auditoria de sistemas - modii

7/23/2019 Auditoria de sistemas - MODII

1/135

AUDITORA DE SISTEMAS:GO IERNO DE TI

SEMINARIO

23 y 24 de Febrero de 2015

1

Jos Andrs Hernndez,

CISA

Leonardo Castillo,

CISA


2/135

INDICE

1. GOBIERNO CORPORATIVO

2. PRACTICAS DE MONITOREO Y ASEGURAMIENTO PARA LA JUNTA YLA GERENCIA EJECUTIVA1. Mejores prcticas para el gobierno de TI

2. Comit de Estrategia de TI

3. Balanced Scorecard Estndar de TI

4. Gobierno de Seguridad de la Informacin

5. Arquitectura de Empresa

3. ESTRATEGIA DE SISTEMAS DE INFORMACIN

1. Planeacin Estratgica2. Comit de Direccin

4. POLTICAS Y PROCEDIMIENTOS1. Polticas

2. Procedimientos 2


3/135

INDICE

5. ADMINISTRACIN DEL RIESGO1. Desarrollo de un programa de Administracin del Riesgo2. Procedimientos de Administracin de Riesgos

3. Mtodos de Anlisis del Riesgo

6. PRCTICAS DE GERENCIA DE SISTEMAS DE INFORMACIN1. Administracin del Personal

2. Prcticas de Sourcing

3. Gerencia de Cambios Organizacionales

4. Prcticas de Gerencia Financiera

5. Gerencia de Calidad6. Gerencia de Seguridad de Informacin

7. Optimizacin del Desempeo

3


4/135

INDICE

7. ESTRUCTURA ORGANIZACIONAL Y REPONSABILIDADES DE SI1. Roles y responsabilidades de SI

2. Segregacin de Funciones dentro de SI

3. Controles de Segregacin de Funciones

8. AUDITORA DE LA ESTRUCTURA E IMPLEMENTACIN DEGOBIERNO DE TI1. Revisin de Documentacin

2. Revisin de los compromisos contractuales

9. CASO DE ESTUDIO

4


5/135

Introduccin

Cada vez ms, la alta direccin de las organizaciones se est dando cuenta de las

importantes repercusiones que puede tener TI en el xito de la empresa. Ladireccin necesita tener una mayor comprensin de la forma en que se opera TI yque aumente la probabilidad de xito cuando decide impulsarla para la obtencinde ventajas competitivas.

Tanto las mesas directivas como la direccin ejecutiva, necesitan ampliar el gobierno

corporativo a TI y proporcionar el liderazgo, las estructuras organizativas y losprocesos que garanticen que la TI de la empresa sostiene y propaga las estrategias yobjetivos de la empresa. El gobierno de TI no es una disciplina aislada, sino que esparte integrante del gobierno corporativo global de la empresa. Los accionistas y lasprincipales partes ms interesadas en la gestin de las empresas (denominadosstakeholders), conforman un grupo cada vez ms capacitado y asertivo preocupadopor la buena gestin de sus intereses. Esto ha dado lugar a la aparicin de losprincipios y las normas para el gobierno corporativo de la empresa.

El conocimiento del Gobierno de TI es fundamental para el trabajo del auditor de IS.El mismo constituye la base para el desarrollo de prcticas saludables de control y

mecanismos para la supervisin y revisin de la administracin. 5


6/135

Introduccin

9 TAREAS FUNDAMENTALES

Evaluar la efectividad dela estructura de

gobierno de TI para

determinar si lasdecisiones, lasdirecciones y el

desempeo de TIrespaldan las

estrategias y losobjetivos de laorganizacin.

6

1


7/135

Introduccin

Evaluar la estructuraorganizativa de TI y lagestin de Recursos

Humanos (personal),para determinar si

respaldan lasestrategias y losobjetivos de la

organizacin.

7

2


8/135

Introduccin

Evaluar la estrategia deTI, incluyendo la

direccin de TI y los

procesos para eldesarrollo, laaprobacin, la

implementacin y elmantenimiento de la

estrategia para que estalineada con lasestrategias y losobjetivos de laorganizacin

8

3


9/135

Introduccin

Evaluar las polticas, losestndares y los

procedimientos de TI dela organizacin y los

procesos para sudesarrollo, aprobacin,implementacin,mantenimiento y

monitoreo a fin dedeterminar si respaldan

la estrategia de TI ycumplen con los

requerimientos legales yregulatorios.

9

4


10/135

Introduccin

Evaluar la adecuacindel sistema de gestin

de calidad para

determinar si respaldalas estrategias y los

objetivos de laorganizacin de forma

rentable.

10

5


11/135

Introduccin

Evaluar la gestin de TIy el monitoreo de

controles (por ejemplo,

monitoreo continuo,aseguramiento decalidad [QA]) para

determinar si cumplencon las polticas, los

estndares y losprocedimientos de la

organizacin.

11

6


12/135

Introduccin

Evaluar las prcticas deinversin, uso y

asignacin de los

recursos de TI,incluyendo criterios de

priorizacin, paradeterminar si estnalineados con las

estrategias y losobjetivos de laorganizacin.

12

7


13/135

Introduccin

Evaluar lasestrategias y

polticas decontratacin de TI ylas prcticas de

gestin de contratospara determinar si

respaldan lasestrategias y losobjetivos de laorganizacin

13

8


14/135

Introduccin

Evaluar lasprcticas degestin de

riesgos, paradeterminar si los

riesgos de laorganizacin

relacionados con

TI, se gestionanadecuadamente.

14

9


15/135

Introduccin

Evaluar las prcticasde monitoreo y

aseguramiento paradeterminar si el

consejo de direcciny la alta direccin

reciben informacin

suficiente yoportuna sobre eldesempeo de TI.

15

10


16/135

GOBIERNOCORPORATIVO

16


17/135

1. Gobierno Corporativo

Es el conjunto de principios y tcnicas destinadas a mejorar laadministracin de las sociedades mercantiles que apelan al ahorro delpblico. Surge de la necesidad de superar los problemas que plantea laseparacin entre la propiedad y la gestin en las grandes sociedades quecotizan en Bolsa.

Revista de Derecho del Mercado FinancieroQu es el Gobierno Corporativo?

2006

Conjunto de principios y normas que regulan el diseo, integracin yfuncionamiento de los rganos de gobierno de la empresa, como son lostres poderes dentro de una sociedad: los Accionistas, Directorio y AltaAdministracin. En espaol se utiliza tambin gobernanza corporativa,gobernanza societaria y gobierno societario.

Ramiro SalvocheaMercados y Gobernancia.

La revolucin del "Corporate Governance2012.

17


18/135


Sistema por el cual las sociedades son administradas y controladas, conatribuciones y obligaciones para accionistas Junta Directiva, Alta Gerencia,Comits y Unidades de Control; proporcionando un marco de transparenciay proteccin de los intereses de los depositantes, asegurados y demsusuarios de las entidades.

Superintendencia del Sistema FinancieroNormas Prudenciales de Bancos NPB 4-48,

2013

Es el conjunto de prcticas, expresadas formalmente o no, que gobiernanlas relaciones entre los participantes de una empresa, principalmente entrelos que administran (la gerencia) y los que invierten recursos en la misma(los dueos y los que prestan dinero en general).

Corporacin Andina de Fomento,Gobierno Corporativo:

Lo que todo empresario debe saber,2005

18


19/135


Un comportamiento corporativo tico por parte de los directores u otrosencargados del gobierno, para la creacin y entrega de los beneficios paratodas las partes interesadas.

ISACAManual de Preparacin al Examen CISA,

2008

El Gobierno Corporativo es el sistema por el cual las sociedades sondirigidas y controladas. La estructura del gobierno corporativo especifica ladistribucin de los derechos y responsabilidades entre los diferentesparticipantes de la sociedad, tales como el directorio, los gerentes, losaccionistas y otros agentes econmicos que mantengan algn inters en laempresa. El Gobierno Corporativo tambin provee la estructura a travs dela cual se establecen los objetivos de la empresa, los medios para alcanzarestos objetivos, as como la forma de hacer un seguimiento a sudesempeo.

Organizacin para la Cooperaciny el Desarrollo Econmico

19


20/135


20
http://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:EnronStockPriceAug00Jan02.jpghttp://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:Sub-Committee_on_Energy_and_Commerce_012402.jpghttp://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:Enron_Complex.jpghttp://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:Torre_de_Transmiss%C3%A3o_de_Energia_el%C3%A9ctrica_(2).JPGhttp://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:Industry_Texas.jpg


21/135


21
http://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:Bernard_Ebbers.jpg


22/135


22


23/135


23


24/135


La Organizacin para la Cooperacin y el Desarrollo Econmicos (OCDE), emiti en mayo

de 1999 y revis en 2004 sus Principiosde Gobierno Corporativo.

