Sie sind auf Seite 1von 135

SEMINARIO

AUDITORA DE SISTEMAS:
GOBIERNO DE TI

23 y 24 de Febrero de 2015
Jos Andrs Hernndez,
CISA

Leonardo Castillo,
CISA

INDICE

1. GOBIERNO CORPORATIVO
2. PRACTICAS DE MONITOREO Y ASEGURAMIENTO PARA LA JUNTA Y
LA GERENCIA EJECUTIVA
1.
2.
3.
4.
5.

Mejores prcticas para el gobierno de TI


Comit de Estrategia de TI
Balanced Scorecard Estndar de TI
Gobierno de Seguridad de la Informacin
Arquitectura de Empresa

3. ESTRATEGIA DE SISTEMAS DE INFORMACIN


1.
2.

Planeacin Estratgica
Comit de Direccin

4. POLTICAS Y PROCEDIMIENTOS
1.
2.

Polticas
Procedimientos

INDICE

5. ADMINISTRACIN DEL RIESGO


1.
2.
3.

Desarrollo de un programa de Administracin del Riesgo


Procedimientos de Administracin de Riesgos
Mtodos de Anlisis del Riesgo

6. PRCTICAS DE GERENCIA DE SISTEMAS DE INFORMACIN


1.
2.
3.
4.
5.
6.
7.

Administracin del Personal


Prcticas de Sourcing
Gerencia de Cambios Organizacionales
Prcticas de Gerencia Financiera
Gerencia de Calidad
Gerencia de Seguridad de Informacin
Optimizacin del Desempeo

INDICE

7. ESTRUCTURA ORGANIZACIONAL Y REPONSABILIDADES DE SI


1.
2.
3.

Roles y responsabilidades de SI
Segregacin de Funciones dentro de SI
Controles de Segregacin de Funciones

8. AUDITORA DE LA ESTRUCTURA E IMPLEMENTACIN DE


GOBIERNO DE TI
1.
2.

Revisin de Documentacin
Revisin de los compromisos contractuales

9. CASO DE ESTUDIO

Introduccin
Cada vez ms, la alta direccin de las organizaciones se est dando cuenta de las
importantes repercusiones que puede tener TI en el xito de la empresa. La
direccin necesita tener una mayor comprensin de la forma en que se opera TI y
que aumente la probabilidad de xito cuando decide impulsarla para la obtencin
de ventajas competitivas.
Tanto las mesas directivas como la direccin ejecutiva, necesitan ampliar el gobierno
corporativo a TI y proporcionar el liderazgo, las estructuras organizativas y los
procesos que garanticen que la TI de la empresa sostiene y propaga las estrategias y
objetivos de la empresa. El gobierno de TI no es una disciplina aislada, sino que es
parte integrante del gobierno corporativo global de la empresa. Los accionistas y las
principales partes ms interesadas en la gestin de las empresas (denominados
stakeholders), conforman un grupo cada vez ms capacitado y asertivo preocupado
por la buena gestin de sus intereses. Esto ha dado lugar a la aparicin de los
principios y las normas para el gobierno corporativo de la empresa.
El conocimiento del Gobierno de TI es fundamental para el trabajo del auditor de IS.
El mismo constituye la base para el desarrollo de prcticas saludables de control y
mecanismos para la supervisin y revisin de la administracin.
5

Introduccin
9 TAREAS FUNDAMENTALES

Evaluar la efectividad de
la estructura de
gobierno de TI para
determinar si las
decisiones, las
direcciones y el
desempeo de TI
respaldan las
estrategias y los
objetivos de la
organizacin.

Introduccin

Evaluar la estructura
organizativa de TI y la
gestin de Recursos
Humanos (personal),
para determinar si
respaldan las
estrategias y los
objetivos de la
organizacin.

