session9 gobierno de ti
Post on 10-Jul-2015
232 Views
Preview:
TRANSCRIPT
5/10/2018 Session9 Gobierno de TI - slidepdf.com
http://slidepdf.com/reader/full/session9-gobierno-de-ti 1/8
Gobierno de TI
Universidad Nacional de Cajamarca
Auditoria y Seguridad de SI
1 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Ms. Edwin Valencia Castillo
Gobierno de TI
Objetivos
En esta unidad, se aprenderá acerca de: Gobierno corporativo y Practicas de monitoreo y
aseguramiento
Estrategia de sistemas de información
Políticas y procedimientos
2 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Administración del riesgo
Practicas de gerencia de SI
Estructura organizacional y responsabilidad de SI
Auditoria de la Estructura e implementación degobierno de TI
Gobierno de TI
LECCION: GOBIERNO CORPORATIVO
Definición: Comportamiento corporativo ético por partede los directores u otros encargados del gobierno, parala creación y entrega de los beneficios para todas laspartes interesadas.
“Distribución de derechos y responsabilidades entre losdiferentes participantes en la corporación, tales como la
3 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
junta, los gerentes, los accionistas y otras partesinteresadas, y explica las reglas, procedimientos paratomar decisiones sobre los asuntos corporativos”.(Organización para la cooperación y el desarrollo –OECD)
Gobierno de TI
Gobierno de TI (ITG)
La necesidad del aseguramiento del valor de TI, laadministración de los riesgos asociados a TI, así comoel incremento de requerimientos para controlar lainformación, se entienden ahora como elementos clavedel gobierno de la empresa. El valor, el riesgo y elcontrol constituyen la esencia del gobierno de TI.
4 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
El gobierno de TI es responsabilidad de losejecutivos, del consejo de directores y consta deliderazgo, estructuras y procesos organizacionalesque garantizan que la TI de la empresa sostiene yextiende las estrategias y objetivosorganizacionales.
Gobierno de TI
Mejores practicas para el ITG
5 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Gobierno de TI
Rol de la auditoria en el ITG
Rol significativo en una implementación exitosa degobierno de TI dentro de una organización.
La auditoria esta mejor posicionada para proveerrecomendaciones de practicas lideres a la alta gerencia,para ayudar a mejorar la calidad y le efectividad de las
iniciativas del gobierno de TI implementadas.
6 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Que evalúa el auditor de SI?El alineamiento de la función de SI con la misión, visión, valores,
objetivos y estrategias de la organización.
El logro de los objetivos establecidos (efectividad y eficiencia)
Requerimientos legales, ambientales, de calidad de información yseguridad.
Ambiente de control de la organización
Los riesgos inherentes dentro del ambiente de SI.
5/10/2018 Session9 Gobierno de TI - slidepdf.com
http://slidepdf.com/reader/full/session9-gobierno-de-ti 2/8
Gobierno de TI
Comité de estrategia de TI
La creación de este comité es una mejor practica.
Su radio de acción incluye asesoramiento sobre
estrategia para el gobierno de TI, el valor de la TI,riesgos y su desempeño.
El medio mas efectivo de apoyo al comité de estrategia
7 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
de TI y la gerencia para lograr el alineamiento de TI alnegocio es la utilización de un cuadro de mando de TI(BALANCED SCORECARD)
Gobierno de TI
Gobierno de seguridad de la información
Actividad orientada a:Garantizar la integridad de la información.
Continuidad de servicios y
Protección de activos de información.
En el mundo actual la seguridad se ha convertido en
8 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
una parte mportante e ntegra e go erno e .
La negligencia reducirá la capacidad de unaorganización para sacar provecho de las oportunidadesde TI para el mejoramiento del proceso del negocio.
Gobierno de TI
Resultados del gobierno de seguridad
Los resultados básicos deben incluir:Alineación estratégica:
Requerimientos de seguridad
Soluciones de seguridad adecuadas para los procesos del negocio
Inversión en seguridad de información
Administracion del ries o:
9 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Comprender el perfil de amenaza, vulnerabilidad y riesgo
Comprender la exposicion al riesgo y sus consecuencias.
