ciclo de vida
un cronograma que re fleje el de desarrollo de sistemas (SDLC).
reconocimiento continuo de los
requerinnientos cambiantes o de La responsabilidad por el
mariera extraordinaria (revisiones no mantenimiento del BCP a menu&
programadas), cuando se produzca un recae en el coordinador del BCP. El
carnbio importantc que afecte los plan especilico de manten imiento
comprende Las siguientes · Organizar y coordinar pruebas
responsabilidades: programadas y no programadas del
· Desan-oliar un programa para BCP a fin de evaluar su suficiencia.
la revision y el mantenimiento · Participar en las pruebas
periodic° del plan e infonnar al programadas del plan, las cuales
personal sobre sus roles y las deberian realizarse al menos Lula
fechas !finite para recibir rnodi vez al alio en detenninadas fechas.
ficaciones y cornentarios. Para las pruebas programadas y no
· Pedir rcvisiones no programadas, el coordinador
programadas cuando se escribirA las evaluaciones e
produzcan cambios sign i integrara Los cambios a fin de
ncativos. resolver los resultados de pruebas
· Verificar las revisioncs y los fallidas en el BCP en cl transcurso
comentarios y actualizar el plan de X dias (por ejemplo: 30 dias, dos
en el transcurso de X dias (par semanas).
ejemplo: 30 dias, dos semanas) · DesarrolItir un calendario para
de is facha de revision, eapacitar al personal de recuperacion
en los procedimientos do emergencia
y recuperacion confortne a lo
establecido en el BCP. Las fechas de
la capacitaciOn deberian fijarse en el
transcurso de 30 dias de la revision de
cada plan y de la prueba prograrnada
para el plan.
· Mantener registros de las
actividades de mantenimiento
del BCP, como pruebas,
capacitacion y revisiones.
· Actualizar periodicamente, al
menos trimestralmente (se
recomiendan lapses Inas cortos), el
direetorio de waif-teat:ion de todos
los cambios en el personal, incluidos
numeros de telefono, atribuciones o
rango dentro de la empresa
Una herrarnienta de software para

administrar los planes de
continuidad y recuperacion pudiera
servir para rastrear y hacerle
seguimiento a las labores de
mantenimiento.
Mejores practicas en la Recuperacion en Caso de Desastre
gestion de continuidad del (Disaster Recovery Institute
negocio International, DR1I)—Proporciona
La necesidad de repasar y mejorar de practicas especiales para
tnanera continua y periOdicamente el profesionales de la continuidad del
programa de continuidad del negocio negocio
es detenninarae para el desan-ollo de · Asociacion Federal de Estados
una estrategia exitosa y contundente de Unidos para la Gestion de
rectiperaciOn en una organizacion, Emergencias (Federal Emergency
independientemente de que Ia Management Association, FEMA)—
organizacion se encuentre en la etapa Ofrece una guia para el cornercio y
inicial de desarrollo de un BCP. En un la industria en el manejo de las
esfucrzo par mejorar las eapacidades emergencias
del BCM (y cumplir con las directriees · ISACA—El estandar CUBIT
realamentarios), algunas proporciona orientacion sobre los
organizaciones hart connenzado a controles de TI que son relevantes
adoptar las mejores practicas para para el negocio,
entidades Canto independientes como · Institututo Nacional de
especificas de Ia industria y agencias Estandares y Tecnologia de los
Estados Unidos (National Institute
reglamentarias. Algunas do estas
of Standards and Technology)
entidades o
· US Federal Financial Institutions
practicasireglamentosiestandares son:
· Institut° de Continuidad del Examination Council (FFIEC)
Negocio (Business Continuity · Departamento de Salud y
Institute, BCD)-Brinda las mejores Servicios I lumanos de los Estados
practicas para la gestion de la Unidos (US Health and Human
continuidad del negocio Services, HHS)—EI estimdar HIPAA
· lnstituto Internacional de describe los requisitos para gestionar la
informacion de salud.
Nota: El candidato a CISA no sera evaluado sobre
practicasiestandares especificos
Manual de Preparacion al Examen CISA 2015 131

!MCA. Todos los derechos reservados.
Capitulo 2—Gobierno y Gestion de T1 Secci
An 1516:r CNtlic.d.a•
2.12.11 RESUMEN DE para las funciones de negocio que