Proteger los derechos de accionistas.

Asegurar el tratamiento equitativo para todos los accionistas, incluyendo a losminoritarios y a los extranjeros.

Todos los accionistas deben tener la oportunidad de obtener una efectiva reparacinde los daos por la violacin de sus derechos.

Reconocer los derechos de terceras partes interesadas y promover una cooperacinactiva entre ellas y las sociedades en la creacin de riqueza, generacin de empleos ylogro de empresas financieras sustentables.

Asegurar que haya una revelacin adecuada y a tiempo de todos los asuntosrelevantes de la empresa, incluyendo la situacin financiera, su desempeo, latenencia accionaria y su administracin.

Asegurar la gua estratgica de la compaa, el monitoreo efectivo del equipo dedireccin por el consejo de administracin y las responsabilidades del Consejo de

Administracin con sus accionistas. 24


25/135


Todo esto persigue:1. Reducir la frecuencia y el

impacto de reportes financierosinexactos.

2. Proveer mayor transparencia eimputabilidad.

3. Adecuacin de los controles

internos.4. Evaluacin de los controles

internos organizacionales en losreportes financieros de la

organizacin 25


26/135

PRACTICAS DE MONITOREO YASEGURAMIENTO PARA LA JUNTA

Y LA GERENCIA EJECUTIVA

26


27/135

2. Prcticas de Monitoreo y Aseguramiento para la Junta y

Gerencia Ejecutiva

Concepto de Gobierno de TI

Es el proceso de administracin que asegura la obtencin de los beneficios esperados dela tecnologa de informacin (TI) de manera controlada para acrecentar el xito sostenidode una empresa a largo plazo

ITGI

Es el uso eficiente de los recursos de TI para apoyar el cumplimiento de los objetivos delnegocio

ISACA

Sistema por el cual el uso presente y futuro de las TI es controlado. Involucra evaluar ydirigir planes del uso de las TI que soporten a la organizacin, as como monitorear el uso

de estos planes. Incluye adems polticas y estrategias de uso de TI en la organizacin.Australian Standard for Corporate Governance

El sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologasde la informacin

ISO/IEC 38500:200827


28/135

Directores

AltaGerencia

Lderes deProcesos

Proveedores

Usuarios

Auditores


Gerencia Ejecutiva

Sistemas deInformacin

Tecnologa

ComunicacinNegocios

AspectosLegales

GO IERNO

DE

TI

28


29/135


Gerencia Ejecutiva

Integracin de la responsabilidad

Agregar valor al NegocioAdministracin de

Riesgos

GOBIERNO DE TI

Le incumben 2 aspectos:

29


30/135


Gerencia Ejecutiva

El Gobierno de TI es responsabilidad de la Junta Directiva y dela Gerencia Ejecutiva. Es parte integral del gobierno de laempresa y est constituido por las estructuras de liderazgo y

organizacionales y los proceso que aseguran que la TI de laorganizacin sostiene y extiende la estrategia y los objetivosde la organizacin.

Board Briefing on IT Gobernance2nd. Edition

ITGI, 2004

Quin es el responsable del Gobierno de TI?

30


31/135


Gerencia Ejecutiva

Concordancia Objetivos de TIy de la Empresa

CEOs

CFOs

CIOs

Factor Crticode xito

31


32/135


Gerencia Ejecutiva

32

Los temas que la Gerencia Ejecutiva necesita tratar para Gobernar TI en la empresa se describen

en cinco reas centrales:


33/135

Pregunta

El Gobierno de TI asegura que una organizacin sealinee su estrategia de TI con:

A. Los objetivos de la empresa.B. Los objetivos de TI.

C. Los objetivos de auditora

D. Los objetivos de control.

33


34/135

2. 1 Mejores Prcticas para el Gobierno de TI

El Gobierno de TI integra e

institucionaliza las buenasprcticas para asegurar que laTI de la empresa respalde losobjetivos del negocio.

34

El Gobierno de TI permite que laempresa saque provecho total de suinformacin, maximizando de estamanera los beneficios, capitalizando lasoportunidades, y obteniendo una

ventaja competitiva.

GO IERNO

DE TI


35/135


35

ExigenciasobreunmejorretornosobrelasinversionesdeTI.

PreocupacinporelcrecienteniveldegastoenTI

Necesidaddecumplirconrequerimientosregulatorios

Gestindecontratacindeserviciostercerizados

RiesgoscadavezmascomplejosenTI

Necesidaddeoptimizarloscostos

CrecientemadurezyaceptacindemarcospopularesNecesidaddeevaluarnuestrodesempeofrenteaestndares

generalmenteaceptados.


36/135


F CTOR CRITICO DE EXITO

Estructura de Gobierno de TI Mejores Prcticas

36

Marcosd

eGobiernodeTI


37/135


Las MejoresPrcticas de TIAseguran:

RiesgosAdministrados

Apropiadamente

RecursosUtilizados

Responsablemente

Informacin yTecnologaSoportan

Objetivos del

Negocio 37


38/135


Rol de la Auditora en el Gobierno de TI

Provee recomendaciones de prcticas lderes a la alta gerencia, para ayudar a mejorarla calidad y la efectividad de las iniciativas del gobierno de TI implementadas.

Ayuda a asegurar el cumplimiento de las iniciativas de gobierno de TI implementadasen una organizacin.

Evala el alineamiento de la funcin de SI con la misin, visin, valores, objetivos yestrategias de la organizacin.

Verifica el logro por parte de la funcin de SI de los objetivos de desempeoestablecidos por el negocio (efectividad y eficiencia).

Evala los requerimientos legales, ambientales, de calidad de informacin, fiduciarios yde seguridad.

Evala el ambiente de control de la organizacin

Revisa la inversin / gastos en TI. 38


39/135


Reportar el Gobierno deTI implica auditar al mas

alto nivel de laorganizacin, cruzando

lmites de divisin,funciones o

departamentos.

Alcancedel

Trabajo

Nivel deEntrega

Temascubiertos

Gob TI

Derechode

acceso

39


40/135

2.2 Comit de Estrategia de TI

Este comit, presidido por el CIO, est a cargo de establecer las bases para lograr el

Buen Gobierno de TI. Es responsable de establecer los principios bsicos de TI dentrode la organizacin (por ejemplo: compromiso con la estandarizacin, escalabilidad,etc.), as como tambin las polticas de inversin en TI y de priorizacin de lasiniciativas.

Lgicamente, estos lineamientos deben ir alineados a la estrategia corporativa

establecida por el Comit Ejecutivo para lograr el valor de negocio que se espera. Esel CIO el llamado a comunicar dicha estrategia corporativa a los miembros de estecomit.

Este comit tradicionalmente esta conformado por el CIO y por los Gerentes de altorango de cada una de las reas de la compaa para as poder establecer polticas y

normas de forma consensuada. Bajo el concepto de Gobierno Corporativo, esimportante que sea elevado a Comit de Junta.

Es importante adems que el CIO tenga ms que conocimientos tcnicos, tengaconocimiento profundo del negocio de la empresa para as poder aterrizaradecuadamente la estrategia corporativa en una estrategia de TI adecuada.

40


41/135


Comit deEstrategia

de TI

AsesoramientoEstratgico

Valor de TI

Desempeo

Riesgos

41


42/135


Objetivos del Comit de Estrategia de TI

Alinear la estrategia de TI con los objetivos de negocio

Aterrizar en la organizacin las estrategias y objetivos

Organizacin para el Buen Gobierno de TI

Definir estructuras organizacionales que faciliten la implementacin dela estrategia

Adoptar un framework de riesgo, control y gobierno

Brindar la infraestructura TI que ayude a crear y compartir informacindel negocio

Asignar responsables de la gestin de riesgos en la organizacin

Enfocarse en los procesos importantes de TI y en su apoyo a lascompetencias del negocio

Medir el desempeo (Balance Scorecard)

42


43/135


Nivel Nivel de Junta Nivel Ejecutivo

Responsabilidad Provee opinin y asesoramiento a la Junta sobretpicos tales como:

La relevancia de los desarrollos en TI desde unaperspectiva de negocio

La alineacin de TI con la direccin del negocio El logro de los objetivos estratgicos de TI La disponibilidad de los recursos, habilidades e

infraestructura de TI adecuada para cumplir con

los objetivos estratgicos. La optimizacin de los costos de TI, que incluyen

el rol y la entrega de valor por los servicios de TIde terceros

El riesgo, el retorno y los aspectos competitivosde la inversiones de TI

El avance en los proyectos principales de TI La contribucin de TI al negocio (entrega del

valor de negocio prometido)

Exposicin a los riesgos de TI, incluyendo riesgosde cumplimiento.

