Sie sind auf Seite 1von 80

ISACA

Reconocida mundialmente como Lder en el gobierno, control y aseguramiento de TI

Introduction - page 1
2005 ISACA All Rights Reserved

Curso CISA 2005

Captulo 2 Administracin, Planeacin y Organizacin de los Sistemas de Informacin


Lic. Rubn Quintero Ubando, CISA
Introduction - page 2
2005 ISACA All Rights Reserved

Contenido
Estrategia de los Sistemas de Informacin
Planeacin Estratgica Comit de Seguimiento Polticas Procedimientos Poltica de seguridad de informacin Administracin de Personal
Contratacin Manual del Empleado / Manual de induccin Polticas de Promocin Entrenamiento Cronogramas y Reporte de Tiempo Evaluaciones del Desempeo de los Empleados Vacaciones Requeridas Polticas de Terminacin de Contrato Estrategias en Auditora de Outsourcing Capacidad y Planeacin del Crecimiento Satisfaccin del usuario Normas / Puntos de referencia de la Industria

Polticas y Procedimientos Prcticas de Gerencia de Sistemas de Informacin

Prcticas de Outsourcing (Acuerdos de Nivel de Servicio)


Introduction - page 3
2005 ISACA All Rights Reserved

Contenido
Prcticas de Gerencia de Sistemas de Informacin
Gerenciamiento de Cambios de TI
Prcticas de Gerencia Financiera
Los presupuestos de SI Gerencia de la Calidad

Gerencia de Seguridad de Informacin Optimizacin del desemepeo

Estructura Organizacional y Responsabilidades de SI Roles y Responsabilidades de SI


Operaciones Cintotecario Ingreso de Datos Administracin de Sistemas Administracin de Seguridad Aseguramiento de Calidad Administracin de Bases de Datos Anlisis de Sistemas Arquitectura Seguridad Programacin de aplicaciones Programacin del Sistema Administracin de Red

Introduction - page 4
2005 ISACA All Rights Reserved

Contenido
Estructura Organizativa y Responsabilidades de SI continuacin
Segregacin de Funciones dentro de SI Controles de Segregacin de Funciones
Autorizacin de transacciones Custodia de activos Acceso a los datos Formularios de autorizacin Tablas de autorizacin de usuario Controles compensatorios por falta de segregacin de funciones Estructura de la gerencia de proyectos
Administracin de proyectos organigrama ejemplo

Auditora de la Administracin, Planeacin y Organizacin de SI


Revisin de documentacin Entrevistar al personal y observar el desempeo de sus funciones Revisin de los compromisos contractuales

Introduction - page 5
2005 ISACA All Rights Reserved

Objetivos del Captulo 2


Asegurar que el Auditor de SI entienda y pueda evaluar: Estrategias, Polticas, Normas, Procedimientos y Prcticas empleadas para la administracin, planeacin y organizacin de los Sistemas de Informacin (SI)

Introduction - page 6
2005 ISACA All Rights Reserved

Aspectos que se cubrirn


1. Evaluar la estrategia y proceso para el desarrollo, implementacin y mantenimiento de los SI, para asegurar que apoyen los objetivos de negocio de la organizacin 2. Evaluar las polticas, normas y procedimientos de SI y los procesos para su desarrollo, empleo y mantenimiento para asegurar que los mismos den apoyo a la estrategia de SI 3. Evaluar las prcticas de administracin de SI para asegurar cumplimiento con las polticas, normas y procedimientos de SI 4. Evaluar la organizacin y estructura de SI para asegurar el debido y adecuado apoyo de los requerimientos de negocio de la organizacin en una forma controlada 5. Evaluar la seleccin y la administracin de servicios de terceros para asegurar que los mismos apoyen la estrategia de SI
Introduction - page 7
2005 ISACA All Rights Reserved

Planeacin Estratgica en SI
Planeacin a largo plazo (3 a 5 aos) para apalancar la mejora de los procesos de negocio, va la Tecnologa de la Informacin (TI) La alta gerencia debe identificar: Soluciones de TI eficientes en costo para resolver problemas de la organizacin Desarrollar planes de accin para identificar y adquirir los recursos necesarios Ser acorde a las metas y objetivos de la organizacin SI y Comit de Seguimiento funcin clave para su desarrollo e implementacin
8

Introduction - page 8
2005 ISACA All Rights Reserved

Comit de Seguimiento
Direccin General ... responsable de designarlo Mecanismo para asegurar que las funciones y actividades de SI, estn en armona con misin y objetivos corporativos Recomendable que el Presidente del Comit sea miembro del Consejo de Administracin, y que ste entienda los riesgos y problemas de TI Integrado por miembros de Dir. Gral., Sistemas y Usuarios Deberes y responsabilidades en documento formal Miembros deben conocer polticas, prcticas y procedimientos de SI

Introduction - page 9
2005 ISACA All Rights Reserved

Comit de Seguimiento
Miembros deben tener autoridad p/tomar decisiones p/reas respectivas Orientarse a revisar proyectos importantes No involucrarse en operaciones rutinarias Recibir informacin del Departamento SI, Usuarios y Auditora que le facilite llevar sus funciones con efectividad Mantener actas de reuniones para documentar actividades y decisiones, y para informar al Consejo de Admn.