CONTiNUIDAD DEL NEGOCIO Sean criticas para continuar
operando a un nivel aceptable (plan
Con miras a garantizar un servicio de continuidad del negocio, BCP).
continuo, deberia rcdaetarse un BCP para · Probar los planes.
minimizar el impact() de los trastomos. · Actualizar los planes a
Este plan deberia basarse en el plan TI de medida que cambia el negocio
largo alcance y deberia respaldar y y se desarrollan sistemas.
alinearse con Ia estrategia general de
continuidad del negocio. Por to tanto, el
proceso de desarrollar y mantener un 2.13 AUDITORIA DE
DRP o BCP apropiado deberia consistir CONTINUIDAD DEL NEGOCIO
en:
· Realizar una evaluaciOn de Las tareas del auditor IS abarcan:
riesgos—Identificar y priorizar · Comprender y evaluar Ia
los sistemas y otros recursos que se
estrategia sabre Ia
requieren para soportar
continuidad del negocio y su
los procesos de negocio criticos en
caso de que ocurra una conexion con los objetivos del
interrupcian. Identificar y priorizar negocio
amenazas y vulnerabilidades. · Revisar los hallazgos de BIA
· Elaborar un analisis del para asegurarse de que reflejen las
impacto del negocio sobre el prioridades actuates del negocio y
efecto que tiene la perdida de los controles actuates
procesos de negocio criticos y · Evaluar los BCP a fin de
sus componentes de soporte. determinar su conveniencia y
· Elegir controles apropiados y difusiOn, al revisar los planes y
medidas de recuperacion de cotnpararlos con las correspondientes
componentes de TI para soportar los estandares a reglamentos
procesos de negocio criticos. gubernatnentales, incluidas RTO, RPO
· Desarrollar el plan detallado etc., definidos por el BIA
para recuperar las instalaciones IS · Verificar Ia eficacia de los BCP
(DRP). mediante Ia revision de los
· Desarrollar un plan detallado resultados de las pruebas realizadas
anteriormente por IS 2.13.1 REVISION DEL PLAN
y el personal de usuario final DE CONTINUIDAD DEL
· Evaluation de los tnecanismos
basados en Ia nube NEGOCIO
· Evaluar el HI la revision del plan desarrollado,
almacenamiento externo para los auditores IS deberian verificar
asegurar su conveniencia al que los elementos basicos de un plan
inspeccionar la instalacion y bien desarrollado se pongan de
verificar sus contenidos y manifiesto. Los procedimientos de
controles de seguridad y auditoria para abordar estos
ambiental elementos basicos comprenden:
· Verificar los tramites para
transportar los medios de respaldo Revisar el documento
a fin de asegurarse de que · Obtener una copia de Ia
satisfagan los requerimientos politica y estrategia sabre Ia
apropiados de seguridad continuidad del negocio.
· Evaluar la capacidad del · Obtener una copia actual del
personal para responder BCP o manual.
efectivamente en situaciones de · Obtener una copia de los
emergencia, al revisar los hallazgos etas recientes del BIA e
procedimientos de emergencia, la identificar el RTO, RPO y otras
capacitaciOn de empleados y los directrices estrategicas awe.
resultados de las pruebas y los · Tomar una muestra de las
ensayos copias distribuidas del manual
· Velar por el establecimiento y y verificar que esten vigentes,
vigcncia del proceso para mantener · Verificar si el BCP apoya Ia
los planes y porque este abarque estrategia sabre la continuidad
las revisiones tanto periOdicas del negocio en general.
coma no programadas · Evaluar Ia efectividad de los
· Evaluar si los tnanuales sabre procedimientos documentaclos
la continuidad del negocio y los para Ia invocacion de la
procedimientos estan redactados de ejecuciOn del BCP.
· Evaluar el procedimientos de
una manera sencilla y facil de
actualizacion del manual. i,Se aplican y
comprender. Esto puede lograrse
distribuyen las actualizaciones
mediante entrevistas y al determinar
aportunamente? LSe documentan las
si todas las panes involucradas
responsabilidades especificas de
comprenden sus atribuciones y
mantenimiento del manual?
responsabilidades con respecto a las
estrategias sobre Ia continuidad del
Revisar las Apllcaciones
negocio.
Cublertas per el Plan
· Revisar la identificacion,
prioridades y respaldo previsto de
las aplicaciones criticas, tanto las encargado de [a continuidad del
basadas en el servidor como las negocio, los contactos de hot site de
basadas en la estaciOn de trabajo. emergencia, los contactos de
· Determinar que se haya proveedores, etc.
revisado en todas las · Llamar a una muestra de las
aplicaciones el nivel de personas indicadas y verificar que
tolerancia en caso de desastres. sus nameros telefOnicos y
· Detemiinar que se Mayan direcciones esten eorrectos, tat
identificado todas las aplicaciones como se seliala, y que poseen una
criticas (incluidas las aplicaciones copia vigente del manual de
PC). continuidad del negocio.
· Deteniiinar que el sitio · Entrevistarlos para tener una idea
secundario tenga las versiones de cuales son sus asignaciones en una
correctas de todo el software del situation de interrupcion o de desastre.
sistema. Verificar que todo el
software sea compatible; caso pruebas del plan
contrario, el sistema no podia · Evaluar los procedimientos para
procesar los datos de produccion documentar las pruebas.
durante la recuperacion. · Revisar los procedimientos
de respaldo que se siguen en cada
Revisar los Equities de area cubierta por el DRP.
Continuidad del Negocio · Detenninar si se siguen los
· Obtener una lista de micmbros procedimientos tic respaldo y
por cada equip() de recuperaciOn, recuperacion.
continuidad o respuesta. Ademas de los pasos anteriores:
· Obtener una copia de los · Evaluar si todos los
acuerdos relacionados con el procedimientos escritos de
empleo de las instalaciones de emergencia estan completos, son
respaldo. apropiados y exactas, estan vigentes
· Comprobar la conveniencia e y son ladles de comprender.
intcgridad de la lista del personal
132 Manual de Preparacitin al Examen CISA 2015

ISACA. Todos ios derechos reservados.
on
C. Certifi In ed Secclin Doss Contenido Capitulo 2—Gobierno y G
ionnation CISA
Sptern.Auditac
Identiticar si las transacciones que · i,euhles sistemas entices cubre el
se ingresan nuevamente en el plan?
sistema a traves del proceso de · i,Cuales sistemas no estan
recuperacion deberian cubierios en el plan? ,Per que no? 4
identificarse aparte de las Cual equipo no esta cubierto en el
transacciones normales. plan? i,Por clue no?