Contencin de los riesgos de TI Direccin a la gerencia en relacin con la

estrategia de TI Impulsadores y catalizadores para las practicas

de gobierno de TI de la Junta

Decide el nivel general de TI y como se asignaranlos costos.

Alinea y aprueba la arquitectura de TI de laempresa.

Aprueba los planes y presupuestos de proyecto,estableciendo prioridades e hitos de referencia.

Adquiere y asigna los recursos apropiados. Asegura que los proyectos cumplan

continuamente los requerimientos de negocio,incluyendo la reevaluacin del caso de negocio. Monitorea los planes del proyecto en cuanto a la

entrega del valor esperado y los resultadosdeseados, a tiempo y dentro del presupuesto.

Monitorea los conflictos de recursos yprioridades entre las divisiones de la empresa y lafuncin de TI y entre proyectos.

Hace recomendaciones y solicita cambios a los

planes estratgicos (prioridades, financiamiento,enfoques de tecnologa, recursos, etc.)

Comunica las metas estratgicas a los equipos delproyecto.

Es un contribuidor importante a lasresponsabilidades de gobierno de TI de lagerencia.

43


44/135


Nivel Nivel de Junta Nivel Ejecutivo

Autoridad Asesora a la Junta y a la gerencia sobre laestrategia de TI:

Es encargado por la Junta para proveerdatos de base para la estrategia y prepara rsu aprobacin.

Se concentra en los problemas estratgicos

de TI presentes y futuros.

Asiste al ejecutivo en la entrega de laestrategia de TI.

Supervisa la administracin cotidianade entrega de servicio de TI yproyectos de TI.

Se concentra en la implantacin.

Integrantes Miembros de la junta y miembros especialistasno pertenecientes a la junta

Ejecutivo patrocinador Ejecutivo de negocio (usuarios clave) CIO Asesores claves que se requieran (TI,

auditoria, legal, finanzas).

44


45/135

2.3 Balanced Scorecard estndar de TI

El BSC es una herramienta revolucionaria para movilizar a la gente hacia el plenocumplimiento de la misin a travs de canalizar las energas, habilidades yconocimientos especficos de la gente en la organizacin hacia el logro de metasestratgicas de largo plazo. Permite tanto guiar el desempeo actual como apuntaral desempeo futuro. Usa medidas en cuatro categoras -desempeo financiero,conocimiento del cliente, procesos internos de negocios y, aprendizaje y crecimiento-para alinear iniciativas individuales, organizacionales y transdepartamentales e

identifica procesos enteramente nuevos para cumplir con objetivos del cliente yaccionistas. El BSC es un robusto sistema de aprendizaje para probar, obtenerrealimentacin y actualizar la estrategia de la organizacin. Provee el sistemagerencial para que las compaas inviertan en el largo plazo en clientes, empleados,desarrollo de nuevos productos y sistemas ms bien que en gerenciar la ltima lneapara bombear utilidades de corto plazo. Cambia la manera en que se mide y manejaun negocio.

The Balanced ScoreCard: Translating Strategy into Action,Harvard Business School Press,

Boston, 1996

45


46/135


El Balanced scorecard estndar de TI es una tcnica evaluativa que puede aplicarse

al proceso de Gobierno de TI para evaluar las funciones y procesos de TI.

BSC

TI

Satisfaccindel Cliente

ProcesosInternos

Innovacin

Usuarios

OperativosMejora

EvaluacinFinanciera

46


47/135


Para aplicar el Balanced scorecard estndar de TI, se usa una estructura de tres

capas para tratar las cuatro perspectivas:

Misin Estrategias Medidas

Convertirse en el proveedorpreferido de SI

Desarrollar aplicaciones yoperaciones superiores

Proveer un conjuntobalanceado de medidas (KPIs)

para guiar las decisiones de TIorientadas a negocios.Entregar aplicaciones yservicios eficientes y efectivosDesarrollar alianzas con losusuarios y mejores serviciospara los clientes

Obtener una contribucinrazonable de las inversiones deTI al negocio

Proveer mejores niveles deservicio y estructuras deprecios

Desarrollar oportunidades querespondan a futuros desafos

Entrenar y educar al personalde TI y promover la excelencia

Controlar los gastos de TI

Proveer nuevas capacidades denegocio

47


48/135


Finalidad del BSC:

Establecer un vehculo para la

informacin gerencial a la

Junta Directiva

Estimular el consenso entrelos interesados clave sobre

los objetivos estratgicos de

TI

Demostrar la efectividad y el

valor agregado de TI Comunicar el desempeo, los

riesgos y capacidades de TI

48


49/135


49


50/135

Pregunta

Para que la gerencia pueda monitorear de formaefectiva el cumplimiento de los procesos y lasaplicaciones Cul de las siguientes opciones sera laMS adecuada?

A. Un repositorio de documentos central

B. Un sistema de gestin de conocimientos

C. Un tablero de mandos

D. Benchmarking

50


51/135

2.4 Gobierno de Seguridad de Informacin

El gobierno de seguridad de la informacin consiste en el liderazgo,estructura organizacional y proceso para proteger la informacin.

El gobierno de seguridad de la informacin es un subconjunto delgobierno corporativo de la organizacin que provee direccin

estratgica, garantiza los objetivos establecidos, gestiona los riesgosde forma apropiada, usa los recursos organizacionalesresponsablemente y monitorea el xito o falla del programa deseguridad de la organizacin.

Guidance for Boards of Directors and Executive ManagementISACA

51


52/135


Integridad de laInformacin

Continuidad deServicios

Proteccin de activosde Informacin

El Gobierno de Seguridad de Informacin se concentra en:

52


53/135


Informacin:Datos que tienen significado y propsito

Panorama General del Gobierno de Seguridad de la Informacin

Competitividad

Seguridad

53


54/135


Panorama General del Gobierno de Seguridad de la Informacin

Seguridad de TI

Seguridad de Informacin

Se ocupa de laseguridad de laTecnologa y estpicamenteimpulsada desde

el nivel del CIO

Se ocupa del universo delos riesgos, los beneficiosy los procesosinvolucrados con lainformacin y debe serimpulsada por laDireccin Ejecutiva ysoportada por JD.Relacionada con laprivacidad de lainformacin y seguridad

de la misma. 54


55/135


Gobierno deSeguridad

de laInformacin

Dirigencia

EstructurasOrganizacionales

Procesos desalvaguarda de laInformacin

55


56/135


Importancia del Gobierno de Seguridad de Informacin

Ocuparse de la creciente exposicin que tiene la organizacin y su gerencia a laresponsabilidad civil o legal como resultado de informacin incorrecta suministradaal pblico o a los reguladores, as como tambin las consecuencias de no ejercer eldebido cuidado en la proteccin de informacin privada.

Proveer garanta de cumplimiento de las polticas

Aumentar la predictibilidad y reducir la incertidumbre de las operaciones de negocioreduciendo los riesgos a niveles definibles y aceptables.

Proveer la estructura y el marco para optimizar las asignaciones de los recursoslimitados de seguridad.

Proveer un nivel de garanta de que las decisiones crticas no se basan en

informacin defectuosa.

Proveer una firme cimentacin para la administracin eficiente y efectiva del riesgo,mejoramiento de procesos y rpida respuesta a incidentes.

Proveer responsabilidad de salvaguardar informacin durante las actividades crticasdel negocio, tales como fusiones y adquisiciones, recuperacin del proceso de

negocio, y respuesta regulatoria. 56


57/135


La seguridad de informacin abarca todos los procesos deinformacin, tanto fsicos como electrnicos,independientemente de si ellos involucran personas y

tecnologa o relaciones con socios de negocio, clientes oterceros. A la seguridad de la informacin le conciernentodos los aspectos de informacin y su proteccin de todoslos puntos de sus ciclo de vida dentro de la organizacin.