Introduction - page 10
2005 ISACA All Rights Reserved

10

Comit de Seguimiento
Principales funciones:
Revisar planes largo y corto plazo acordes con objetivos corporativos Revisar/Aprobar adquisiciones importantes de Hw/Sw, dentro de lmites aprobados por Junta Directiva Aprobar/Monitorear proyectos de alta relevancia, establecer prioridades, aprobar normas y procedimientos Monitorear desempeo de SI y reportar sus actividades a la Junta Directiva Revisar y aprobar los planes de outsourcing (total o parcial) Servir de enlace entre rea de SI y usuarios Monitorear situacin de planes y proyectos anuales Revisar qu recursos y asignacin son adecuados en funcin de tiempo, personal y equipos Tomar decisiones sobre centralizacin vs descentralizacin y asignacin de responsabilidades Soportar el desarrollo e implementacin del programa de administracin de seguridad de la informacin
11

Introduction - page 11
2005 ISACA All Rights Reserved

Polticas y Procedimientos
Polticas
Documentos de alto nivel Filosofa corporativa y pensamiento estratgico de Propietarios del Negocio y Alta Gerencia Para ser efectivas ... Claras y concisas La Administracin ... responsable de formular, desarrollar, documentar, promulgar y controlaras Gerencia ... Responsable de asegurarse de que empleados reciban explicacin de stas y las entiendan Actualizarlas para reflejar nueva tecnologa y cambios significativos en organizacin Adems de las corporativas, los departamentos deben definir otras a un nivel ms bajo, para aplicarse a los empleados y a nivel operativo

Introduction - page 12
2005 ISACA All Rights Reserved

12

Polticas y Procedimientos
Procedimientos
Documentos detallados Derivados de la poltica correspondiente Escribirlos en forma clara y concisa ... para ser comprendidos fcil y correctamente Documentan procesos de negocio y controles integrados Ms dinmicos que las polticas ... reflejan cambios en enfoque de negocio y medio ambiente Revisarlos y actualizarlos frecuentemente Si se descuida esto, el auditor encontrar divergencia entre la prctica y el precepto
Introduction - page 13
2005 ISACA All Rights Reserved

13

Polticas y Procedimientos
Procedimientos
Los procedimientos son revisados y sus controles evaluados para: Asegurarse que los procesos de negocio son tan eficientes y prcticos como es posible y Que estos han sido comprendidos y correctamente ejecutados Los controles no se podrn identificar fcilmente o asegurar que estn en operacin, cuando hay discrepancia entre la prctica y procedimientos o cuando no estn documentados
Introduction - page 14
2005 ISACA All Rights Reserved

14

Prcticas de Gerencia de SI
Poltica de seguridad de informacin
Comunica un estndar de seguridad coherente a los usuarios, gerencia y personal tcnico Primer paso para construir una infraestructura de seguridad A menudo fijan las herramientas y procedimientos que necesita la organizacin Balancear nivel de control vs productividad La cultura organizativa jugara papel importante en su diseo e implementacin Debe ser aprobada por la alta gerencia Documentarla y comunicarla a todos los empleados y proveedores Debe ser usada por lo auditores de Ti como un marco de referencia para su trabajo, as como revisar si esta es adecuada y correcta

Introduction - page 15
2005 ISACA All Rights Reserved

15

Prcticas de Gerencia de SI
Administracin de Personal
Polticas y Procedimientos para: Contratacin Promocin Retencin Terminacin de contratos Estas impactan la calidad del personal y su desempeo

Introduction - page 16
2005 ISACA All Rights Reserved

16

Prcticas de Gerencia de SI
Administracin de Personal
Contratacin Importante para asegurar eleccin del personal ms eficiente y efectivo y para respetar requisitos legales. Incluir:
Verificacin de antecedente Acuerdos de confidencialidad Fianzas Acuerdos para conflicto de intereses Acuerdos no-competencia y exclusividad

Riesgos
Personal no adecuado para la posicin que fue reclutado No se verifican referencias Personal temporal o externo introduce riesgos difciles de controlar Falta de conciencia de requerimientos de confidencialidad comprometan ambiente de seguridad general
Introduction - page 17
2005 ISACA All Rights Reserved

17

Prcticas de Gerencia de SI
Administracin de Personal
Manual del Empleado (Induccin) Distribuirlo cuando se contrata. Incluir:
Polticas y procedimientos de seguridad Expectativas de la compaa Beneficios para empleados Polticas de vacaciones y das feriados Reglas de tiempo extra / horarios Contratacin externa Evaluaciones del desempeo Acciones disciplinarias (ausencias excesivas, violacin de confidencialidad o seguridad, incumplimiento de polticas) Cdigo de conducta (tica)

Introduction - page 18
2005 ISACA All Rights Reserved

18

Prcticas de Gerencia de SI
Administracin de Personal
De Promocin Ser justas y comprendidas por empleados Basada en criterios objetivos y considerar desempeo, entrenamiento, experiencia y nivel de responsabilidad Asegurarnos de que existan y que se ajusten a stas

Introduction - page 19
2005 ISACA All Rights Reserved

19

Prcticas de Gerencia de SI
Administracin de Personal
Entrenamiento Recibirlo sobre bases justas y regulares Para cubrir experiencia y conocimientos En SI ... Indispensable por ritmo de cambios Promueve uso ms efectivo y eficiente de recursos Fortalece moral del empleado Abarcar Alta Direccin, Administracin y Tcnicos Entrenamiento cruzado (back-up personal clave, disminuir dependencia, plan de sucesin) Evaluar riesgo de que un empleado conozca varias partes de un sistema/proceso