Priorizacion y mitigacion de riesgos para alcanzar riesgos residualesaceptables.
Entrega de valor: optimizar las inversiones en seguridad y ensoporte de los objetivos del negocio. Promover una cultura demejoramiento continuo basada en el entendimiento de que la
seguridad es un proceso, no un evento.
Gobierno de TI
Resultados del gobierno de seguridad
Administración de recursos:
Asegurar que los conocimientos sean captados y estén disponibles.
Documentar los procesos y las practicas de seguridad
Desarrollar arquitecturas de seguridad
Medición del desempeño: Medir, monitorear y reportar sobre losprocesos de seguridad de información para asegurar que se
10 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
ogren os o e vos.
Gobierno de TI
Arquitectura Empresarial
Implica documentar los activos de TI de unaorganización en una forma estructurada para facilitar lacomprensión, la administración y la planificación de lasinversiones de TI. Involucra tanto la representación delestado actual como futuro de las TIs.
Estructura de Zachman para la Arquitectura empresarial
11 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Datos Funcional(Aplicación)
Red(Tecnología)
Personas(Organización)
Proceso(Flujo trabajo)
Estrategia
Alcance
Modelo deempresa
Modelo deSistemas
Modelo detecnología
Representacióndetallada
Gobierno de TI
Arquitectura Empresarial
Completar una EA, se puede hacer desde dosperspectivas;La EA enfocada a la tecnología: trata de aclarar complejas
opciones de tecnología (uso de entornos técnicos avanzados)
La EA enfocada en el proceso de negocio: trata de comprender la
organización en términos de procesos principales que generan
12 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
valor y sus procesos de soporte.
Nota aclaratoria: en EEUU, por ley, una organizaciónfederal esta obligada a desarrollar una EA y aestablecer una estructura de gobierno de EA quegarantice que esta referenciada y mantenida en todaslas actividades de planificación y presupuestaria desistemas.
5/10/2018 Session9 Gobierno de TI - slidepdf.com
http://slidepdf.com/reader/full/session9-gobierno-de-ti 3/8
Gobierno de TI
LECCION: ESTRATEGIA DE SI
Planeación estratégica: relacionado con la dirección alargo plazo que una organización quiere seguir paraapalancar con TI la mejora de sus procesos de negocio.
COMITES DE DIRECCION
A pesar de que no es una practica común, se considera
13 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
muy conveniente que un miembro de la junta directivaque entienda de riesgos y los problemas sea elresponsable de dicho comité. El comité debe inclu irrepresentantes de la alta gerencia, gerencia de usuariosy del departamento de sistemas de información.
Gobierno de TI
Estrategia de los SI
Las funciones primarias realizadas por este comité serian:Revisar losplanes de largo plazo y corto plazo.Revisar y aprobar las adquisiciones importantes o significativas de
hardware y sof tware dentro de los l imites aprobados por la juntadirectiva.Aprobar y monitorear los proyectos importantes o de alta relevancia,
establecer prioridades, aprobar las normas y los procedimientos y
14 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
.Revisary aprobar los planes para outsourcing.Revisarsi losrecursos y su asignación son adecuados en funcióndel
tiempo,personal y equipo.Decidir respecto a la centralización frente a la descentralización y a
la asignación de responsabilidades.Soportar el desarrollo e implementación de un programa de
administración de seguridad de información a nivel de laorganización.Reportar a la junta directiva sobre las actividades de SI.
Gobierno de TI
LECCION: POLITICAS Y PROCEDIMIENTOS
Reflejan la guía y dirección de la gerencia para desarrollarcontroles sobre los sistemas de información y recursosrelacionados.
POLITICASLas políticas son documentos de alto nivel.Representan la filosofía corporativa de una
15 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
organización y el pensamiento estratégico de la altagerencia y de los dueños del proceso del negocio.Deben ser claras y concisas para que sean efectivas.La gerencia debe crear un ambiente positivo de
control, asumiendo la responsabil idad de formular,desarrollar, documentar y controlar las políticas queabarcan las metas y directrices generales.