57


58/135


Integracin deProcesos

Gestin deRecursos

Medicin delDesempeo

Entrega devalor

Gestin deRiesgos

Alineacinestratgica

6RESULTADOS

BASICOS

DE UN

GOBIERNO

EFECTIVO DE

SEGURIDAD

58


59/135


Una estrategia comprensiva de seguridadintrnsecamente vinculada con los objetivos delnegocio.

Polticas de seguridad vigentes que se ocupen de cada

aspecto de estrategia controles y regulacin.

Un conjunto completo de estndares para cadapoltica para asegurar que los procedimientos ylineamientos cumplan con la poltica.

Una estructura organizacional efectiva de seguridadlibre de conflictos de inters.

Procesos institucionalizados de monitoreo paraasegurar el cumplimiento y proveer retroalimentacinsobre la efectividad.

El marco de un gobierno efectivo de Seguridad de Informacin est constituido por:

59


60/135


60


61/135


61


62/135

Pregunta

Cul de los siguientes elementos se considera MScrtico para una implementacin satisfactoria de unprograma de seguridad de la informacin (SI)?

A. Un marco de Gestin de Riesgos Empresariales (ERM)

B. Compromiso de la Alta Direccin

C. Un proceso de creacin de presupuestos adecuado

D. Una planificacin meticulosa de programas.

62


63/135

2.5 Arquitectura de Empresa

Arquitectura de la Empresa esel conjunto de elementosorganizacionales (objetivosestratgicos, departamentos,procesos, tecnologa,personal, etc.) que describen ala empresa y se relacionanentre s garantizando laalineacin desde los nivelesms altos (estratgicos) hastalos ms bajos (operativos), con

el fin de optimizar lageneracin de productos yservicios que conforman lapropuesta de valor entregadaa los clientes.

63
http://localhost/var/www/apps/conversion/tmp/scratch_1//upload.wikimedia.org/wikipedia/commons/2/2a/ArquitecturaDeLaEmpresa.jpg


64/135


John A. Zachman dio origen al Frameworkfor Enterprise Architecture,

el cual ha sido aceptado alrededor del mundo como un marcointegrador, o una tabla peridica, de representaciones descriptivaspara empresas. El Marco de Trabajo Zachman es un marco de trabajo(framework) de Arquitecturas empresariales creado por John A.Zachman en 1984 y publicado por primera vez en el IBM Systems Journalen 1987. Es uno de los marcos de trabajo ms antiguos y de mayor

difusin en la actualidad.

64


65/135


65
http://localhost/var/www/apps/conversion/tmp/scratch_1//upload.wikimedia.org/wikipedia/commons/5/5c/The_Zachman_Framework_of_Enterprise_Architecture.jpg


66/135

ESTRATEGIA DE SISTEMAS DEINFORMACIN

66


67/135

3.1 Planeacin Estratgica

La Planeacin estratgica de sistemas de informacin se relaciona con ladireccin a largo plazo que una organizacin quiere seguir para apalancar con

tecnologa de informacin la mejora de sus procesos de negocio.

AltaGerencia

Identificarsoluciones

de TI

Desarrollarplanes de

accin

Eficientes en costos a fin de enfrentarproblemas y oportunidades para laorganizacin

Para identificar y adquirir los recursos que senecesitan

Los planes estratgicos deben estar acordes yconsistentes con todas las metas y objetivosde la organizacin

67


68/135


La Gerencia de TI, el Comit de Direccin de TI y el Comit de Estrategia tienen

funcin clave en el desarrollo y la implementacin de la planeacin estratgica

PlaneacinEstratgica Efectiva

de TI

Demanda de TI Capacidad de

proveer TI

Involucra las intencionesestratgicas de la organizacin ycomo stas se traducen en

objetivos especficos e iniciativasde negocio y que capacidadesde TI se necesitarn parasoportar estos objetivos einiciativas.

Revisar la cartera de sistemaspara calzar lo funcional, el costoy el riesgo. Planificar elsuministro de TI involucraevaluar la infraestructura tcnicade TI y los procesos clave desoporte, como. Desarrollo yManto. de Sistemas, Admn. dela Seguridad y Servicios Help

Desk 68


69/135


A qu debe prestar atencin el Auditor de SI?

Debe dar importancia a la planeacin estratgica de TI, considerando lasprcticas de control gerencial.

Que los planes estratgicos de TI estn en sincronizacin con toda laestrategia de negocio.

Debe prestar atencin a los requerimientos de convertir los planesoperativos o tcticos de TI desde el negocio y las estrategias de TI,contenidos de planes estratgicos, requerimientos para actualizar ycomunicar planes y a los requerimientos de monitoreo y evaluacin.

Debe considerar que tan involucrada est la Gerencia de TI en la creacin dela estrategia general del negocio, por que una falta de participacin de TI enla creacin de dicha estrategia indica un riesgo de que los planes de TI noestn alineados con la estrategia del negocio.

69


70/135

Pregunta

Cul de los siguientes elementos estara incluido enun plan estratgico de TI?

A. Especificaciones para compras planeadas de hardware

B. Anlisis de los objetivos futuros del negocio

C. Fechas objetivo para los proyectos de desarrollo

D. Objetivos presupuestarios anuales para el departamento de SI

70


71/135

Pregunta

Cul de los enunciados siguientes describe MEJOR unproceso de planeacin estratgica del departamento de TI?

A. El departamento de TI tendr planes de corto alcance o de largo alcancedependiendo de los planes y objetivos ms amplios de la organizacin

B. El plan estratgico del departamento de TI debe estar orientado al tiempo y al

proyecto, pero no tan detallado como para tratar y ayudar a determinar lasprioridades para satisfacer las necesidades de negocio.

C. La planificacin de largo alcance para el departamento de TI debe reconocerlas metas organizacionales, los adelantos tecnolgicos y los requerimientosregulatorios.

D. La planeacin de corto alcance para el departamento de TI no necesita estarintegrada en los planes de corto alcance de la organizacin ya que losadelantos tecnolgicos impulsarn los planes del departamento de TI muchoms rpido que los planes organizacionales

71


72/135

3.2 Comit de Direccin

Este comit tiene como tarea principalmaterializar la estrategia de TI enacciones concretas. En otras palabrasconvierte los principios y polticasdictadas por el Comit de Estrategia deTI en servicios de infraestructura

dentro de la compaa. Para ello, estecomit debe tomar decisiones clavessobre la arquitectura de los servicios aimplantar que estn acordes y cumplancon los objetivos de TI pre-establecidos.Debe conformarse por representantes

de la alta direccin, gerencia usuaria ydepartamento de SI.

Los deberes y responsabilidades del comti deben estar definidos en un documentoformal. Cada miembro debe tener autoridad para tomar decisiones en el seno delgrupo para sus reas respectivas.

72


73/135

3.2 Comit de Direccin

Funciones primarias del Comit de Direccin:

Revisar los planes de largo y corto plazo del Depto. de SI para asegurar que estn enconcordancia con los objetivos corporativos.

Revisar y aprobar las adquisiciones importantes de hardware y software, dentro de loslmites aprobados por junta directiva.

Aprobar y monitorear los proyectos de alta relevancia y la situacin de los planes y

presupuestos de SI, establecer prioridades, aprobar las normas y los procedimientos, ymonitorear el desempeo general de SI.

Revisar y aprobar las estrategias para outsourcing de ciertas actividades o todas lasactividades de SI, y la globalizacin, o traslado al extranjero, de las funciones.

Revisar si los recursos y su asignacin son adecuados en trminos del tiempo, personaly equipo.

Decidir respecto a la centralizacin frente a la descentralizacin y a la asignacin deresponsabilidades.

Apoyar el desarrollo e implementacin de un programa de administracin deseguridad de informacin a nivel de toda la organizacin.

Reportar a la Junta Directiva sobre las actividades de SI73


74/135

POLTICAS YPROCEDIMIENTOS

74


75/135

4.1 Polticas

Son documentos de alto nivel que representan la filosofa corporativa de unaorganizacin y el pensamiento estratgico de la alta gerencia y de los dueos de los

procesos del negocio. Estas deben ser claras y concisas para que sean efectivas.

Formular

Desarrollar

DocumentarPromulgar

ControlarPolticas que

abarcan metas ydirectrices

generales

Ambiente

de

Control

Positivo

ADMNISTRACIN

75


76/135

4.1 Polticas

Polticas deAlto Nivel

Polticas deMenor Nivel

TOP-DOWN

DIVISIONES / DEPARTAMENTOS

CORPORATIVAS

Polticas deAlto Nivel

Polticas deMenor Nivel

DOWN-TOP

DIVISIONES / DEPARTAMENTOS

CORPORATIVAS

CONSISTENT

ES

COSTOS/BASADAS

EN

EST

IMACIONESDERIESGO

76

4 1


77/135

4.1 Polticas

El Auditor de Sistemas debe:

Alcanzar el entendimiento de las polticas como parte del proceso de auditora ycomprobar si estas se cumplen.