Introduction - page 20
2005 ISACA All Rights Reserved

20

Prcticas de Gerencia de SI
Administracin de Personal
Cronogramas Promueven mejor uso de los recursos de TI Reporte de Tiempos Permite a la Gerencia monitorear desarrollo del proceso Indicador que ayude a determinar si el personal es el adecuado

Introduction - page 21
2005 ISACA All Rights Reserved

21

Prcticas de Gerencia de SI
Administracin de Personal
Evaluacin del Desempeo de los Empleados Debe ser norma habitual para personal de SI Gerente y empleados ... fijar metas de comn acuerdo Proceso Objetivo y Neutral ... si evaluacin es vs metas acordadas Base para aumentos, bonificaciones, promociones Aprovechar p/calibrar aspiraciones, satisfaccin del empleado e identificar problemas
Introduction - page 22
2005 ISACA All Rights Reserved

22

Prcticas de Gerencia de SI
Administracin de Personal
Vacaciones Requeridas
Una vez al ao, alguien har una funcin de trabajo que normalmente no hace (visin de control) Reduce posibilidades de actos indebidos o ilegales Posibilidad de descubrir actividad irregular (si no hay colusin)

Rotacin del Trabajo


Control para que alguien, que no realiza regularmente un trabajo, detecte irregularidades (actos indebidos, maliciosos o fraudulentos)

Introduction - page 23
2005 ISACA All Rights Reserved

23

Prcticas de Gerencia de SI
Administracin de Personal
Polticas de Terminacin
Pasos para la separacin de empleados y proteccin adecuada de activos, sobre todo: informacin Incluir:
Terminacin voluntaria e involuntaria (despidos inmediatos) Escoltar al empleado Devolucin de llaves/tarjetas de acceso fsico Eliminar logon IDs y contraseas Notificar al resto del personal y a Seguridad Pagos finales p/eliminarlo de plantilla vigente Entrevista de terminacin Devolucin de bienes de la empresa

Introduction - page 24
2005 ISACA All Rights Reserved

24

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Acuerdo contractual para entregar a un tercero, parte o todas las funciones Indispensable administracin efectiva de acuerdos contractuales Honorarios y nivel de servicios definidos en contrato El tercero proporciona recursos, experiencia y conocimientos p/realizar el servicio acordado Estar conscientes de los riesgos asociados Meta principal ... Mejora duradera y significativa en SI, sacando provecho de las capacidades del externo

Introduction - page 25
2005 ISACA All Rights Reserved

25

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Principales razones:
Enfocarse a las actividades centrales Mrgenes de ganancia Aumentar competencia reduciendo costos Flexibilidad respecto organizacin y estructura Captura datos Diseo y desarrollo Mantenimiento de aplicaciones Conversin de aplicaciones Help Desk Call Center Centro de proceso de datos
Introduction - page 26
2005 ISACA All Rights Reserved

Servicios contratados pueden incluir:

26

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Ventajas:
Economas de escala va sw reutilizable Outsourcer se dedica ms tiempo y concentrarse efectiva y eficientemente en un proyecto vs personal de planta Outsourcer tienen ms experiencia con un conjunto ms amplio de problemas, aspectos y tcnicas vs personal de planta La existencia de un contrato, puede generar mejores especificaciones vs desarrollada internamente Errores sustancialmente menores porque los outsourcer son ms sensibles a los cambios/modificaciones que absorben tiempo

Introduction - page 27
2005 ISACA All Rights Reserved

27

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Desventajas:
Costos exceden expectativas del cliente Se pierde experiencia interna en el rea de SI Se pierde control sobre el rea de SI Falla del proveedor Acceso limitado al producto Dificultad para cambiar acuerdos/contratos Deficiente cumplimiento de requerimientos legales

Introduction - page 28
2005 ISACA All Rights Reserved

28

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Contratar un Outsourcing exige que la Gerencia revise el marco de control en el que puede confiar No es slo una decisin de costo, tambin estratgica Tiene muchas implicaciones de control
Calidad en el servicio Garantas de continuidad del servicio Procedimientos de control Ventaja competitiva Conocimientos tcnicos Estrategia a Largo Plazo ? Compatibilidad con cultura
Introduction - page 29
2005 ISACA All Rights Reserved

29

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Acuerdos de nivel de servicio (SLA) importante para calidad y cooperacin futura
Medios contractual para administrar recursos de informacin bajo control de un proveedor Estipulan y comprometen al proveedor Garantizar un nivel mnimo de desempeo y un nivel especfico de soporte Reglamentan penas y sanciones Instrumento de control Outsourcer de otro pas ? conciente de la legislacin transfronteriza

Introduction - page 30
2005 ISACA All Rights Reserved

30

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Riesgos de negocio asociados al Outsourcing:
Costos ocultos Incumplimiento de acuerdos Costo del servicio no competitivo a lo largo del contrato Sistemas del proveedor obsoletos