Determinar que todos los equipos de · LEI plan opera con algfin supuesto?
recuperacion, continuidad yrespuesta ettales son estos supuestos? LEI plan
hayan redactado los procedimientos identifica punkas de encuentro para que el
que debenin seguirse en caso de que comite de gestiOn en caso de desastres o el
ocurra un desastre. equipo para el man* de emergencies se
Detertninar Ia existencia de un retina y decida si deberia Miciarse la
procedimiento idimeo destinado a continuidad del negocio?
actualizar los procedimientos escritos § i,Losprocedimientos
para casos de emergencia. Determinar documentados son adecuados para el
que los proccdimientos de recuperaciOn exito de la recuperacion?
de usuario esten documentados. · LE1 plan acomete los desastres de
Determinar que el plan diversos grades?
aborde de manera adecuada · i,Se abordan en el plan los
el desplazamiento al sitio d respaldos dc tclecomunicaciones
recuperacion. Onto de datos coma de voz)?
· Detenninar que el plan · LDonde sc encucntra Ia instalaciOn
ahordc de manera adecuada de respaldo?
la recuperacion desde el ·.AEI plan trata la rcubicacion
shin de recuperacion. hacia una nueva instalacion de
· Detenninar que los articulos procesamiento de infonnacion en
necesarios para la recenstrucciOn de caso de que no pueda restaurarse el
la instalacion de procesarniento de centre original?
informacion se hayan guardado en un · ,F`,1 plan incluye procedilnientos
almacenamiento externo, tales coma para fusionar los dams del archivo
proyectos, inventario del hardware y maestro, los datos del sistema
diagramas de cableado. automatizado de administracion de cintas,
Las preguntas a considerar incluyen: etc., en arch i vos previos a situaciones de
· ,t)uieri esta encargado de Ia desastre?
administraciOn o coorclinacion del · LEI plan aborda la carga de los
plan? datos procesados manualmente en un
· administrador o sistema autornatizado?
coordinador del plan se · Hay procedimientos
encarga de mantener el plan formales que especifiquen
actualizado? los procedimientos y
· i,DOnde se guarda el DR P? responsabilidades de
respaldo? · z,Flay documentaciOn adecuada
· 1Que capacitacion se ha para efectuar una recuperacion en
impartido al personal para el empleo caso de desastre o pordida de los
del equipo de respaldo y los dates?
procedim lentos establecidos? · i:,Existe un cronograma para
· i,Estan documentados los probar y capacitar al personal sobre el
procedimientos de restattracion? plan?
· Se hacen respaldos
ordinarios y sistematieos de 2.1.3.2 EVALUACION DE
las aplicaciones y archives de
dates sensibles o cruciales? LOS RESULTADOS DE
· iiQuien delennina los metodos PRUEBAS ANTERIORES
y la frecuencia en el respaldo de los El coordinador de BCP deberia mantener
datos para la in formacion critica que documentacion historica acerca de los
esta almacenada? i,Qud tipo dc resultados de una continuidad de negocio
medios se utilizan para los deficiente. El auditor IS deheria revisar
respalclos:r estos resultados y determinar que se
Maya incorporado al plan aquellas
AEI almacenamiento extern° Sc acciones que deban corregirse. Asi
emplea para mantener los mismo, el auditor IS deberia evaluar en
respaldos de la informacian las pniebas anteriores de BCPIDRP la
critica que se requiere en el rneticulosidad y la exactitud en el logro
procesanuiento de las de sus objetivos. Deberian examinarse
operaciones internas o externs? los resultados de las pruebas para
deterniinar que se hayan logrado los
resultados apropiados, asi coma
detenninar los posibles problemas y la
solution apropiada de los mismos.
El auditor de SI tambien debe revisar el

tnetodo de transporte de datos de
respaldo desde y hacia la instalacion de
almacenamiento fuera del sitio para
garantizar que no represente una
debilidad en el sistema de gestien de
seguridad de la informaciOn.
2.13.3 EVALUACION DEL

ALMACENAMIENTO EXTERN°
Dcberia evaluarse la instalacion
ahnacenarnie.nto externs para garantizar