Comprobar que la Administracin revise y actualice las polticas peridicamente.

Verificar que las polticas formuladas permitan el logro de los objetivos delnegocio y la implementacin de controles en los sistemas de informacin.

Verificar que las polticas generales a nivel superior y las polticas detalladas a unnivel inferior estn a tono.

Utilizar las polticas como punto de referencia para evaluar el cumplimiento delos controles de SI.

Identificar y reportar polticas que obstaculizan el logro de los objetivos del

negocio, para que sean mejoradas. Considerar el grado al que las polticas se aplican a terceros o a outsourcers, el

grado al que estos cumplen con las polticas o si las polticas de los terceros o delos outsourcers etn en conflicto con las polticas de la organizacin.

77

4 1 P lti


78/135

4.1 Polticas

Poltica de Seguridad de Informacin

La poltica de seguridad es un documento de alto nivel que denota el compromisode la gerencia con la seguridad de la informacin. Contiene la definicin de laseguridad de la informacin bajo el punto de vista de cierta entidad.

Debe ser enriquecida y compatibilizada con otras polticas dependientes de sta,

objetivos de seguridad, procedimientos. Debe estar fcilmente accesible de formaque los empleados estn al tanto de su existencia y entiendan su contenido. Puedeser tambin un documento nico o inserto en un manual de seguridad. Se debedesignar un propietario que ser el responsable de su mantenimiento y suactualizacin a cualquier cambio que se requiera.

La poltica de seguridad debe ser documentada y comunicada a todos los empleadosy proveedores de servicio, segn sea pertinente. Asimismo, debe ser usada por losauditores de SI como un marco de referencia para realizar diferentes trabajos deauditora de SI. La suficiencia y pertinencia de la poltica de seguridad, podra sertambin un rea de revisin para el auditor de SI.

78

4 1 P lti


79/135

4.1 Polticas

El Documento de Poltica de Seguridad de Informacin debe tener:

Una definicin de seguridad de informacin, sus objetivos generales y su alcance,y la importancia de la seguridad como un mecanismo que permite que secomparta la informacin.

Una declaracin de la intencin de la gerencia, soportando las metas y losprincipios de la seguridad de informacin en lnea con la estrategia y los objetivos

del negocio. Un marco para fijar los objetivos de control y los controles, incluyendo la

estructura de la evaluacin del riesgo y la administracin del riesgo.

Una breve explicacin de las polticas de seguridad, los principios, los estndaresy los requisitos de cumplimiento de particular importancia para la organizacin,incluyendo:

Cumplimiento de los requisitos legislativos, regulatorios y contractuales

Requisitos de educacin, entrenamiento y conciencia/conocimiento de laseguridad.

Administracin de la continuidad del negocio

Consecuencias de las violaciones de la poltica de seguridad de informacin.79

4 1 P lti


80/135

4.1 Polticas

Para revisar la poltica de seguridad de Informacin debe considerar lo siguiente:

Retroalimentacin de las partes interesadas. Resultados de revisiones independientes.

Estatus de las acciones preventivas y correctivas.

Resultados de revisin de gerencia anteriores.

Desempeo del proceso y cumplimiento de la poltica de seguridad de

informacin. Cambios que podran afectar el enfoque de la organizacin para administrar la

seguridad de informacin, incluyendo cambios al entorno organizacional, lascircunstancias del negocio, la disponibilidad de recursos, las condicionescontractuales, regulatorias y legales o el entorno tcnico.

Uso de la consideracin de los outsourcers o funciones fuera de TI o funciones delnegocio.

Las tendencias relacionadas con las amenazas y las vulnerabilidades.

Incidentes de seguridad de la informacin reportados.

Recomendaciones suministradas por las autoridades relevantes.

80

4 1 P lti


81/135

4.1 Polticas

Mejoramiento del enfoque de laorganizacin para administrar la seguridadde informacin y sus procesos.

Mejoramiento de los objetivos de control ylos controles

Mejoramiento en la asignacin de recursosy/o responsabilidades

El resultado o producto de la revisin de gerencia debe incluir

cualesquiera decisiones y acciones relacionadas con:

Se debe mantener un registro de revisiones de gerencia y se debe obtener laaprobacin de la gerencia para la poltica revisada.

81

4 2 Procedimientos


82/135

4.2 Procedimientos

Los procedimientos son documentos detallados que se derivan de la polticamadre e implementan la intencin de la aseveracin de la poltica. Estos debenser escritos en una forma clara y concisa, de modo que sean comprendidos fcil ycorrectamente por todos los que se deben regir por ellos. Los procedimientosdocumentan procesos de negocio (administrativos y operacionales) y loscontroles integrados en los mismos.

Los auditores deben revisar los procedimientos para identificar, evaluar y probarlos controles sobre los procesos del negocio. Los controles integrados sonevaluados para asegurar que cumplan los objetivos de control necesarios,mientras hacen el proceso tan eficiente y prctico como sea posible. Al no existirprocedimientos documentados, es difcil identificar los controles y asegurar que

estn en operacin continua.

82


83/135

ADMINISTRACINDEL RIESGO

83

5 Administracin del Riesgo


84/135

5. Administracin del Riesgo

RIESGO:El potencial de que una amenazadeterminada explote lasvulnerabilidades de un activo o grupode activos y que ocasione prdida de losactivos o daos a los mismos.Usualmente se mide mediante lacombinacin del impacto y de laprobabilidad de que ocurra. El riesgocomprende los siguientes elementos:

AMENAZAS: Externas al activo

VULNERABILIDADES: Intrnsecas en el

activo

PROBABILIDAD: Porcentaje deocurrencia, depende del entorno

IMPACTO: Porcentaje que representeese activo en los bienes

84



85/135


ADMINISTRACIN DEL

RIESGO:

Proceso de identificar las debilidades ylas amenazas para los recursos deinformacin utilizados por unaorganizacin para lograr los objetivosdel negocio, y decidir quecontramedidas tomar, si hubiera alguna,para reducir el nivel de riesgo hasta unnivel aceptable basado en el valor delrecurso de informacin para laorganizacin.

85



86/135


APETITO DE

RIESGO

INVERSIONESFUTURAS ENTECNOLOGIA

GRADO DEPROTECCIN DE

LOS ACTIVOS

NIVEL DEGARANTIA

REQUERIDO

Identificar Analizar Evaluar Tratar Monitorear Comunicar

AdministracinSuperior

EVITAR MITIGARTRANSFERIR

ACEPTAR ELIMINAR

86

5 1 Desarrollo de un Programa de Administracin del Riesgo


87/135

5.1 Desarrollo de un Programa de Administracin del Riesgo

Establecer el propsitodel programa de

Administracin delRiesgo

Asignar responsabilidadpara el plan de

administracin delriesgo

87

5 2 Proceso de Administracin de Riesgos


88/135

5.2 Proceso de Administracin de Riesgos

Riesgo

residual

EvaluarControles o

Disear nuevos

Combinar para formar una visingeneral del riesgo:

Calcular vulnerabilidad de impactopor cadaAmenaza.

Estudiar las amenazas y vulnerabilidadesAsociadas con el recurso de informacin

Y la probabilidad de ocurrencia

Identificacin y clasificacin de los recursos deInformacin o de los activos que necesitan

Proteccin, porque son vulnerables a las amenazas

Nota: el riesgo es

proporcional al

valor de la prdida

o dao y la

frecuencia

estimada de laamenaza

88

5 2 Proceso de Administracin de Riesgos


89/135

5.2 Proceso de Administracin de Riesgos

Nivel Operativo

Riesgos que

comprometen laefectividad desistemas

Capacidad de evadircontroles en sistemas

Prdida o no

disponibilidad derecursos

Falta de cumplimientode leyes

Nivel de Proyecto

Capacidad de

entender lacomplejidad delproyecto

Que los objetivos delproyecto no seancumplidos

Nivel Estratgico

Capacidades de TI no

estn alineadas con elnegocio.