Que el poder se site en el proveedor

Introduction - page 31
2005 ISACA All Rights Reserved

31

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Cmo se puede reducir los riesgos de negocio asociados al Outsourcing?:
Establecer metas y retribuciones de sociedad compartida medibles Utilizar ms de un proveedor Retener una parte del negocio como un incentivo Formar un equipo de funciones cruzadas de administracin del contrato Establecer mtricas o indicadores de desempeo Revisiones peridicas Establecer tendencias de carcter competitivo Implementar contratos de corta duracin Tratar la propiedad de los datos en el contrato Clusulas de confidencialidad Exigir medidas y cumplimiento legal del nivel de seguridad

Introduction - page 32
2005 ISACA All Rights Reserved

32

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Los contratos deben incluir la descripcin de negociacin del medio, mtodos, procesos, estructura y control de calidad Algunas de las preocupaciones de Auditoria:
El contrato debe proteger a la compaa Derecho de auditar las operaciones del proveedor Ofrecer continuidad del servicio en caso de desastre Integridad, confidencialidad y disponibilidad de datos de empresa Falta de lealtad con el cliente / descontento con el arreglo Control acceso/Admn. seguridad controlado por proveedor Control de cambios y pruebas controlado por el proveedor Reportes de violacin y seguimiento controlado por proveedor Red controlada por el proveedor Administracin del desempeo controlado por proveedor
33

Introduction - page 33
2005 ISACA All Rights Reserved

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Estrategias en Auditora de Outsourcing
Solicitar peridicamente un reporte de auditora de un tercero
Garanta sobre los controles implementados Abarque problemas relacionados con confidencialidad, disponibilidad e integridad de datos

Revisin peridica por un auditor interno

Introduction - page 34
2005 ISACA All Rights Reserved

34

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Capacidad y Planeacin del crecimiento
Dada la importancia estratgica de la TI y sus constantes cambios:
Planear la capacidad y el crecimiento en TI es esencial Refleja planes a corto y largo plazo Considerar esto al elaborar el presupuesto de SI

Introduction - page 35
2005 ISACA All Rights Reserved

35

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Satisfaccin del Usuario
Satisfacer requerimientos del usuario ... Indispensable para asegurar una operacin efectiva de procesamiento de informacin SI ... acordar un nivel de servicio con usuarios (disponibilidad o tiempo de distribucin del producto) Auditar peridicamente cumplimiento del nivel de servicio

Introduction - page 36
2005 ISACA All Rights Reserved

36

Prcticas de Gerencia de SI
Prcticas de Outsourcing
Normas / Puntos de referencia de la Industria
Referencias que ayudan a determinar el nivel de desempeo en ambientes similares de TI Pueden ser obtenidas de los proveedores, publicaciones de la industria y asociaciones profesionales

Introduction - page 37
2005 ISACA All Rights Reserved

37

Prcticas de Gerencia de SI
Gerenciamiento de cambios de TI
Administrarlos mediante un proceso definido y documentado Identificar y aplicar mejoras en infraestructura y aplicaciones Mantenerse a la vanguardia para introducir mejoras significativas en los procesos de negocio

Introduction - page 38
2005 ISACA All Rights Reserved

38

Prcticas de Gerencia de SI
Prcticas de Gerencia Financiera
Elemento crtico en todas las funciones del negocio Un esquema de pagos del usuario (Chargeback) ayuda a mejorar la aplicacin y monitoreo de recursos limitados Los costos de personal, tiempo mquina y otros se cargan a los usuarios, de acuerdo a una frmula Herramienta para medir efectividad y eficiencia del servicio brindado El presupuesto permite pronosticar, monitorear y analizar la informacin financiera, y asignar recursos adecuadamente

Introduction - page 39
2005 ISACA All Rights Reserved

39

Prcticas de Gerencia de SI
Gerenciamiento de la Calidad
Medio para controlar los procesos (conjunto de tareas que cuando son realizadas debidamente, producen resultados deseados) Areas de SI que pueden requerir administrar su calidad:
Desarrollo, mantenimiento e implementacin de SW Adquisicin de HW y SW Operacin diaria Seguridad Administracin de recursos humanos Administracin general

Introduction - page 40
2005 ISACA All Rights Reserved

40

Prcticas de Gerencia de SI
Gerenciamiento de la Calidad
Desarrollar y mantener procedimientos definidos y documentados es evidencia de un gobierno efectivo de los recursos de TI Las normas de calidad se estn usando cada vez ms para asistir a las empresas para lograr un entorno operativo predecible, mesurable, repetible y certificado La Organizacin Internacional para la Estandarizacin proporciona los estndares ms reconocidos y aceptados:
ISO 9001:2000 ISO 9126 (calidad de productos de sw)

Introduction - page 41
2005 ISACA All Rights Reserved

41

Prcticas de Gerencia de SI
Gerenciamiento de la Calidad
Las reas cuyas funciones deben ser pueden ser revisadas son:
Operaciones Software del sistema Adquisicin y mantenimiento de hw y sw Software de aplicacin Reporte de Gerencia Seguridad fsica y lgica Planeacin a corto y largo plazo Reporte de tiempos Administracin de recursos humanos
42

Introduction - page 42
2005 ISACA All Rights Reserved

Prcticas de Gerencia de SI
Gerenciamiento de la Calidad
ISO 9001:2000
Manual de Calidad: Clusula 4.2.2. Establecer y mantener un manual de calidad, con procedimientos documentados Recursos Humanos: Clusula 6.2. El personal que realiza los trabajos que afecten la calidad, deben ser competentes sobre bases de educacin, entrenamiento, habilidades y experiencia Compras: Clusula 7.4. Fuerte control sobre las compras, evaluando al proveedor, usando procesos definidos y documentados