Gobierno de TI
LECCION: POLITICAS Y PROCEDIMIENTOS
La gerencia debe emprender las acciones necesariaspara asegurar que los empleados afectados por unapolítica especifica reciban una explicación completa dela política y que entiendan cual es su intención ypropósito.Es deseable un enfoque top-down (enfoque integral de
16 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
mas bajo nivel.La administración debe revisar todas las pol íticas
periódicamente. Es necesario que las polít icas seanactualizadas para que reflejen lo nuevo de la tecnologíay los cambios significativos en los procesos del negocioque hacen uso de tecnología de información paraobtener eficiencia en productividad o logros
competitivos.
Gobierno de TI
LECCION: POLITICAS Y PROCEDIMIENTOS
PROCEDIMIENTOSLos procedimientos son documentos detal lados, deben ser
derivados de la polít ica madre y deben implementar el espíritu(intención) del lineamiento de política.
Deben ser escritos en una forma clara y concisa de modo quesea comprendido fác il y correctamente por todos los que sedeben regir por ellos.
17 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Documentan procesos de negocios (administrativos y operativos)y los controles integrados en los mismos.
Los auditores revisan los procedimientos para identificar, evaluary después de ello probar los cont roles sobre los procesos denegocio.
Gobierno de TI
LECCION: ADMINISTRACION DE RIESGOS
Proceso de identificar las debilidades y las amenazas para los recursos de información utilizados por unaorganización para lograr los objetivos del negocio ydecidir que contramedidas tomar , si la hubieraalguna, para reducir el nivel de riesgo hasta un nivel
aceptable basado en el valor del recurso de información
18 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
para la organización.
Toda organización debe desarrollar un programa deadministración del riesgo:Estableciendo el propósito del programa.
Asignando responsabilidad para el plan, una persona o un equiporesponsable de conducir el desarrollo del plan.
5/10/2018 Session9 Gobierno de TI - slidepdf.com
http://slidepdf.com/reader/full/session9-gobierno-de-ti 4/8
Gobierno de TI
Proceso de administración de riesgos
1. Identificar y clasificar recursos de información oactivos que necesiten protección. Ejemplos de activos: Información y datos, HW, SW, Servicios,
documentos, personal, etc.
2. Estudiar las amenazas y vulnerabilidades asociadas
19 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
ocurrencia. Amenaza: cualquier circunstancia o evento con el potencial de
dañar un recurso de información, tales como: destrucción,divulgación, modificación de datos y/o negación del servicio.Las clases comunes de amenazas son: Errores, daño/ataqueintencional, fraude, robo, falla del equipamiento/software.
Gobierno de TI
Proceso de administración de riesgos
Las amenazas ocurren por causa de lasvulnerabilidades (factores de riesgo) asociadas al usode recursos de información. Las vulnerabilidades son
características de los recursos de información quepueden ser explotadas por una amenaza para causardaño.
20 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Ejemplos de vulnerabilidades:
Falta de conocimiento del usuario
Falta de funcionalidad de la seguridad
Elección deficiente de contraseñas
Tecnología no probada
Transmisión por comunicaciones no protegidas.
Gobierno de TI
Proceso de administración de riesgos
El resultado de cualquiera de estas amenazas sedenomina impacto, y puede tener como consecuenciauna perdida financiera (en el corto o largo plazo).Ejemplos de perdidas:
Perdida directa de dinero (efectivo o crédito)
Violación de la legislación
21 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Perdida de reputación/plusvalia
Peligro potencial para el personal o los clientes
Violación de la confianza.
Perdida de oportunidades de negocio
Reducción en la eficiencia/desempeño operativo
Interrupción de la actividad del negocio
Gobierno de TI
Proceso de administración de riesgos
Establecidos los elementos del riesgo, estos secombinan para formar una visión general del riesgo.