Capitulo 2—Goblerno y Gestion de Ti
la presencia, sincrenizAcion v vigencia revisar el mdtodo cle transporte de los
de los medios y Ia documentaciOn respaldos de datos desde y hacia Ia
critica. Este abarca los archives de instalaciOn de almacenamiento fuera
datos, el software de aplicaciones, Ia de sitio a fin de asegurar que no
documentacion de aplicaciones, el representa una debilidad en el sistema
software de sistemas, Ia documentaeion de gestian de seguridad de la
de sistemas, la documentacion de intbrunacion.
operaciones, los suministros necesarios,
fonnularios especiales y una copia del 2.13.4 ENTREVISTAS AL
BCP. A objeto de verificar las PERSONAL CLAVE
condiciones antes mencionadas, el
El auditor IS deberia entrevistar al
auditor IS deberia efectuar un examen
personal clave que se requiere para el
detallado del inventario, Este inventario
exit° en Ia recuperacion de las
abarca las pruebas para cot-regir los
operaciones del negocio. Todo el
nombres en los conjuntos de datos,
personal slave deheria estar al tanto de
seriales de volumen, periodos contables
sits asignaciones asi como conocer la
y localidades binarias de los medic's. El
documentacion actualizada y detallada
auditor [S tambien deberia examinar la
donde se describen sus tareas.
documentacion, cornparar sit di fusion
con la documentacion de producciOn,
evaluar la disponibilidad de la El Auditor de SI deberia tambien
instalacion y asegurarse de que revisar el metodo de transporte de los
concuerde con los requerimientos de Ia respaldos de datos desde y hacia la
gerencia. instalaciOn de almacenamiento fuera de
sitio a fin de asegurar que no representa
una debilidad en el sistema de gestian
El Auditor de SI deberia tambien
de seguridad de la informacian."
Manual de Preparacion of Examen C1SA 2015 133

[MCA. Todos los derechos reservados.
2.13.5 EVALUACION DE comprenden la capacidad
para limiter el acceso
SEGURIDAD EN
solarnente a usuarios
INSTALACIONES EXTERNAS autorizados de la instalacion,
Deberia evaluarse la pisos elevados, controles de
seguridad de la instalacion humedad, controles de
extema para asegurarse de temperatura, circuitos
que cuente con los controles especial izados, suministro
apropiados de acceso fisico y ininterrumpido de
ambiental. Estos controles electricidad, dispositivos
para la deteccion de aqua, todos (o Ia mayoria de) los
detectores de Immo y tin gastos relacionados con el
sistema apropiado para desastre.
extinguir incendios. El auditor · Asegurarse de que
1S deberia examinar en el puedan realizarse las
equipo Ia inspeccion actual y pruebas en el hot site a
etiquetas de calibracion. Esta intervalos regulares.
revision tambien deberia · Revisar y evaluar los
considerar los requerimientos requerimientos de
de seguridad para el comunicaciones para
transports de los medios. el sitio respaldo.
= Asegurarse de que el
2.13.6 REVISION DE contrato exigible de
CONTRATO DE deposit° eta garantia para
el codigo fuente sea
PROCESAMIENTO revisado por tin abogado
ALTERNATIVO especialista en la materia.
El auditor IS deberia obtener · Deterrninar la
una copia del contrato con el tolerancia del recurso de
proveedor sobre la limitacian en caso de
instalaciOn alterna de incumplimieillo del
procesamiento. Deberian contrato.
verificarse las referencias del
proveedor para garantixar Ia 2.13.7 REVISION DE LA
confiabilidad, y todos los COBERTURA DEL SEGURO
compromisos del proveedor
deberian comprobarse par Es esencial que In cobertura
escrito, Deberia cotejarse el de seguro refleje el costa real
contrato con las siguientes de
directrices: In recuperaciOn. Al tornar en
· Asegurarse de que el consideracion la prima del
contrato este escrito seguro
claramente y sea (costa), deberia revisarse Ia
coniprensible. idoneidad de Ia cobertura
· Reexaminar y confirniar contra
el acuerdo de la los datios a los medios, la
interrupciOn del negocio, el
organizacion con las
reemplazo
reglas que aplican a los sitios
de equipos y el
compartidos con otros
procesamiento de la
suscriptores. = Asegurarse de continuidad del negocio.
clue la cobertura del seguro
concuerde y cubra
]data: El candidate) a
CISA deberia conocer Seccion C Dos: Contenido cisA creffifiedinicirmatoE
cualesdisposiciones
criticas deberian
incluirse dentro de las
palizas de seguro en
resguardo de In 4
organization. 2.14.1 CASO DE ESTUDIO A 1.
Escenario de Case de
a
atudio A
A un auditor de SI se le ha
pedido que revise el borrador
de un contrato de servicios dd
externos y su SLA y que
recomiende cualquier cambia
o senate cualquier d
preocupacion antes de que
estos sean presentados a Ia 11
alta direccian para sit
aprobacian final. El contrato
incluye soporte extemo de
Windows y de In
administracien del servidor
PREGUNTAS DEL CASO DE ESTUDIO A

Al e,Cual de los siguientes aspectos seria de MAYOR
oreocupacilin para el auditor de SI?
A. Los cambios de cuenta de usuario son procesados