Introduccin

Evaluar la estrategia de
TI, incluyendo la
direccin de TI y los
procesos para el
desarrollo, la
aprobacin, la
implementacin y el
mantenimiento de la
estrategia para que est
alineada con las
estrategias y los
objetivos de la
organizacin
8

Introduccin

Evaluar las polticas, los


estndares y los
procedimientos de TI de
la organizacin y los
procesos para su
desarrollo, aprobacin,
implementacin,
mantenimiento y
monitoreo a fin de
determinar si respaldan
la estrategia de TI y
cumplen con los
requerimientos legales y
regulatorios.
9

Introduccin

Evaluar la adecuacin
del sistema de gestin
de calidad para
determinar si respalda
las estrategias y los
objetivos de la
organizacin de forma
rentable.

10

Introduccin

Evaluar la gestin de TI
y el monitoreo de
controles (por ejemplo,
monitoreo continuo,
aseguramiento de
calidad [QA]) para
determinar si cumplen
con las polticas, los
estndares y los
procedimientos de la
organizacin.

11

Introduccin

Evaluar las prcticas de


inversin, uso y
asignacin de los
recursos de TI,
incluyendo criterios de
priorizacin, para
determinar si estn
alineados con las
estrategias y los
objetivos de la
organizacin.

12

Introduccin

Evaluar las
estrategias y
polticas de
contratacin de TI y
las prcticas de
gestin de contratos
para determinar si
respaldan las
estrategias y los
objetivos de la
organizacin

13

Introduccin

Evaluar las
prcticas de
gestin de
riesgos, para
determinar si los
riesgos de la
organizacin
relacionados con
TI, se gestionan
adecuadamente.

14

Introduccin

10

Evaluar las prcticas


de monitoreo y
aseguramiento para
determinar si el
consejo de direccin
y la alta direccin
reciben informacin
suficiente y
oportuna sobre el
desempeo de TI.

15

GOBIERNO
CORPORATIVO

16

1. Gobierno Corporativo
Es el conjunto de principios y tcnicas destinadas a mejorar la
administracin de las sociedades mercantiles que apelan al ahorro del
pblico. Surge de la necesidad de superar los problemas que plantea la
separacin entre la propiedad y la gestin en las grandes sociedades que
cotizan en Bolsa.
Revista de Derecho del Mercado Financiero
Qu es el Gobierno Corporativo?
2006

Conjunto de principios y normas que regulan el diseo, integracin y


funcionamiento de los rganos de gobierno de la empresa, como son los
tres poderes dentro de una sociedad: los Accionistas, Directorio y Alta
Administracin. En espaol se utiliza tambin gobernanza corporativa,
gobernanza societaria y gobierno societario.
Ramiro Salvochea
Mercados y Gobernancia.
La revolucin del "Corporate Governance
2012.
17

1. Gobierno Corporativo
Sistema por el cual las sociedades son administradas y controladas, con
atribuciones y obligaciones para accionistas Junta Directiva, Alta Gerencia,
Comits y Unidades de Control; proporcionando un marco de transparencia
y proteccin de los intereses de los depositantes, asegurados y dems
usuarios de las entidades.
Superintendencia del Sistema Financiero
Normas Prudenciales de Bancos NPB 4-48,
2013

Es el conjunto de prcticas, expresadas formalmente o no, que gobiernan


las relaciones entre los participantes de una empresa, principalmente entre
los que administran (la gerencia) y los que invierten recursos en la misma
(los dueos y los que prestan dinero en general).
Corporacin Andina de Fomento,
Gobierno Corporativo:
Lo que todo empresario debe saber,
2005
18

1. Gobierno Corporativo
Un comportamiento corporativo tico por parte de los directores u otros
encargados del gobierno, para la creacin y entrega de los beneficios para
todas las partes interesadas.
ISACA
Manual de Preparacin al Examen CISA,
2008

El Gobierno Corporativo es el sistema por el cual las sociedades son


dirigidas y controladas. La estructura del gobierno corporativo especifica la
distribucin de los derechos y responsabilidades entre los diferentes
participantes de la sociedad, tales como el directorio, los gerentes, los
accionistas y otros agentes econmicos que mantengan algn inters en la
empresa. El Gobierno Corporativo tambin provee la estructura a travs de
la cual se establecen los objetivos de la empresa, los medios para alcanzar
estos objetivos, as como la forma de hacer un seguimiento a su
desempeo.
Organizacin para la Cooperacin
y el Desarrollo Econmico
19

1. Gobierno Corporativo

20

1. Gobierno Corporativo

21

1. Gobierno Corporativo

22

1. Gobierno Corporativo

23

1. Gobierno Corporativo
La Organizacin para la Cooperacin y el Desarrollo Econmicos (OCDE), emiti en mayo
de 1999 y revis en 2004 sus Principios de Gobierno Corporativo.