Introduction - page 43
2005 ISACA All Rights Reserved

43

Prcticas de Gerencia de SI
Gerencia de Seguridad de Informacin
Funcin rectora para garantizar que la informacin y los recursos de procesamiento estn debidamente protegidos Implementar un programa de seguridad de TI a nivel organizacin que incluya un Plan de Continuidad del Negocio y Plan de Recuperacin de Desastres

Optimizacin del desempeo


Proceso dinmico Ambiente complejo y cambiante Los sistemas tradicionales pueden dar seales equivocadas Hay muchas variables que afectan el desempeo Fases genricas de medicin del desempeo:
1. 2. 3. 4. Establecer y actualizar las medidas Establecer responsabilidades de las medidas Recolectar y analizar los datos del desempeo Reportar y usar la informacin

Introduction - page 44
2005 ISACA All Rights Reserved

44

Prcticas de Gerencia de SI
Optimizacin del desempeo
Las advertencias sobre las medidas de desempeo incluyen:
Error de medicin. Las medidas convencionales no dan cuenta de los datos y resultados Retrasos. Tiempo entre la ejecucin del gasto y el reconocimiento del beneficio, no debidamente reportados en las medidas corrientes Redistribucin. La TI se utiliza para redistribuir la fuente de los costos en las empresas; no hay diferencia en el producto total, slo en el medio de obtenerlo Mala administracin. La falta de medidas explcitas del valor de la informacin, lo hacen vulnerable a una asignacin equivocada y a consumo excesivo de los gerentes

Hay 5 usos de las medidas de desempeo:


Medir productos y servicios Administrar productos y servicios Asegurar la responsabilidad Tomar decisiones de presupuesto Optimizar el desempeo
Introduction - page 45
2005 ISACA All Rights Reserved

45

Estructura Organizacional y Responsabilidades de SI


Gerente de TI o CIO

Seguridad y Control

Aplicaciones

Datos

Soporte Tcnico

Operaciones

Administrador de Seguridad y Control de Calidad

Desarrollo / Administracin de Soporte

Administrador de Datos / Administrador De B.D.

Administrador de Soporte Tcnico

Administrador de Operaciones

Programadores y Analistas de Aplicaciones

Administrador de Redes Administrador de Sistemas

Programadores y Analistas de Sistemas

Cintotecario Operador de Computadora / Captura de datos


46

Introduction - page 46
2005 ISACA All Rights Reserved

Estructura Organizacional y Responsabilidades de SI

Roles y Responsabilidades de SI Organigramas elementos importantes Empleados deben conocerlos Describen la jerarqua y autoridad del departamento La descripcin de puestos brindan orientacin sobre roles y responsabilidades Determinar si la descripcin de tareas y estructura son adecuadas

Introduction - page 47
2005 ISACA All Rights Reserved

47

Estructura Organizacional y Responsabilidades de SI


Operaciones
Instalacin de Procesamiento de Informacin Personal para operar equipos eficiente y efectivamente C omputadora, perifricos, medios magnticos y datos almacenados Impacta en la capacidad de la empresa para funcionar eficazmente Acceso slo a personal autorizado Controles administrativos
Seguridad Fsica Seguridad de datos Controles de procesamiento

Grupo de Control
Recolecta, convierte y controla ingreso de datos Balance y distribucin de resultados a usuarios rea restringida ya que se manejan datos sensitivos

Introduction - page 48
2005 ISACA All Rights Reserved

48

Estructura Organizacional y Responsabilidades de SI

Cintotecario
Registrar, emitir, recibir y custodiar programas y datos mantenidos en dispositivos de almacenamiento (cartuchos, cintas, discos) Pueden usar sw de ayuda para inventario y manejo de dispositivos Controla versiones de programas y administra la configuracin de programas

Introduction - page 49
2005 ISACA All Rights Reserved

49

Estructura Organizacional y Responsabilidades de SI

Ingreso de Datos
Esquema menos frecuente:
Recibir documentos fuente y asegurar su custodia hasta terminar el procesamiento, para devolverlos juntos con resultados Preparar lotes de documentos con cifras control Preparar cronogramas y trabajos para procesar datos Verificar, registrar y distribuir resultados, cuidando los confidenciales

Ahora los usuarios ingresan sus datos; en ambientes en lnea stos se generan desde la fuente original Gerente responsable de que los datos estn autorizados, sean correctos y estn completos
Introduction - page 50
2005 ISACA All Rights Reserved

50

Estructura Organizacional y Responsabilidades de SI

Soporte Tcnico
Responsable de los programadores de sistemas que mantienen el software del sistema

Introduction - page 51
2005 ISACA All Rights Reserved

51

Estructura Organizacional y Responsabilidades de SI

Administracin de Sistemas
Responsable de mantener los sistemas de cmputo de ambientes multiusuario, incluyendo LANs Sus deberes incluyen:
Agregar y configurar nuevas estaciones de trabajo Establecer cuentas de usuarios Instalar sw general del sistema Prevenir, detectar y corregir divulgacin de virus Asignar espacio de almacenamiento masivo