A2. i,Cual de los siguientes problemas seria el MAS signficativo para
dentro de tres dies Whiles.
fratar si los servidores tuvieran informacian personal identificable
B, Se requiere un aviso con 24 horns de anticipaclOn para
del cliente a Ia que los usuarios finales
una visita al establecimlento,
pueden acceder regularmente y que pueden actualize
C. El contratista no tiene urra fund* de auditoria de SI,
loner el software en custodia de un tercero no esta incluido
A. El pals en el que el contratista esta establecido prchibe el
en el contrato.
use de encriptaciOn fuetle para los datos transrrMidos.
B. El contratista limita su responsabilidad si torria rnedidas
razonables para proteger los datos de dente&
0. El contratista no efectuti verificaciones de antecedentes
de los empleados contratados hace runs de tires anon.
C. El software
Ver las respuesfas de sistema
y explicaciones a lassilo
prepse actualiza
ntas del casouna vez cada
de estudio al final del
seis137).
capitulo (pagina meses.
UNIX y la administracion de la. Los nuevos empleados
redes a un tercero, Los contratados dentro de los
servidores seran reubicados a filtirnos tres nibs estuvieron
la instalacion del contratista sujetos tin verificaciones de
que esta ubicada en otro pais, antecedentes. Antes de eso,
y se estahlecera Ia no habia politicas
conectividad usando Internet. estahiecidas. Esta estableeida
Se aumentara la capacidad del una clausula de dcrecho a
software del sistema operative auditoria, pero se requiere un
dos veces por olio, pero estos aviso de 24 horns antes de
no seran entregados en una visita al estabiceimiento.
custodia. Todas las solicitudes Si se encontrara que el
de adicion o de eliminacion de contratista esta en violaciOn
cuentas de usuarie seran de cualquiera de los terminos
procesadas dentro de tres dias o condiciones del contrato,
habiles. El software de este tendra 10 dias habiles
deteccion de intrusos sera para corregir la deficiencia. El
monitorcado continuamente contratista no tiene un auditor
par el contratista y se notificara al de Si, pero es auditado por una
cliente por correo electronic° firma regional de contadores
si se detecta cualquier anomal publicos.
2.14 CASOS DE ESTUDIO

Los siguientes caso de estudios estan incluidos coma una
henamienta
de aprendizaje para reforzar los conceptos introducidos en este
cap itulo.
134 Manual de iPreparacion at Examen CISA 2015

ISACA_ Todos los derechos reservados.
awl
CISA
cn
syceremstiTe" Seccion Dos: Contenido Capitulo 2—Gobierno y Ge
FI erAter.a.muimn
2.14.2 CASO DE ESTUDIO B 2.14.3 CASO DE ESTUDID C

Una organizaciOn ha implementado Se pidio a un auditor de SI revisar la
una aplicacion integrada para respaldar alineacion entre las metas de la TI y del
los procesos del negocio. Tambien llego negocio en una institucian financiera
a un acuerdo con un proveedor para el pequelia. El auditor de SI solicits')
mantenimiento de la aplicaciOn y para diversas informaciones, incluidos los
proveer respaldo a los usuarios y objetivos y las metas del negocio y los
administradores del sistema. Este objetivos y las metas de TI. El auditor de
respaldo se sum in istrara a travel de un SE encontre) que las metas y los objetivos
centro de proveedores de soporte del negocio se limitaban a una pequeria
remoto utilizando un ID de usuario lista con vilietas, mientras que las metas y
dotado de privilegios con autoridad de los objetivos de la.TI se limitaban a
sfiper usuario a nivel de sistema diapositives utilizaclas en reuniones con el
operative (0/S) que tiene acceso CIO (el Cl() presenta los reportes al CFO).
a la escritura y lectura de todos los Tambien se encontro en Ia information
archivos. El proveedor utilizara proporcionada que durance los filtimos
este ID de usuario especial para ingresar dos aiios, el comite de gestion de riesgos
al sistema a lin de solucionar problemas (conformado por Ia alta direction) solo se
e implemental- las actual izaciones reunio en tres oportunidades y no se
(parches) a Ia aplicacion. Debido al levanta acta de lo que se discutio en esas
‘rolumen de transacciones, los registros reuniones. Cuando se compare) el
de actividades solo se guardan par 90 presupuesto de la TI para el siguiente aria
dial. con los planes estrategicos para Ia Tl, se
evidencio que muchas de las iniciativas
PREGUNTAS DEL CASO DE ESTUDIO B
mencionadas en los planes para el alio
siguiente no se incluyeron en el
presupuesto de ese are.
actividades represents la MAYOR
e SI? PREGUNTAS DEL CASO DE ESTUDIO C
Cl. 4Cual de los siguientes aspectos seria de MAYOR preocupaciOn
des de usuarios solo se guardan para el auditor de SI?
ecial accedera al sistema de A. Los documentos de estrategias son informales y

estan incompletos.
ecial puede alterar los archivos 0. El comite de gestion de riesgos rara vez se reline y no
ades. levanta actas.
probando e implementando B. Los presupuestos no parecen sec adecuadas pare
respaldar las futures inversiones en TI.
ciones seria la MAS efectiva pare C. El CIO entrega reportes al CFO.
a cuenta de usuario con privilegios C2. zCual de los siguientes problems seria MAS importante hater?
A. La culture prevalente dentro de la TI.
0. La carencia de politicas y procedimientos para la
el ID de usuario especial, salvo tecnologia de to inforrnacidn.
enimiento. A. Las practices de Ia gestion de riesgos en
ualquier utilized& de Ia cuenta de comparaciOn con organizaciones similares.
B. La estructura jerarquida pare Ti.
l acuerdo de modo que se realice
Ver las respuestas y explicaciones a las preguntas del caso de estudio al final
del COMO (pagina 137).
e debe probar y aprobar antes
Ver las
respuestas y
explicaciones
a las
preguntas del
caso de
estudio al
final del
Roltulo
(pagina t31),
Manual de Preparation at Examen CISA 2015 135
Yu
Capitulo 2—Gobierno y Gestidn de 71 Section Dos: Contenido CISA
2.14.4 CASO DE ESTUDIO D -; PREGUNTAS DEL CASO DE ESTUDIO 0