Capacidades de TIcomparadas con la delos competidores

Amenazas planteadas

por el cambiotecnolgico

La administracin de riesgos, debe operar a mltiples niveles, como por ejemplo:

89

5 3 Mtodos de Anlisis del Riesgo


90/135

5.3 Mtodos de Anlisis del Riesgo

Mtodos de Anlisis CualitativoUsan categorizaciones descriptivas para describir los impactos o la probabilidad.Son los mas sencillos y los m{as comnmente usados. Se basan en listas deverificacin y clasificaciones subjetivas de riesgo, tales como alto medio o bajo.

Mtodos de Anlisis Semicuantitativo

Las clasificaciones descriptivas estn asociadas con una escala numrica. Dichosmtodos se usan frecuentemente cuando no es posible utilizar un mtodocuantitativo o reducir la subjetividad de los mtodos cualitativos.

Mtodos de Anlisis CuantitativoUsan valores numricos para describir la probabilidad y los impactos de los

reisgos, usando datos provenientes de varios tipos de fuentes, tales comoregistros histricos, experiencias pasadas, prcticas y registros de la industria,teoras estadsticas, pruebas y experimentos.

90



91/135


91

Cualitativo

CuantitativoALE(Expectativa deprdida anual)



92/135


92

Ejemplo:

Tomemos la siguiente informacin para realizar un anlisis cuantitativo y definir sies conveniente o no adquirir un software de antivirus con un valor de $2,000dlares para un nuevo servidor de correo electrnico, el cual incluye medidasantispam y filtrado de contenidos.

El nuevo servidor tiene un precio estimado de $30,000 dlares. La empresacuenta con 80 empleados que utilizarn este servicio para agilizar lacomunicacin interna y externa (sus clientes).

Los estudios indican que existe un 95% de probabilidad de que el servidor seinfecte si no se le instala el software de antivirus. En caso de que se infecte el

equipo, se estima que se podrn perder tres/cuartas partes de la informacin.



93/135


La gerencia y los auditores deben tener presente ciertas consideraciones:

La administracin del riesgo debe aplicarse a las funciones de TI en todala compaa

Es una responsabilidad de la alta gerencia El anlisis cuantitativo es preferible al cualitativo El cualitativo enfrenta el desafo de estimar los riesgos (su probabilidad)

y se basa en la subjetividad El cuantitativo provee supuestos ms objetivos La complejidad real o la aparente sofisticacin de los mtodos o

productos usados no debe ser un sustituto del sentido comn delnegocio

Se debe prestar especial atencin para asegurar que se d laconsideracin adecuada a tratar con eventos de alto impacto, incluso sisu probabilidad expresada como una frecuencia de ocurrencia es baja.

93


94/135

PRCTICAS DE GERENCIADE SISTEMAS DE INFORMACIN

94

6. Prcticas de Gerencia de Sistemas de Informacin


95/135

6. Prcticas de Gerencia de Sistemas de Informacin

Las prcticas de Gerencia de Sistemas de Informacin reflejan la

implementacin de polticas y procedimientos desarrollados para diversasactividades gerenciales relacionadas con TI. Entre ellas tenemos:

Administracin de personal

Practicas de Sourcing

Gerencia de cambios Organizacionales

Practicas de Gerencia Financiera

Gerencia de Calidad

Gerencia de Seguridad de Informacin

Optimizacin del desempeo

95

6.1 Administracin de Personal


96/135

6 d st ac de e so a

Se refiere a polticas y procedimientos de la organizacin para contratacin, promocin,retencin y terminacin de contratos. Es importante considerar:

Contratacin (Verificacin de Antecedentes, Acuerdos de Confidencialidad, fianzas, acuerdos deconflictos de intereses)

Manual del Empleado (Polticas y procedimientos de seguridad, beneficios de los empleados,polticas de vacaciones, horas extra, evaluaciones de desempeo, acciones disciplinarias)

Polticas de Promocin (Basadas en criterios objetivos, considerando el desempeo, el nivel deinstruccin, la experiencia y el nivel de responsabilidad individual)

Entrenamiento (Basado en las reas donde falte experiencia y conocimientos / Garantizarcontinuidad de operaciones)

Cronogramas y Reportes de Tiempo (til para asignacin de costos, medicin de KGI y KPI y

anlisis de actividades)

Evaluaciones del Desempeo de los Empleados (Aumentos de salario, bonificaciones ypromociones basadas en el cumplimiento de metas)

Vacaciones requeridas (Reduce la oportunidad de cometer actos indebidos)

Polticas de Terminacin de Contrato (Debe protegerse los activos y datos de la organizacin).96

6.2 Prcticas de Sourcing


97/135

g

Sourcing

Entrega deFunciones

Insourced

Outsourced

Hbrido

Lugar deTrabajo

En el sitio

Fuera delSitio

Offshore

Es una funcin central para la

organizacin? Tiene esta funcin conocimientos,

procesos y personal especficos quesean crticos para cumplir las metasy objetivos, y que no pueda serreplicado externamente o en otro

lugar Puede esta funcin ser efectuada

por un tercero o en otro lugar por elmismo precio o por un precio masbajo, con la misma o mayor calidad,sin aumentar el riesgo?

Tiene la organizacin experienciaadministrando a terceros o usandolugares distantes / offshores paraefectuar funciones de SI o delnegocio?

97



98/135

g

Por qu Tercerizar?

Cules son los serviciosbrindados por Terceros?

Qu puedo / no puedo

Tercerizar?

98



99/135

g

Ventajas de la Tercerizacin:

Economas de escala

Posibilidad del proveedor de concentrarse en el proyecto

proveedores con mayor experiencias en un conjunto de problemas, aspectos ytcnicas que el personal de planta.

Mejores especificaciones que si fueran desarrollados por personal de planta

Con los proveedores se reduce la probabilidad que haya exceso de funcionalidades.

Solucin ante problemas de capacidad y planeacin del crecimiento.

99



100/135

g

Desventajas de la Tercerizacin:

Costos excedan las expectativas

Perdida de experiencia interna en SI y perdida de control

Falla del proveedor

acceso limitado al producto

Dificultad para revertir o cambiar los contratos de tercerizacin

Deficiente cumplimiento de los requerimientos legales y regulatorios

Incumplimiento en trminos de contrato

Falta de lealtad de personal

Clientes /empleados insatisfechos como consecuencia del contrato Costos de servicio no son competitivos

Obsolescencia de los sistemas de TI del proveedor

Dao a la reputacin de una de las entidades al fallar el proyecto

Litigacin prolongada y costosa

100



101/135

g

COMO PUEDO

REDUCIR EL RIESGO

EN LA

TERCERIZACIN

101

SLA



102/135

Cmo auditar un servicio Tercerizado?

Verificar que el SLA sea adecuado y contenga las clusulas mnimas de exigencia. Revisar los procedimientos documentados del tercerizador y los resultados de sus

programas de calidad. (Condiciones de seguridad, reporte de incidentes)

Requerir un Informe de auditora de terceros en forma peridica.

Dejar establecido en las clausulas contractuales, la posibilidad de que el tercero

sea auditado por la organizacin. Revisar pistas de auditora de terceros y los registros de eventos de seguridad,

problemas operativos, fallas, rastreo de interrupciones relacionadas con elservicio.

Qu debe prevenir el auditor en las funciones offsite u offshore?

Aspectos legales, regulatorios y fiscales

Continuidad de las operaciones

Aspectos de telecomunicacin

Problemas transfrontera y transculturales.102



103/135

Gobierno de Outsourcing

Es el conjunto de responsabilidades, roles, objetivos interfaces y controles requeridos paraanticipar el cambio y manejar la introduccin, mantenimiento, desempeo, costos y elcontrol de los servicios. Todo ello con la transparencia y la propiedad de los procesos. Debetener cuidado de:

Asegurar la viabilidad contractual a travs de revisin continua, mejoramiento yobtencin de beneficios para ambas partes.

Inclusin de un programa explcito de gobierno para el contrato Manejo de la relacin para asegurar que las obligaciones contractuales se cumplan a

travs de SLAsy contratos de nivel operativo.

Identificacin y manejo de todos los interesados, sus relaciones y expectativas.

Establecimiento de roles y responsabilidades claros para la toma de decisiones,

escalacin de problemas, manejo de disputas, manejo de demandas y entrega deservicios.

Asignacin de recursos, gasto y consumo de servicios en respuesta a las necesidadespriorizadas.

Evaluacin continua del desempeo, costo, satisfaccin de usuario, eficacia.