Introduction - page 52
2005 ISACA All Rights Reserved

52

Estructura Organizacional y Responsabilidades de SI

Administracin de Seguridad
Comienza con el compromiso de la alta gerencia Esta debe entender y evaluar los riesgos y desarrollar y ejecutar una poltica escrita que establezca con claridad las normas y procedimientos Asegurar que los usuarios cumplan las polticas corporativas de seguridad y que los controles son adecuados para prevenir accesos no autorizados

Introduction - page 53
2005 ISACA All Rights Reserved

53

Estructura Organizacional y Responsabilidades de SI

Administracin de Seguridad
Funciones principales:
Mantener reglas de acceso a datos y dems recursos de TI Mantener seguridad y confidencialidad sobre el otorgamiento y mantenimiento de las claves de usuario y contraseas Monitorear violaciones de seguridad y tomar acciones correctivas Revisar y evaluar peridicamente polticas y sugerir cambios Preparar y monitorear el programa de conciencia de seguridad para empleados Probar arquitectura de seguridad para evaluar fortalezas y detectar amenazas

Introduction - page 54
2005 ISACA All Rights Reserved

54

Estructura Organizacional y Responsabilidades de SI

Aseguramiento de Calidad
Aseguramiento de Calidad (QA) Asegurar que personal de SI sigue procesos de calidad establecidos Programas y documentacin se adhieran a estndares y convenciones de nombres Control de Calidad (QC) Pruebas y revisiones para verificar que el sw est libre de defectos y cubre expectativas del usuario Hacerse durante las etapas del desarrollo y forzosamente antes de liberarlo a produccin Grupo independiente para cumplir con funcin efectivamente No depender del rea de desarrollo

Introduction - page 55
2005 ISACA All Rights Reserved

55

Estructura Organizacional y Responsabilidades de SI

Administracin de Base de Datos


Custodia informacin de la organizacin Define y mantiene la estructura de los datos en el sistema corporativo de BD Debe comprender a la empresa, datos de usuario y las relaciones de estos Responsable de la seguridad y clasificacin de la informacin de los datos compartidos, almacenados en los sistemas de BD Responsable del diseo real, definicin y mantenimiento de las BD corporativas

Introduction - page 56
2005 ISACA All Rights Reserved

56

Estructura Organizacional y Responsabilidades de SI

Administracin de Base de Datos


Funciones principales:
Especificar la definicin fsica de los datos y cambiarla para su mejor desempeo Seleccionar e implementar herramientas de optimizacin de la BD Probar y evaluar las herramientas de programadores Dar soporte tcnico a programadores sobre estructura de la BD Implementar controles de definicin, acceso, actualizacin y concurrencia Monitorear el uso, recopilar estadsticas de desempeo y ajustar la BD Definir e iniciar los procedimientos de respaldo y recuperacin

Introduction - page 57
2005 ISACA All Rights Reserved

57

Estructura Organizacional y Responsabilidades de SI

Administracin de Base de Datos


Debido a que el DBA tiene:
Herramientas para establecer controles sobre la DB Capacidad de ignorarlos Capacidad de accesar todos los datos

Se debe establecer un control estricto sobre su funcin, mediante:


Separacin de funciones Aprobacin de Gerencia de sus actividades Revisin de registros de acceso por un supervisor Controles de deteccin sobre el uso de las herramientas de la BD

No es conveniente limitarles el acceso por eso se usan controles compensatorios

Introduction - page 58
2005 ISACA All Rights Reserved

58

Estructura Organizacional y Responsabilidades de SI

Analista de Sistemas
Disean sistemas basados en las necesidades del usuario Participan durante la fase inicial del proceso de desarrollo Interpretan las necesidades del usuario y desarrollan los requerimientos y especificaciones funcionales y documentos de alto nivel base para los programadores

Introduction - page 59
2005 ISACA All Rights Reserved

59

Estructura Organizacional y Responsabilidades de SI

Arquitectura de Seguridad
Evalan la tecnologa de seguridad Disean permetro, control de accesos, administracin de usuarios y otros sistemas Establecen polticas y requerimientos de seguridad Aunque pudiera tener el mismo rol que el analista de sistemas, las habilidades y conocimientos son totalmente diferentes

Introduction - page 60
2005 ISACA All Rights Reserved

60

Estructura Organizacional y Responsabilidades de SI

Programadores de Aplicaciones
Desarrollar nuevos sistemas y mantenerlos en produccin Trabajar slo en ambientes de prueba, no pueden tener acceso al ambiente productivo Entregar su trabajo a otra rea para que los implante

Introduction - page 61
2005 ISACA All Rights Reserved

61

Estructura Organizacional y Responsabilidades de SI

Programadores de Sistemas
Mantener el software del sistema, incluyendo el S.O. Tienen acceso irrestricto a todo el sistema Monitorear de cerca sus actividades Deben llevar registro de su trabajo Slo deben tener acceso a las bibliotecas del sw del sistema que mantienen

Introduction - page 62
2005 ISACA All Rights Reserved

62

Estructura Organizacional y Responsabilidades de SI Administracin de Red


Hay empresa que adems de su Instalacin de Procesamiento de Datos (IPF), hacen un uso extensivo de LANs, WANs e INALAMBRICAS Crecimiento de Internet ha intensificado esta tendencia Los IPF deben manejar ahora activos de TI adicionales (servidores, firewalls, servidores proxy, routers, switches y amplia gama de sw) Las redes dispersas geogrficamente, pueden tener administradores especficos y depender del Gerente de SI o de alguna rea usuaria (depende del esquema de control) Responsable de:
Control tcnico y administrativo Correcto funcionamiento de enlaces Copias de seguridad del sistema Compras autorizadas del Sw y Hw, as como de su correcta instalacin Y en algunos caso, tambin de la seguridad