Proteger los derechos de accionistas.

Asegurar el tratamiento equitativo para todos los accionistas, incluyendo a los


minoritarios y a los extranjeros.

Todos los accionistas deben tener la oportunidad de obtener una efectiva reparacin
de los daos por la violacin de sus derechos.

Reconocer los derechos de terceras partes interesadas y promover una cooperacin


activa entre ellas y las sociedades en la creacin de riqueza, generacin de empleos y
logro de empresas financieras sustentables.

Asegurar que haya una revelacin adecuada y a tiempo de todos los asuntos
relevantes de la empresa, incluyendo la situacin financiera, su desempeo, la
tenencia accionaria y su administracin.

Asegurar la gua estratgica de la compaa, el monitoreo efectivo del equipo de


direccin por el consejo de administracin y las responsabilidades del Consejo de
Administracin con sus accionistas.
24

1. Gobierno Corporativo

Todo esto persigue:


1. Reducir la frecuencia y el
impacto de reportes financieros
inexactos.
2. Proveer mayor transparencia e
imputabilidad.
3. Adecuacin de los controles
internos.
4. Evaluacin de los controles
internos organizacionales en los
reportes financieros de la
organizacin

25

PRACTICAS DE MONITOREO Y
ASEGURAMIENTO PARA LA JUNTA
Y LA GERENCIA EJECUTIVA

26

2. Prcticas de Monitoreo y Aseguramiento para la Junta y


Gerencia Ejecutiva
Concepto de Gobierno de TI

Es el proceso de administracin que asegura la obtencin de los beneficios esperados de


la tecnologa de informacin (TI) de manera controlada para acrecentar el xito sostenido
de una empresa a largo plazo
ITGI
Es el uso eficiente de los recursos de TI para apoyar el cumplimiento de los objetivos del
negocio
ISACA
Sistema por el cual el uso presente y futuro de las TI es controlado. Involucra evaluar y
dirigir planes del uso de las TI que soporten a la organizacin, as como monitorear el uso
de estos planes. Incluye adems polticas y estrategias de uso de TI en la organizacin.
Australian Standard for Corporate Governance
El sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologas
de la informacin
ISO/IEC 38500:2008
27

2. Prcticas de Monitoreo y Aseguramiento para la Junta y


Gerencia Ejecutiva
Auditores

Directores
Sistemas de
Informacin

Aspectos
Legales

GOBIERNO
DE

Usuarios

Negocios

Proveedores

Tecnologa

TI

Alta
Gerencia

Comunicacin

Lderes de
Procesos

28

2. Prcticas de Monitoreo y Aseguramiento para la Junta y


Gerencia Ejecutiva

GOBIERNO DE TI
Le incumben 2 aspectos:

Agregar valor al Negocio

Administracin de
Riesgos

Integracin de la responsabilidad

29

2. Prcticas de Monitoreo y Aseguramiento para la Junta y


Gerencia Ejecutiva

Quin es el responsable del Gobierno de TI?


El Gobierno de TI es responsabilidad de la Junta Directiva y de
la Gerencia Ejecutiva. Es parte integral del gobierno de la
empresa y est constituido por las estructuras de liderazgo y
organizacionales y los proceso que aseguran que la TI de la
organizacin sostiene y extiende la estrategia y los objetivos
de la organizacin.
Board Briefing on IT Gobernance
2nd. Edition
ITGI, 2004

30

2. Prcticas de Monitoreo y Aseguramiento para la Junta y


Gerencia Ejecutiva
Factor Crtico
de xito

CFOs
CEOs

Concordancia
Objetivos de TI
y de la Empresa
CIOs
31

2. Prcticas de Monitoreo y Aseguramiento para la Junta y


Gerencia Ejecutiva
Los temas que la Gerencia Ejecutiva necesita tratar para Gobernar TI en la empresa se describen
en cinco reas centrales:

32

Pregunta

El Gobierno de TI asegura que una organizacin se


alinee su estrategia de TI con:

A. Los objetivos de la empresa.


B. Los objetivos de TI.
C. Los objetivos de auditora
D. Los objetivos de control.

33

2. 1 Mejores Prcticas para el Gobierno de TI

El Gobierno de TI integra e
institucionaliza las buenas
prcticas para asegurar que la
TI de la empresa respalde los
objetivos del negocio.