Comunicacin constante con todos los interesados. 103

6.3 Gerencia de Cambios Organizacionales


104/135

Cuando tena 17 aos, le una cita que deca ms o menos losiguiente: Si vives cada da como si fuera el ltimo, algn daseguramente tendrs razn.Me impresion, y desde entonces, porlos ltimos 33 aos, me he mirado en el espejo cada maana y me

pregunto: Si hoy fuese el ltimo da de mi vida, querra hacer loque estoy por hacer hoy?Y cada vez que la respuesta ha sido Nodurante demasiados das seguidos, s que necesito cambiar algo.

Steve Jobs

104

6.3 Gerencia de Cambios Organizacionales


105/135

La Gerencia de Cambios Organizacionales administra los cambios mediante un procesodefinido y documentado para identificar y aplicar mejoras de tecnologa al nivel de

infraestructura y aplicaciones que son beneficiosos para la organizacin y que involucratodos los niveles de la organizacin impactados por los cambios. Este nivel de participaciny comunicacin asegurar que el departamento de SI entiende completamente lasexpectativas de los usuarios y que los cambios no sean resistidos o ignorados por losusuarios una vez sean implementados.

La retroalimentacindel usuario debeobtenerse a travs delproyecto, incluyendovalidacin de losrequerimientos del

negocio yentrenamiento ypruebas sobre lafuncionalidad nueva ocambiada.

105

6.4 Prcticas de Gerencia Financiera


106/135

El esquema de pagos del usuario, formaen la que se le imputo un costo a losusuarios por el uso de recursoinformticos, puede mejorar la aplicacin

y monitoreo de los gastos y recursoslimitados de SI. En este esquema, el cosode los servicios de SI, incluidos el tiempodel personal, el tiempo de uso de lacomputadora as como otros costosrelevantes, es cargado a los usuariosfinales, basado en una frmula o clculoestndar (uniforme).

La Gerencia financiera es un elemento crtico en todas las funciones del negocio. En unambiente de computacin intensivo en costos, es imperativo que haya prcticas

correctas de gerencia financiera.

La gerencia de SI debe desarrollar un presupuesto. Esto permite el pronstico,monitoreo y anlisis de la informacin financiera. Debe estar vinculado con los planesde TI de corto y mediano plazo.

106

6.5 Gerencia de Calidad


107/135

107

6.6 Gerencia de seguridad de la Informacin


108/135

Provee la funcin rectora para garantizarque la informacin y los recursos deprocesamiento de informacin de laorganizacin bajo su control estndebidamente protegidos. Esto incluirdirigir y facilitar la implementacin de unprograma de seguridad de TI a nivel de todala organizacin, que incluya el desarrollo deplanes de continuidad del negocio yrecuperacin de desastres relacionados confunciones del departamento de TI en apoyode los procesos crticos del negocio de laorganizacin.

Un componente importante es la aplicacin de principios de administracin deriesgos para evaluar los riesgos en los activos de TI, mitigarlos hasta un nivelapropiado y monitorear los riesgos residuales remanentes.

108

6.6 Gerencia de seguridad de la Informacin


109/135

109

Pregunta


110/135

La responsabilidad MAS importante de un oficial deseguridad en una organizacin es:

A. Recomendar y monitorear las polticas de seguridad de datos

B. Promover la conciencia de la seguridad dentro de laorganizacin.

C. Establecer procedimientos para las polticas de seguridad de TI

D. Administrar los controles de acceso fsico y lgico

110

Pregunta


111/135

Cul de lo siguiente es MAS probable que realice eladministrador de seguridad?

A. Aprobar la poltica de seguridad

B. Probar el software de aplicacin

C. Asegurar la integridad de los datos

D. Mantener las reglas de acceso

111

6.7 Optimizacin del Desempeo


112/135

La optimizacin del desempeo es un proceso impulsado por indicadores del

desempeo. Estos indicadores estn definidos sobre la base de la complejidadde las operaciones y procesos del negocio de una organizacin, su solucinestratgica de TI y los objetivos estratgicos corporativos primarios deimplementacin de TI.

La optimizacin se refiere al proceso de mejorar la productividad de los

sistemas de informacin al mximo nivel posible sin inversin adicionalinnecesaria en infraestructura de TI.

Generalmente hay cinco formas de usar las medidas del desempeo:

1. Medir productos / servicios

2. Administrar productos / servicios

3. Asegurar la responsabilidad

4. Tomar decisiones de presupuesto

5. Optimizar el desempeo112

6.7 Optimizacin del Desempeo


113/135

Las directrices gerenciales de COBIT estn primordialmente diseadas para

satisfacer las necesidades de la gestin de TI de medicin del desempeo. Sesuministran metas, mtricas y modelos de madurez para cada uno de los 34procesos de TI.

Estn orientados para resolver las siguientes preocupaciones:

Medicin del desempeo - Cules son los indicadores de buendesempeo?

Creacin del perfil de control de TI - Qu es importante? Cules son losfactores crticos de xito para el control?

Concientizacin - Cules son los riesgos de no alcanzar nuestros objetivos?

Creacin de puntos de referencia - Qu hacen otros? Cmo se miden yse comparan?

113

Pregunta


114/135

Un auditor de SI debe asegurar que las medidas dedesempeo del gobierno de TI:

A. Evalen las actividades de los comits de supervisin de TI

B. Provean impulsadores estratgicos de TI

C. Acaten los estndares y definiciones de reporte regulatorio

D. Evalen el departamento de TI

114


115/135

ESTRUCTURA ORGANIZACIONAL YRESPONSABILIDADES DE SI

115

8. Estructura Organizacional y Responsabilidades de SI


116/135

CIO

Gestin deRiesgos

Admin Seguridad

CoordinadorRecuperacin de

Desastres

Aplicaciones

Desarrollo /Admin deSoporte

Programadores

Analistas deSistemas

Aseguramientode calidad

Datos

Admin Datos

Admin BD

Soporte Tcnico

Admin SoporteTcnico

Admin de Redes

Admin de SO

Programadoresde Sistemas

Analistas desistemas

Soporte alUsuario

Mesa de Servicio

Operaciones

Admin deOperaciones

Operador deComputadora

116

8.1 Roles y Responsabilidades de SI


117/135

GestinDesarrolloSistemas

Gestin deProyectos

Help Desk Usuario FinalGestin Soporte

Usuario Final

Gestin de Datos

Gestin

Aseguramientode la calidad

Gestin de

Seguridad de laInformacin

Gestin de

proveedores

Operaciones de

Mtto. eInfraestructura

Gestin deMedios

Ingreso de DatosAdministracin

de SistemasAdministracinde Seguridad

AseguramientoCalidad

AdministracinBD

Anlisis deSistemas

Desarrollo yMntto.

Aplicaciones

Desarrollo yMntto.

Infraestructura

Administracinde Red

117

8.2 Segregacin de Funciones de SI


118/135

La segregacin de funciones es un importantemedio por el cual se pueden prevenir y disuadir

actos fraudulentos o maliciosos.

Las funciones que deben ser segregadasincluyen:Custodia de activos

AutorizacinRegistro de Transacciones

De no existir segregacin adecuada defunciones, puede ocurrir:

Apropiacin indebida de activosEstados financieros falsosDocumentacin financiera inexacta (errores,irregularidades)Uso indebido de fondos o la modificacin dedatos podra pasar inadvertida 118

8.2 Segregacin de Funciones de SI


119/135

Grupo de Control Analista de

Sistemas

Programador de

Aplicaciones

Mesa de Ayuda y

Gerente de

Soporte

Usuario Final Ingreso de Datos O perador de

Computadoras

Administrador de

Bases de Datos

Administrador de

Redes

Administrador d

Sistemas

Administrador de

Seguridad Cintotecario

Programador de

Sistemas

Control d

Calidad

Grupo de Control x x x x x x x x x

Analista d

Sistemas x x x x x x

Programador d

Aplicaciones x x x x x x x x x x x

Mesa de Ayuda y

Gerente d

Soporte

x x x x x x x x x x

Usuario Final x x x x x x x x x

Ingreso de Datos x x x x x x x x x

Op era do r d

Computadoras x x x x x x x x x x

Administrador d

Bases de Datos x x x x x x x x x

Administrador d

Redes x x x x x x x x

Administrador d

Sistemas x x x x x x x

Administrador d

Seguridad x x x x x x

Cintotecario x x x x x x x x

Programador d

Sistemas x x x x x x x x x x

Control d

Calidad x x

119

Pregunta


120/135

Cul de las siguientes tareas pueden ser ejecutadaspor la misma persona en un centro de cmputo deprocesamiento de informacin bien controlado?