Introduction - page 63
2005 ISACA All Rights Reserved

63

Segregacin de Funciones dentro de TI


Puestos y organigrama pueden variar entre empresas El auditor deber determinar la relacin entre las funciones, responsabilidad y autoridad Evita que una sola persona pueda ser responsable de funciones diversas y crticas Evita que se cometan errores o apropiaciones indebidas difciles de detectar Prevenir y disuadir actos fraudulentos o maliciosos Se puede restringir acceso a: La computadora, Biblioteca de datos de produccin, Programas de produccin, Documentacin de programas, Sistema Operativo y utileras Reduce el dao potencial por acciones de personas En empresas pequeas, debe haber controles compensatorios, para mitigar el riesgo de no tener esta segregacin

Control Compensatorio = Controles Internos que reducen el riesgo de


una debilidad de control

Introduction - page 64
2005 ISACA All Rights Reserved

64

Matriz de Control de Segregacin de Funciones

Gpo Cnt Ana Sis Prog Apl Help Desk Usua Fin Ing Dat Oper Com Adm BD Adm Red Adm Sis Adm Seg Gpo Cnt Ana Sis Prog Apl Help Desk Usua Fin Ing Dat Oper Com Adm BD Adm Red Adm Sis Adm Seg Cint Prog Sis Cnt Cal X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X

Cint Prog Sis Cnt Cal X X X X X X X X X X X

X X X

X X X

X X X X X X X X X X

X X X X X X

X X X

X X X X

X = Combinacin de estas funciones puede crear una debilidad potencial de control


Esta matriz de control es slo una gua
Introduction - page 65
2005 ISACA All Rights Reserved

65

Segregacin de Funciones dentro de TI


Controles
Autorizacin de Transacciones
Responsabilidad del usuario Relacionada con el nivel particular de responsabilidad

Custodia de Activos
Determinar y asignar debidamente Propiedad de datos asignada a un usuario El propietario asignar niveles de autorizacin

Acceso a los Datos Ambiente fsico para impedir acceso no autorizado a equipos y datos Seguridad de sistema y aplicaciones son capas adicionales para impedir acceso a datos Conexiones externas es preocupacin creciente desde Internet

Introduction - page 66
2005 ISACA All Rights Reserved

66

Segregacin de Funciones dentro de TI


Controles
Formularios de Autorizacin
Formularios de autorizacin para definir derechos de acceso de los empleados Papel o Electrnicos Ser debidamente evidenciados con aprobacin de Gerencia Usar catlogo de firmas para cotejarlas Privilegios de acceso revisados periodicamente (actualizados y apropiados) Con base en los formularios de autorizacin, definir quin est autorizado para actualizar, modificar, eliminar y revisar datos A nivel sistema, transaccin o campo Protegerlas contra acceso no autorizado, va contraseas o encripcin Registrar la actividad de todos los usuarios e investigar lasa excepciones

Tablas de Autorizacin de Usuario


Introduction - page 67
2005 ISACA All Rights Reserved

67

Segregacin de Funciones dentro de TI


Controles compensatorios
Pistas de Auditoria Ayudan a SI y Auditoria a trazar el flujo de una transaccin, desde originen hasta actualizacin Pueden ser un control compensatorio aceptable en caso de ausencia de separacin de funciones Permitir identificar quin inici la transaccin, hora, fecha, tipo de ingreso, campos de informacin contenida y archivos que actualiz Conciliacin Tambin responsabilidad del usuario A veces, el Grupo de Control puede realizarlas de manera limitada va cifras control Aumenta nivel de confianza sobre el proceso exitoso de una aplicacin y el correcto balance de los datos

Introduction - page 68
2005 ISACA All Rights Reserved

68

Segregacin de Funciones dentro de TI


Controles compensatorios
Reporte de Excepcin Supervisarlo y dejar evidencia de su revisin Asegurarse de que fue tratada debidamente y corregida oportunamente Registros de transacciones (logs) Manual o automtico Revisiones de supervisin Atravs de observacin, investigacin o a distancia Revisiones independientes Para compensar errores o fallas en los procedimientos prescritos Cuando las funciones no pueden ser segregadas debidamente

Introduction - page 69
2005 ISACA All Rights Reserved

69

Estructura de la Gerencia de Proyectos


Un proyecto puede ser iniciado desde cualquier parte de la organizacin Es un esfuerzo de una sola vez Con objetivo o producto y fechas especficas Clasificados segn su prioridad El gerente no necesitar ser de TI Debe tener control total y asignarle los recursos apropiados Los auditores de TI pueden ser asesores en control. Pueden hacer revisin independiente y objetiva para asegurar nivel de dedicacin de los involucrados