Identificar los riesgos, calculando la vulnerabilidad delimpacto (probabilidad) para cada amenaza.
Luego evaluar los controles existentes o diseñar nuevos
22 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
para reducir las vulnerabilidades hasta un nivelaceptable de riesgo (contramedidas).
El nivel remanente del riesgo (riesgo residual) es elresultado de aplicar los controles.
La administración de riesgos opera a tres niveles:Nivel operativo, nivel de proyecto y nivel estratégico.
Gobierno de TI
Proceso de administración de riesgos
Nivel Operativo: riesgos que comprometen la efectividadde los sistemas e infraestructura, capacidad de evadircontroles, perdida o no disponibilidad de recursos clave,falta de cumplimiento de leyes y regulaciones.
Nivel de Proyecto: capacidad de entender y manejar la
23 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
objetivos del proyecto no sean cumplidos.
Nivel Estratégico: se enfoca en el grado en que la TIesta alineada con la estrategia del negocio.
Una guía practica recomendada para la administraciónde riesgos es MAGERIT.
Gobierno de TI
LECCION: PRACTICAS DE GERENCIA DE SI
Las practicas de gerencia de sistemas de informaciónreflejan la implementación de políticas y procedimientosdesarrollados para diversas actividades gerencialesrelacionadas con SI.
Los auditores de SI deben entender y apreciar el grado
24 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
crucial para lograr los objetivos de la organización.
Las actividades de la gerencia para revisar lasformulaciones de políticas y procedimientos y suefectividad dentro del departamento de SI incluiría lassiguientes practicas:
5/10/2018 Session9 Gobierno de TI - slidepdf.com
http://slidepdf.com/reader/full/session9-gobierno-de-ti 5/8
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
ADMINISTRACION DEL PERSONAL
Se refiere a las políticas y procedimientos de laorganización para contratación, promoción, retención y
terminación de contratos.
CONTRATACION
25 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Practica importante que permite asegurar que se escojael personal mas eficiente y efectivo y que la compañíacumpla con los requis itos legales de reclutamiento,algunos controles comunes: verif icar antecedentes,acuerdos de confidencialidad, fianza para empleados,acuerdos sobre conflictos de intereses, acuerdos de no-competencia y exclusividad.
Cuales serian los riesgos asociados?????
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
MANUAL DEL EMPLEADO / MANUAL DE INDUCCION
En general debe existir un código de conducta publicado
donde se especifiquen las responsabilidades de todoslos empleados para con la organización.
POLITICAS DE PROMOCION
26 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Deben estar basados en cr iterios objetivos y debentomar en consideración el desempeño, la educación, laexperiencia y el nivel de responsabilidad individual.
ENTRENAMIENTO
Los empleados deben recibir entrenamiento sobre unabase justa y regular basado en las áreas en las que lesfalte experiencia y conocimiento.
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
CRONOGRAMAS Y REPORTE DE TIEMPO
La preparación adecuada de un cronograma permiteuna operación y uso eficiente de los recursos decomputación. El reporte del tiempo permite a laadministración monitorear el desarrollo del proceso.
27 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
EVALUACIONDES DEL DESEMPE O DE LOSEMPLEADOS
La evaluación debe ser una norma y una característicahabitual para todo el personal de SI. Se deben fijarmetas/resultados esperados, acordados mutuamente.La evaluación solo puede ser aplicado a los empleados
si el proceso es objetivo y neutral.
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
VACACIONES REQUERIDAS
El disfrute de las vacaciones legales y días fer iadosasegura que una vez en el año, como mínimo, alguienque no sea el empleado titular realice una función detrabajo. Esto reduce la oportunidad de cometer actos
28 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
.
La rotación del trabajo provee un control adicional.
POLITICAS DE TERMINACION DE CONTRATO
Se deben establecer políticas escritas para laterminación de contratos, que indiquen claramente lospasos para el retiro de un empleado, es necesario tener
en cuenta los siguientes procedimientos de control:
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
Devolución de todas las llaves de acceso, tarjetas distintivos deidentificación.