A. Administracin de seguridad y administracin de cambios

B. Operaciones de cmputo y desarrollo de sistemas

C. Desarrollo de sistemas y administracin de cambios

D. Desarrollo de Sistemas y mantenimiento de sistemas

120

Pregunta


121/135

Cul de lo siguiente es el control MAS crtico sobrela administracin de la base de datos?

A. Aprobacin de las actividades de DBA

B. Segregacin de funciones

C. Revisin de registros de acceso y actividades

D. Revisin del uso de las herramientas de la base de datos

121

8.3 Controles de Segregacin de Funciones


122/135

Autorizacin de Transacciones

Debe ser responsabilidad del Departamento de Usuarios Se delega en la medida que se relaciona con el nivel particular de responsabilidad La Gerencia y Auditora deben efectuar verificaciones peridicas para prevenir el ingreso de

transacciones no autorizadas.

Custodia de Activos

Debe existir una asignacin adecuada de la custodia de activos. El propietario de los datos debe determinar los niveles de autorizacin adecuados. El grupo de administracin implementa y ejecuta el sistema de seguridad.

Acceso a los datos

Es una combinacin de seguridad fsica, de sistemas y de aplicaciones (rea de usuarios yrea de procesamiento).

Las decisiones de control de acceso estn basadas en Separacin de funciones y el menorprivilegio.

Los datos y recursos deben categorizarse en niveles de sensibilidad tales como secretomximo, secreto, confidencial y no clasificado . 122



123/135

Formularios de Autorizacin

Los gerentes deben definir quien tendr acceso a que, a travs de formularios deautorizacin (fsicos o electrnicos).

La solicitud debe ser formal.

Para empresas grandes, se recomienda el uso de registro de firmas.

Los privilegios de acceso deben ser revisados peridicamente.

Tablas de autorizacin de usuario

El Depto. de SI debe mantener tablas de autorizaciones de usuarios (ACL).

Las tablas deben ser protegidas contra el acceso no autorizado.Debe llevarse una bitcora sobre la actividad de los usuarios y revisarla.

123



124/135

Controles compensatorios

Deben existir medidas de control compensatorio para mitigar el riesgo resultante deuna falta de segregacin de funciones. Estos incluyen:

Pistas de Auditora

Conciliacin Reportes de Excepcin

Registros de transacciones

Revisiones de supervisin

Revisiones independientes

124

Pregunta


125/135

125

Cuando una segregacin de funciones completa nopuede lograrse en un entorno de sistemas en lnea,cul de las siguientes funciones deben ser separadade las dems?

A. Originacin

B. Autorizacin

C. Registro

D. Correccin

Pregunta


126/135

En una organizacin pequea, donde la segregacin

de responsabilidades no es prctica, un empleadorealiza la funcin de operador de computadoras yprogramador de aplicaciones. Cul de los siguientescontroles debe recomendar el auditor de SI?

A. Registro automtico de cambios a las bibliotecas de desarrollo

B. Personal adicional para proveer la segregacin de tareas

C. Procedimientos que verifiquen que slo los cambios de

programa aprobados estn implementados

D. Controles de acceso para impedir que el operador hagamodificaciones a los programas

126


127/135

AUDITORIA DE LA ESTRUCTURA EIMPLEMENTACION DE GOBIERNO

DE TI

127

8. Auditora de la estructura e implementacin de gobierno de

TI


128/135

1. Actitudes desfavorables del usuario final

2. Costos excesivos

3. Presupuesto excesivo

4. Proyectos demorados

5. Rotacin elevada de personal

6. Personal inexperto

7. Errores frecuentes de Hardware / Software

8. Lista excesiva de solicitudes de usuarios en espera

9. Largo tiempo de respuesta de computadora

10. Numerosos proyectos de desarrollo abortados o

suspendidos

11. Compras de hardware / software sin soporte o sin

autorizacin

12. Frecuentes ampliaciones de capacidad de

hardware / software

13. Extensos reportes de excepciones

14. Reportes de excepciones a los que no se les dio

seguimiento

15. Poca motivacin

16. Ausencia de planes de reemplazo

17. Confianza en uno o dos miembros claves del

personal

18. Falta de entrenamiento adecuado.

128

Aunque son muchos los aspectos que preocupan al auditor de SI cuando audita el funcionamiento deSI, algunos de los indicadores mas significativos de los problemas potenciales, incluyen:

8.1 Revisin de la Documentacin


129/135

1. Las estrategias, planes y presupuestos de tecnologa de la informacin

2. La documentacin de polticas de seguridad

3. Las cuadros organizativos / funcionales (organigramas)

4. Las descripciones de los puestos de trabajo

5. Los reportes del comit de direccin

6. Los procedimientos de desarrollo de sistemas y de cambio de programas7. Los procedimientos de operaciones

8. Los manuales de recursos humanos

9. Procedimientos de aseguramiento de la calidad.

Adems, se deben estudiar los diferentes documentos revisados para determinar si:

Fueron creados como lo autoriz la gerencia y como sta quera que fueran creados.

Estn vigentes y actualizados.129

8.2 Revisin de los compromisos contractuales


130/135

Existen diferentes etapas de un contrato de hardware, software o servicio:1. Desarrollo de los requerimientos de contratacin2. Proceso de licitacin del contrato3. Proceso de seleccin del contrato4. Aceptacin del contrato5. Mantenimiento del contrato6. Cumplimiento del contrato.

Al revisar una muestra de contratos, el auditor de SI debe evaluar la adecuacinde los siguientes trminos y condiciones: Niveles de servicio Derecho a auditar o reporte de auditora de tercero Escrow de software

Penalizaciones por incumplimento Acatamiento de las polticas y procedimientos de seguridad Proteccin de informacin de cliente Proceso de cambio de contrato Terminacin de contrato y cualquier penalizacin apropiada.

130


131/135

CASO DE ESTUDIO

131

9. Caso de Estudio


132/135

A un auditor de Si se le ha pedido que revise el borrador de un contrato deoutsourcing y SLA y que recomiende cualquier cambio o seale cualquier

preocupacin antes de que stos sean presentados a la alta gerencia para suaprobacin final. El contrato incluye soporte de Windows y de la administracinde servidor UNIX y la administracin de redes a un tercero. Los servidores sernreubicados a la instalacin del outsourcer que est ubicada en otro pas, y seestablecer la conectividad usando Internet. Se aumentar la capacidad delsoftware del sistema operativo dos veces por ao, pero stos no sern entregadoen custodia. Todas las solicitudes de adicin o de eliminacin de cuentas deusuario sern procesadas dentro de 3 das hbiles. El software de deteccin deintrusos ser monitoreado continuamente por el outsourcer y el cliente notificarpor e-mail si se detectara cualquier anomala. Los nuevos empleados contratadosdentro de los ltimos tres aos estuvieron sujetos a verificaciones deantecedentes. Antes de eso, no haba polticas establecidas. Est establecida unaclusula de derecho a auditora, pero se requiere un aviso de 24 horas antes deuna visita al establecimiento. Si se encontrara que el outsourcer est en violacinde cualquiera de los trminos o condiciones del contrato, ste tendr 10 dashbiles para corregir la deficiencia. El outsourcer no tiene un auditor de SI, peroes auditado por una firma regional de contadores pblicos.

132

Pregunta


133/135

Cul de lo siguiente sera la MAYOR preocupacinpara el auditor de SI?

A. Los cambios de cuenta de usuario son procesados dentro de tres

das hbiles.

B. Se requiere un aviso con 24 horas de anticipacin para unavisita al establecimiento.

C. El outsourcer no tiene una funcin de auditora de SI.

D. El escrow (puesta en custodia) no est incluido en el contrato.

133

Pregunta


134/135

Cul de lo siguiente sera el problema MSsignificativo para resolver si los servidorescontuvieran informacin de cliente identificablepersonalmente que es accesado regularmente yactualizado por los usuarios finales?

A. El pas en el que el tercerizador o outsourcer est establecidoprohbe el uso de encripcin fuerte para los datos transmitidos.

B. El outsourcer limita su responsabilidad si toma medidasrazonables para proteger los datos de clientes.

C. El outsourcer no efectu verificaciones de antecedentes para losempleados contratados hace ms de tres aos.

D. El software de sistema slo actualiza una vez cada seis meses.

134


135/135

Universidad Don Bosco

Calle Plan del Pino ,km 1 Ciudadela Don Bosco, Soyapango

San Salvador, El Salvador, Centro Amrica(503) 2251-8200 Ext. 1722

auditoria de sistemas - modii

Documents