Un auditor de SI esta auditando las Dadas las circunstancias descritas, zcual seria la MAYOR
practicas de gobierno de TI de una 01.
preoeupacion desde Ia perspective de gobierno de TI?
organizacien. Durante el curse del
trabajo, se observa que la organizaciain A. La organizaciOn no tiene un CIO de tiempo completo.
no tiene un director general de B. La organizaciOn no tiene un corned de direccion de T
informacien (CIO) de tiempo completo. C. El consejo de Ia organizaciOn juega un rol fundament
El organigrama de la entidad pace el monitoreo de las iniciativas de TI.
posible que tin gerente de sistemas de D. El gerente de los sistemas de informaciOn entrega
informaciOn presente reportes al reportes al CFO.
director general de finanzas (CFO),
quien a su vez entrega reportes al 02. Dado el case, zeta seria Ia MAYOR preocupacidn desde
consejo de direcciOn. El consejo juega una perspective de segregacian de funciones?
un papel fundamental en el monitoreo
de las iniciativas de Tl en la entidad y A. Se exige a los programadores de aplicaciones canter
el CFO comunica el progreso de las aprobaciOn solamente del DBA para obtener acceso d
iniciativas de T1 con frecuencia. A de escritura a los datos.
partir de la revision de Ia matriz de B. Se exige a los programadores de aplicaciones entrega
segregacion de funciones, es evidente el cocligo de programaciOn desarrollado al bibliotecar
que solo se exige a los programadores de programas para su migracion a production.
de aplicaciones obtener Ia aprobacien C. El departamento de auditoria interne reporta al CFO.
del administrador de Ia base de datos D. Se requiere que solo los gerentes del negocio apru
(DBA) para acceder direclamente a los las revisiones del desempeno del negocio.
datos de production. Tambien se 03. 4Cual de las siguientes situaciones trataria de MEJOR m
observa que los programadores de Ia integridad de los dates desde una perspective de cont
aplicaciones tienen que proporcionar el de mitigaciOn?
codigo de programacion desarrollado al
bibliotecario de programas, quien luego A. Se exige a los programadores de aplicaciones Ia proba
se encarga de migrarlo a production. del DBA para obtener acceso directo a los dates.
Las auditorias de los sistemas de B. Se exige a los programadores de aplicaciones entregar
informaciOn son la responsabilidad del codigos de programacion desarrollados al bibliotecario
departamento de auditoria interns, que programas pare que los transfiera a production.
entrega reportes al CFO al final de cada 0. El departamento de auditoria interne reporta al CFO.
mes coma parte del proceso de revision C. Se requieren los resultados del desemperio del negoc
del desempefio del negocio. Los para su revision y aprobacion per parte de los gerente
resultados de indole financiera de la Sabre
Con baseIa
delbase
en Iade la informaciOn
informacion
negocio. anterior,
anterior e,CualzCual
de to de lo
entidad se revisan exhaustivainente siguiente deberia recomendar el auditor IS con respecto
para que luego los gerentes de negocio aalIahotrecuperaciOn
site? de Ia sucursal?
confirmen que los datos son corrector. El numero de escritorios en sucursales
el hot site deberia elevarse
A.
A. Ariadir cada una de las al contrato
aexistents
750. del hot site.
B. Deberian
B. Garantizaranadirse
que lasen sucursales
el contrato de hot site
tengan la
otros 35 servidores.
capacidad suficiente para respaidarse entre si.
C. Todos
C. Reubicarlostodos
medios de respaldo
los servidores deberian
de correo y
guardarse
archivos oen el hot site
impresion depara acortaren
la sucursal el RTO.
el centro de
datos.
D. Los requerimientos sabre el escritorio y el
D. Anadirdel
equipo capacidad al hot site
servitor contratadorevisarse
deberian
2.14.5
Vet las respuestas y explicaciones a las preguntas del caso CASO
de esfudlo al finalDE
del ESTUDIO E
capihilo (pagina 137). Una organizaciOn esta desarrollando
planes revisados de continuidad de
negocios (BCP) y de recuperation en
caso de desastre (DRP) para su sede y
red de 16 sucursales. Los planes actuales
no se hart actualizado en alas de ocho
2.
arlos, tiempo durante el cual Ia
organizaciOn ha crecido
DI
aproximadamente Inas de 300 por RI
ciento. En la sede trabajan
aproximadamente 750 empleados. Estas
personas se conectan por una red de area A
local a un conjunto de rues de 60
servidores de aplicaciones, bases de
datos e impresoras de archives, que se
encuentran ubicados en el centre de
datos de Ia organizaciOn y per una red
de frame relay a las sucursaies. Los
usuarios itinerantes tienen acceso remote
a los sistemas corporativos al conectarse
a Internet a tmves de Ia conexion
privada virtual. Los usuarios, Canto en Ia
sede come en las sucursales tienen
acceso a Internet a traves de un
cortaluegos (firewall) y servidor proxy
localizados en el centre de dates. Las
aplicaciones criticas tienen un objetivo
de tiempo de recuperation (RTO) entre
tres y cinco dias. Las sucursales estan A
separadas entre si a una distancia entre
48 y 80 kilemetros, no estando ninguna a
menos de 40 kilOmetros de la sede.
Cada sucursal tiene entre 20 y 35
empleados alas un servidor tie correo y
un servidor de archivo o impresion. Los
medios de respaldo para el centro de
dates se almacenan en una instalacion
ajena, a 56 kilometres de distancia. Los
respaldos para los servidores que Sc
encuentran ubicados en las sucursales se
guardan en las sucursales cercanas por
medic) de acuerdos reciprocos entre las
oficinas. Los contratos actuales con tut E
tercero proveedor de hot site
comprenden 25 servidores, espacio para
el area de trabajo cquipado con El.
computadoras de escritorio para albergar
a 100 personas, y un acuerdo aparte para
enviar pasta dos servidores y 10
computadoras de escritorio a cualquier
sucursal que se declare en emergencia.
El contrato tiene una duraciOn de tres
alios, con mejoras al equipo al moment()
de la renovation. El proveedor de hot
site tiene multiples instalaciones en todo
el pais, en case de que otro cliente este
haciendo use de la instalacien primaria o
esta se inutilice a causa de crrt desastre.
E2.
Es el dcseo de la alts gerencia que una
eventual mejora sea lo mils rentable
posible.
PREGUNTAS DEL CASO DE ESTUDIO E
firer las respuestas y explicaciones a las