Eliminación de la identificación para iniciar sesión (logon ID) y lascontraseñas para prohibir el acceso al sistema.
Notif icación al personal apropiado y al personal de seguridadrespecto al cambio de situación de empleadoretirado.
Arreglo para eliminar al empleado de los archivos de nomina
29 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
vigente.
Realización de una entrevista de terminación para recoger unaopin ión sobre la percepción que tiene el empleado sobre laadministración.
Devo lución de todos los bienes de la compañía a cargo delempleado retirado.
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
PRACTICAS DE OUTSOURCING
Son acuerdos contractuales por los cuales unaorganización entrega el control de parte o la totalidad delas funciones del departamento de SI a un tercero
externo.
30 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Razones para decidirse por el outsourcingEnfocarse en las actividades centrales
Presión sobre los márgenes de ganancia
Aumentar la competencia que exige ahorro en los costos
Flexibilidad tanto en la organización como en la estructura.
5/10/2018 Session9 Gobierno de TI - slidepdf.com
http://slidepdf.com/reader/full/session9-gobierno-de-ti 6/8
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
Los servicios brindados por un tercero puede incluir:Captura de datos
Diseño y desarrollo de nuevos sistemas
Mantenimiento de aplicaciones existentes
Conversion de aplicaciones antiguas a nuevas plataformas
31 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
center)
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
Ventajas del outsourcing:
Las compañías de outsourcing pueden lograr economías deescala por medio del empleo de componentesde SW reutilizable.
Los proveedores de outosourcing tienen la posib ilidad dededicarse mas tiempo y concentrarse con mayor efect ividad yeficienciaen un proyecto dado, que el personal de planta.
Los proveedores de outosourcing t ienen probablemente mas
32 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
experenca con un conuno mas amp o e pro emas, aspec os ytécnicas que el personalde planta.
El acto de desarrollar especificaciones y acuerdos contractualespara servicios de outsourcing probablemente tenga comoresultado una mejor especificación que si fueran desarrolladosúnicamentepor y para el personal de planta.
Como los proveedores de outosourcing son altamente sensitivosal control de tiempos, las distracciones y cambios que absorbentiempo permiten minimizar los errores de funcionalidad.
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
Posibles desventajas del outsourcing
Costos que excedan las expectativas del cliente
Perdida de la experiencia interna de SI
Perdida del control sobre SI
33 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Falla del proveedor (e interrupción del servicio)
Acceso limitado al producto
Dificultad para revertir o cambiar los acuerdos ocontratos del outsourcing
Deficiente cumplimiento de los requerimientos legales
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
El auditor de SI debe estar consciente de las diversas formas quepuede tomar el outosourcing y de los riesgos asociados, HAY QUEPREOCUPARSE DE:
Protección del contrato
Derechos de auditoria
Continuidad de las operaciones
34 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
,
Personal
Control de acceso / administración de seguridad
Reporte de violación y seguimiento
Control de cambios y pruebas
Control de red
Administración del desempeño
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
CAPACIDAD Y PLANEACION DEL CRECIMIENTO
Que se debe reflejar en los planes de largo y corto plazoy debe ser considerado dentro del proceso deevaluación del presupuesto
SATISFACCION DEL USUARIO
35 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Una de las medidas para asegurar una operaciónefectiva de procesamiento de la información essatisfacer los requerimientos de usuario. Elcumplimiento del acuerdo sobre el nivel del serviciodebe ser auditado periódicamente. Este debealcanzarse por medio de entrevistas e inspecciones alos usuarios.
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
NORMAS/PUNTOS DE REFERENCIA DE LAINDUSTRIA
Proveen un medio para determinar el nivel dedesempeño dado por ambientes similares de
información-procesamiento-instalación. Estas
36 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
normas o estadísticas de referencia pueden serobtenidas de los grupos de usuarios de losproveedores, de las publicaciones de la industria yde las asociaciones profesionales.