Introduction - page 70
2005 ISACA All Rights Reserved

70

Estructura de la Gerencia de Proyectos


Gerente Patrocinador del Proyecto

Comit
Gerencia del Usuario Gerente del Proyecto

Control de Calidad

Desarrollo de Sistemas

Usuarios

Infraestructura Tcnica

Oficial de Seguridad

Aplicacin / Anlisis de Sistemas

Programadores

Usuarios Claves

Soporte de Software

Soporte de Hardware

Soporte de Red

Introduction - page 71
2005 ISACA All Rights Reserved

71

Auditoria de la Administracin, Planeacin y Organizacin de SI


Algunos indicadores de problemas potenciales en la Instalacin de Procesamiento de Informacin Actitudes desfavorables del usuario final Costos excesivos Proyectos demorados Rotacin elevada Personal inexperto Errores frecuentes en Hw y Sw Lista excesiva de espera de solicitudes de usuarios Tiempo de respuesta del computador demorado

Introduction - page 72
2005 ISACA All Rights Reserved

72

Auditoria de la Administracin, Planeacin y Organizacin de SI


Problemas potenciales continuacin Numerosos proyectos de desarrollo abortados o suspendidos Compras de Hw/Sw sin soporte o no autorizadas Frecuentes ampliaciones de capacidad de Hw/Sw Reportes de excepciones extensos Reportes de excepciones a los que no se le dio seguimiento Poca motivacin Ausencia de planes de reemplazo Confianza de uno o dos miembros claves del personal Falta de entrenamiento adecuado

Introduction - page 73
2005 ISACA All Rights Reserved

73

Auditoria de la Administracin, Planeacin y Organizacin de SI


Revisin de Documentacin
Las Estratgias, Planes y Presupuestos de TI son evidencia de PLANEACION Y CONTROL sobre ambiente de SI Las Polticas de Seguridad provee la norma para cumplir Establece la posicin de la empresa respecto a los riesgos de seguridad Debe identificar quin es el responsable de la salvaguarda de todos los activos de TI Establecer medidas preventivas para protegerlos y las acciones contra los transgresores Es un documento confidencial El Organigrama (cuadros organizativos de funcionamiento) Proveen entendimiento de lneas de subordinacin Ilustran la divisin de responsabilidades y el grado de segregacin de funciones

Introduction - page 74
2005 ISACA All Rights Reserved

74

Auditoria de la Administracin, Planeacin y Organizacin de SI Revisin de Documentacin


La Descripcin de Puestos Definen funciones y responsabilidades de cada cargo Proveen la capacidad de agrupar los puestos similares en categora para comprender las cargas de trabajo Indican el grado segregacin de funciones y ayudan a identificar funciones de posible conflicto Evaluar que la subordinacin est basada en conceptos correctos del negocio y no afecten la segregacin de funciones Los Reportes del Comit de Seguimiento dan informacin sobre los nuevos proyectos. Son revisados por la alta gerencia y divulgados entre las unidades de negocio

Introduction - page 75
2005 ISACA All Rights Reserved

75

Auditoria de la Administracin, Planeacin y Organizacin de SI


Revisin de Documentacin
Los Procedimientos de Desarrollo de Sistemas y De Cambio de Programas, proveen un marco de cmo se deben estar realizando Los Procedimientos de Operaciones describen sus responsabilidades Los Manuales de Recursos Humanos proveen la reglamentacin de cmo se espera que se conduzcan Procedimientos de aseguramiento de calidad, proveen marco y estndares que pueden ser seguidos por TI De los documentos revisados, determinar: Creados como lo solicit y autoriz la Gerencia? Vigentes y actualizados?

Introduction - page 76
2005 ISACA All Rights Reserved

76

Auditoria de la Administracin, Planeacin y Organizacin de SI Entrevistar y Observar al Personal en el Desempeo de sus Funciones
Hacerlo ayuda a identificar: Verdaderas Funciones La persona que en realidad hace el trabajo, es la responsable y autorizada Oportunidad de ser testigo de cmo se entienden y prcticas las polticas y procedimientos

Procesos / Procedimientos reales


Permite obtener evidencia de cumplimiento y observar desviaciones Conciencia de la Seguridad Para verificar el entendimiento y la prctica de las medidas preventivas y de deteccin para salvaguardar activos y datos Relaciones de Subordinados Para asegurar que las responsabilidades y separacin de funciones son adecuadas y puestas en prctica

Y en general, para saber si el personal cuenta con habilidades requeridas para su trabajo; factor importante para una operacin efectiva y eficiente.
Introduction - page 77
2005 ISACA All Rights Reserved

77

Auditoria de la Administracin, Planeacin y Organizacin de SI Revisin de los Compromisos Contractuales


Las etapas para los contratos de Hw y Sw incluyen:
Desarrollo de los requerimientos de contratacin Proceso de licitacin Proceso de seleccin Aceptacin Mantenimiento Cumplimiento

Cada etapa respaldada por documentacin legal Sujeto a autorizacin de la Gerencia, quin debe estar involucrado en el proceso Revisin oportuna de una muestra de contratos para comprobar su cumplimiento

Introduction - page 78
2005 ISACA All Rights Reserved

78

Captulo 2 = 11% del Examen


15% 16% 10% 11%

13% 10% 25%

(Aproximadamente 22 preguntas - 26 minutos del examen)


Introduction - page 79
2005 ISACA All Rights Reserved

79

Lic. Rubn Quintero Ubando, CISA


Subdirector en el rea de TI Bansefi PMO Proyecto Integra-T Tels. 5481-3333, 5270-5163, 04455-1952-2001 rquintero@bansefi.gob.mx

Introduction - page 80
2005 ISACA All Rights Reserved

80