preguntas del caso de estudio al final del
capitulo (Opine 1381.
136 Manual de Preparacidn al Examen CISA 2015

LISA 41fied.tiritm..Pa" Seccion Dos: Contenido Capitulo 2
2.15 RESPUESTAS A Al. A Tres dias habiles para

eliminar la cuenta de un
PREGUNTAS DE CASOS empleado despedido
DE ESTUDIO crearia un riesgo
inaceptable para la
organization. Mientras
RESPUESTAS A LAS tante, se podria hater un
PREGUNTAS DEL CASO dalio significativo. En
contraste, algim grado
DE ESTUDIO A de aviso por adelantado
antes de una visits al exposition significativa.
establecimiento es
generalmente aceptado RESPUESTAS A LAS
dentro de la industria.
Tambien, no todo PREGUNTAS DEL CASO
contratista tendra su DE ESTUDIO B
propia lunch:in interne de
131 C Debido a gut: el 1D de
auditoria o auditor de SI.
superusuario poste acceso
El poner el software en
custodia de un tercero es para la lectura y
primariamente de escritura de todos los
archivos, no existe
importancia cuando se
manera de asegurar que
trata con software de
los registros de
aplicacian de clientes,
actividades no se han
donde hay una necesidad
modificado para ocultar
de almacenar una copia
las actividades no
del cc digo fuente con un
autorizadas del
tercero. El software de
proveedor. El acceso
sistema operativo para los
remoto no representa
sistemas operativos
mayor inquietud siempre
comerciales generalmente
y cuando la conexien se
disponibles no requeriria
establezca a Waves de
custodia del software.
una linea encriptada, y
las pruebas e
A2. A Como la conectividad con
implementation de
los servidores es por
parches a los servidores
Internet, Ia prohibition
sea parte del soporte
contra encriptacion
suministrado por el
fuerte pondra en riesgo
proveedor. A pesar de
cualquier dato
que una retention del
transmitido. La rcgistro por 90 dias
limitation de pudiera no ser suficiente
responsabilidad es una en algunas situaciones de
practica estandar de la negocio, no representa
industria. A pesar de un problema grave, ya
que no realizar que es un hecho que el
verificaciones de proveedor puede alterar
antecedentes para los los registros de
empleados contratados actividades.
hace mss de tres aiies es
de importancia, no es
un aspecto tan
significativo. Actualizar
el software de sistema
una vez cada seis meses
no presenta ninguna
B2. A H control MAS efectivo y potencial sobre la
practice en esta organization.
situacian es bloquear la
cuenta de usuario C2. B La ausencia de politicas y
especial cuando no se procedimientos 'lace
necesite. La cuenta se dificil, a veces
debe abrir anicamente imposible, la
cuando el proveedor
implementation de tin
necesita acceso para
suministrar soporte, pero gobierno de Ti efectivo.
se debe cerrar Otros problemas son
inmediatamente despues secundarios en
de usarla. Se deben comparacion.
registrar todas las
actividades y revisar si RESPUESTAS A LAS
son apropiadas. Las otras
opciones no son tan PREGUNTAS DEL CASO
efectivas o practicas para DE ESTUDIO D
reducir el riesgo.
D I . I) Lo mans recomendable es
que el gerente de sistemas
RESPUESTAS A LAS de informaciOn entregue
reportes al eonsejo de
PREGUNTAS DEL CASO
directores o al director
DE ESTUDIO C general ejecutivo (CEO)
C]. a El hecho de que el para proporcionar un
comite de gestion de dew grade suficiente de
se reline con poca independencia. La
frecuencia y, cuando lo estructura jerarquica que
hace, no se levantan requiere que el gerente de
actas es la mayor sistemas de infonnacion
preocupacien. Las pocas entregue reportes al CFO
reuniones de Ia alta no es Ia mss idonea y
direction para discutir podria comproineter
problemas relacionados algunos controles.
con riesgos clave y la
falta de actas, que D2. A Los
penuiten el seguintiento, prograrnadores de
anedisis y compromiso, aplicaciones deberian
indican una falta grave obtener Ia aprobacion de
de gobierno. Las otras los propietarios del
opciones no son tan negocio antes de acceder
graves en lo que se a los datos. Los DBA son
refiere a su impacto sinnplemente custodies
de los datos y deberian cads mes detectaria las
proporcionar acceso discrepancias
imicamente despues que significativas que
el propietario de los generaria la
dates lo autorice. manipulacion no
autorizada de los dates
D3. D La a traves de acceso
aprobaciiin que dan los directo inadecuado de
gerentes del negocio a los datos sin la
los dates que contienen aprobacion o
los resultados conocimiento de los
financieros al final de gerentes del negocio.
Manual de Preparation al Examen C1SA 2015 137