5/10/2018 Session9 Gobierno de TI - slidepdf.com
http://slidepdf.com/reader/full/session9-gobierno-de-ti 7/8
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
GERENCIAMIENTO DE CAMBIOS DE TI
Consiste en administrar los cambios de TI para la
organización, mediante un proceso definido ydocumentado para identif icar y aplicar mejoras detecnología a nivel de infraestructura y aplicaciones que
37 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
.
PRACTICAS DE GERENCIAMIENTO FINANCIERO
Es un elemento critico en todas las funciones delnegocio. En un ambiente de computación intensivo encostos, es imperativo que haya practicas correctas degerenciamiento financiero.
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
LOS PRESUPUESTOS DE SI
Permiten el pronostico, monitoreo y análisis de la
información financiera, permiten una asignaciónadecuada de recursos, en particular en un ambiente desistemas de información en que los gastos pueden ser
38 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
.
GERENCIAMIENTO DE LA CALIDAD
La administración de la cal idad es el medio por el cualse controlan los procesos que se realizan en eldepartamento de SI. Las áreas de control para laadministración de la calidad pueden incluir lo siguiente:
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
El desarrollo, mantenimiento e implementación del SW.
La adquisición de hardware y software.
Operación día a día
Seguridad
Administración de recursos
Administración general
39 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Los estándares pertinentes que reciben amplio reconocimiento yaceptación son la Organización Internacional para laEstandarización (ISO) 9001 Sistemas de administración decalidad, específicamente 9001:2000 Sistemas de administraciónde calidad, quereemplaza al ISO 9000,9001,9002Y 9003.
Gobierno de TI
PRACTICAS DE GERENCIA DE SI - cont
GERENCIAMIENTO DE LA SEGURIDAD DEINFORMACION.
Provee la función rectora para garantizar que lainformación y los recursos de procesamiento de laorganización bajo su control estén debidamenteprotegidos.
40 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
OPTIMIZACION DEL DESEMPEÑO
La medición del desempeño de TI es un procesodinámico. Es impulsado por indicadores de desempeño.La optimización se refiere al proceso de mejorar laproductividad de los sistemas de información al máximonivel posible sin invers ión adic ional innecesaria en
infraestructura de tecnología de la información.
Gobierno de TI
LECCION: ESTRUCTURA ORGANIZACIONAL YRESPONSABILIDAD DE SI
Un departamento de SI esta generalmente estructuracomo se muestra a continuación:
Gerente de TI o CIO
Seguridad y Aplicaciones Data Soporte Operaciones
41 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
con ro écn co
Administrador de
Seguridad
Control de Calidad
Desarrollo /
Administrado de
Soporte
Programadores
(Aplicaciones)
Analista de
Sistemas
(Aplicaciones)
Administrador de
Datos/ Administrador
De Base de datos
Administrador de
Soporte Técnico
Administrador de
Redes (LAN/WAN)
Administrador de
Sistemas
(Sistema Operativo)
Programadores de
Sistemas (Sistema
Operativo)
Analista Sistemas
(Sistema Operativo)
Administrador de
Operaciones
Cintotecario
Operador de
Computadora
Operador de
Captura de Datos
Gobierno de TI
ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADDE SI - cont
SEGREGACION DE FUNCIONES DENTRO DE TI
Los títulos de puestos de trabajo reales y estructurasorganizacionales pueden variar mucho de unaorganización a otra, dependiendo del tamaño y de la
naturaleza del negocio.
42 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008 © 2007 Ms. Ing. Edwin Valencia Castillo 05/11/200842
Es importante determinar la relación entre las funciones,responsabilidad y autoridad de los puestos de trabajo,para determinar la adecuada segregación de funciones.
La segregación de funciones es un importante mediopor el cual se pueden prevenir y disuadir actosfraudulentos o maliciosos.
5/10/2018 Session9 Gobierno de TI - slidepdf.com
http://slidepdf.com/reader/full/session9-gobierno-de-ti 8/8
Gobierno de TI
ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADDE SI - cont
CONTROLES DE SEGREGACION DE FUNCIONESAutorización de transacción
Custodia de activos
Acceso a los datos
Formularios de actualización
43 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Gobierno de TI
ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADDE SI - cont
CONTROLES COMPENSATORIOS POR FALTA DESEGREGACION DE FUNCIONES
En una empresa pequeña donde el departamento de TI puede estar
constituido por cuatro o cinco personas, deben existir medidas decontrol compensatorio para mitigar el riesgo resultante de una faltade segregación de funciones,estos serian:
44 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Conciliación
Reportes de excepción
Registros (logs) de transacciones
Revisiones de supervisión
Revisiones independientes
Gobierno de TI
CONTROL DE SEGREGACION DE FUNCIONES
G r u p o d e c o n t r o l
A n a l i s t a d e s i s t e m a s
P r o g r a m a d o r d e
a p l i c a c i o n e s
M e s a d e a y u d a y g e r e n t e
d e s o p o r t e
U s u a r i o f i n a l
I n g r e s o d e d a t o s
O p e r a d o r d e
c o m p u t a d o r e s
D B A
A d m i n i s t r a d o r d e r e d e s
A d m i n i s t r a d o r d e
s i s t e m a s
A d m i n i s t r a d o r d e
s e g u r i d a d
C i n t o t e c a r i o
P r o g r a m a d o r d e s i s t e m a s
C o n t r o l d e c a l i d a d
Grupo de control X X X X X X X X X
Analista de sistemas X X X X X XProgramadorde
aplicaciones X X X X X X X X X X XMesa deayuda y gerentede soporte X X X X X X X X X X
45 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Usuario final X X X X X X X X X
Ingreso dedatos X X X X X X X X XOperador de computadores X X X X X X X X X X
DBA X X X X X X X X X
Administrador deredes X X X X X X X XAdministrador de
sistemas X X X X X X Xm n stra or e
seguridad X X X X X X
Cintotecario X X X X X X X XProgramadorde
sistemas X X X X X X X X X XControl decalidad X X
Gobierno de TI
LECCION: AUDITORIA DE LA ESTRUCTURA EIMPLEMENTACION DEL GOBIERNO DE TI
Indicadores mas significativos de los problemas:Actitudes desfavorables del usuario final
Costos excesivos
Presupuesto excedido
Proyectos demorados
46 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Personal inexperto
Errores frecuentes de HW/SW
Lista excesiva de solicitudes de usuarios en espera
Largo tiempo de respuesta de computadora
Numerosos proyectos de desarrollo abortados o suspendidos
Compras de HW/SW sin soporte o sin autorizaciónFrecuentes ampliaciones de la capacidad de HW/SW
Gobierno de TI
LECCION: AUDITORIA DE LA ESTRUCTURA EIMPLEMENTACION DEL GOBIERNO DE TI
REVISION DE LA DOCUMENTACION.Estrategias, planes y presupuestos de TI
Documentación de políticas de seguridad
Cuadros organizacionales/funcionales
Descripciones de puestos de trabajo
47 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Actas de comités de dirección
Procedimientos de desarrollo de sistemas y de cambio deprogramas.
Procedimientos de operaciones
Manuales de recursos humanos
Procedimientos de aseguramiento de la calidad
ENTREVISTAR AL PERSONAL Y OBSERVAR ELDESEMPEÑO DE SUS FUNCIONES.
Gobierno de TI
LECCION: AUDITORIA DE LA ESTRUCTURA EIMPLEMENTACION DEL GOBIERNO DE TI
REVISION DE LOS COMPROMISOSCONTRACTUALESDesarrollo de requerimientos de contratación
Proceso de licitación del contrato
Proceso de selección del contrato
48 Auditoria y Seguridad de SI © 2008 Edwin Valencia Castillo.Wednesday, November 05, 2008
Mantenimiento del contrato
Cumplimiento del contrato
Cada una de estas etapas debe estar sustentada por documentos legales y la autorización respectiva.
top related