iSACA. Todos los derechos reservados.
Capitulo 2—Gobierno y Gesticin de Ti
Seccicin Dos: Contenido Inhxmake

cisA systems Audike
RESPUESTAS A LAS PREGUNTAS DEL CASO DE ESTUDIO E

4
2
3
a
3
1
2

Capitulo 2 de Cisa

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Capitulo 2 de Cisa

Enviado por

Direitos autorais:

Formatos disponíveis

i

Senior) Una: Generalidades

2.1 Referencia Rapida...............................................................................................................83

2.S Gestion de riesgos 98

Manual de Preparackin of Examen CISA 2015 69

70 Manual de Preparacion al Examen CISA 2015

Figura 2.1-Mapeo (Mapping) de Tareas y Conocimientos Relacionado

Manual de Preparacicin al Examen CISA 2015

Gula de Referencia de Conocimientos Relacionados

Las secciones identificadas en CR2. I -CR2.16 se describcn de lbrma etas detallada

CR2.1 Conocimiento del gobierno, la gestion, la seguridad y los

CR2.2 Conocimiento del proposito de la estrategia, las politicas,

Manual de Preparacicin al Examen CISA 2015 ISACA. Todos los derechos

CR2.3 Conocimiento de la estructura organizacional, los roles y

responsabilidades reIacionados con TI

CR2.4 Conocimiento de los procesos para el desarrollo, la

CR2.5 Conocimiento de la direccion de la tecnologia y la arquitectura

Manual de Preparacicin al Examen CISA 2015

2.4.1 Factores que

Explicacion Referencia en el Manual de Preparacifin

CR2.6 Conocimiento de !eyes, regulaciones y este" nderes refevantes de la

Seccion Una: Generalidades CISAertsie1insied inokuilu'amal=

Explicacien Conceptos clave Referenda en el Manual de Preparacion

CR2.10 Conocimiento de las practicas de inversion y asignacion

76 Manual de Preparacicin al Examen CISA 2015

CR2.12 Conocimiento de la gestion de riesgos de la

CR2.15 Conocimiento del analisis del impacto en el negocio (BIA)

78 Manual de Preparacion al Examen CISA 2015

Sherwood, John; Andrew Clark; David Lynas; Enterprise Security

Tarantino, Anthony; Manager's Guide to Compliance: Sarbanes-

RECURSOS SUGERIDOS PARA ESTUDIOS POSTERIORES

Graliam„lulia; David Kaye; A Risk Management Approach to Business Continuity,

Blies, Andrew; The Definitive Handbook of Business Conthudo, %lawmen!, 3r°

ISACA, COBIT 4.1, USA, 2007, www.isaca.org/cobit ISACA, COB1T 5, USA,

Las publicaciones que aparecen en negritas estan disponibles en la Libreria tie

Capitulo 2— Gobierno y Gestion En algunas ocasiones, se puedc incluir

2-6 Un auditor de SI debe

2-2 i,Cual de los siguientes de T1 debe reconocer las

2-3 i,Cual de los enunciados siguientes

2-8 i,Cual de los siguientes es el A.OriginaciOn

80 Manual de Preparation al Examen CISA 2015

2-5 B El compromiso de la alta

Manua! de Preparation al Examen CISA 2015

B La segregacion de funciones podra prevenir la

2-9 B La autorinciiin debe estar separada de todos los

2-10 C En las organizaciones Inas pequeiias, generahnente

82 Manual de Preparation a! Examen CISA 2015

Secchin Dos: Contenido

Revision de la Referencia Rapida (cont.)

GEIT es responsabilidad del

cisA cesvisttielledms Zocirirorkm Seccion Dos: · Gestion—Planifica, construye,

Un gobierno corporativo eficaz se

Un element° slave de GEIT es la

Los temas que la gerencia ejecutiva

GEIT se ha vuelto significativo debido

Figura 2.2: Ei objetivo de goblemo: Crud& de valor.

Objetivo de Gobierno: Creation de Valor

Realizacion Optimizacr OptimizaciOn

FueriZe: ISACA, COBIT 5, USA, 2012, figura 3

Manual de Preparation al Examen CISA 2015 85

Necesidades tie negocio

Orientar Retroalirnentafibrt de uestiOn Monitorear

Planittar Unstruir Ejecutar

· La necesidad de optirnizar los comparativo)