GOBIERNO
DE TI
El Gobierno de TI permite que la
empresa saque provecho total de su
informacin, maximizando de esta
manera los beneficios, capitalizando las
oportunidades, y obteniendo una
ventaja competitiva.

34

35
Exigencia sobre un mejor retorno sobre las inversiones de TI.
Preocupacin por el creciente nivel de gasto en TI
Necesidad de cumplir con requerimientos regulatorios
Gestin de contratacin de servicios tercerizados
Riesgos cada vez mas complejos en TI
Necesidad de optimizar los costos
Creciente madurez y aceptacin de marcos populares
Necesidad de evaluar nuestro desempeo frente a estndares
generalmente aceptados.

2. 1 Mejores Prcticas para el Gobierno de TI

2. 1 Mejores Prcticas para el Gobierno de TI


FACTOR CRITICO DE EXITO
Mejores Prcticas

Marcos de Gobierno de TI

Estructura de Gobierno de TI

36

2. 1 Mejores Prcticas para el Gobierno de TI

Las Mejores
Prcticas de TI
Aseguran:

Recursos
Utilizados
Responsablemente

Riesgos
Administrados
Apropiadamente

Informacin y
Tecnologa
Soportan
Objetivos del
Negocio

37

2. 1 Mejores Prcticas para el Gobierno de TI


Rol de la Auditora en el Gobierno de TI

Provee recomendaciones de prcticas lderes a la alta gerencia, para ayudar a mejorar


la calidad y la efectividad de las iniciativas del gobierno de TI implementadas.
Ayuda a asegurar el cumplimiento de las iniciativas de gobierno de TI implementadas
en una organizacin.
Evala el alineamiento de la funcin de SI con la misin, visin, valores, objetivos y
estrategias de la organizacin.
Verifica el logro por parte de la funcin de SI de los objetivos de desempeo
establecidos por el negocio (efectividad y eficiencia).
Evala los requerimientos legales, ambientales, de calidad de informacin, fiduciarios y
de seguridad.
Evala el ambiente de control de la organizacin
Revisa la inversin / gastos en TI.

38

2. 1 Mejores Prcticas para el Gobierno de TI

Alcance
del
Trabajo

Reportar el Gobierno de
TI implica auditar al mas
alto nivel de la
organizacin, cruzando
lmites de divisin,
funciones o
departamentos.

Nivel de
Entrega

Temas
cubiertos
Gob TI
Derecho
de
acceso
39

2.2 Comit de Estrategia de TI


Este comit, presidido por el CIO, est a cargo de establecer las bases para lograr el
Buen Gobierno de TI. Es responsable de establecer los principios bsicos de TI dentro
de la organizacin (por ejemplo: compromiso con la estandarizacin, escalabilidad,
etc.), as como tambin las polticas de inversin en TI y de priorizacin de las
iniciativas.
Lgicamente, estos lineamientos deben ir alineados a la estrategia corporativa
establecida por el Comit Ejecutivo para lograr el valor de negocio que se espera. Es
el CIO el llamado a comunicar dicha estrategia corporativa a los miembros de este
comit.
Este comit tradicionalmente esta conformado por el CIO y por los Gerentes de alto
rango de cada una de las reas de la compaa para as poder establecer polticas y
normas de forma consensuada. Bajo el concepto de Gobierno Corporativo, es
importante que sea elevado a Comit de Junta.
Es importante adems que el CIO tenga ms que conocimientos tcnicos, tenga
conocimiento profundo del negocio de la empresa para as poder aterrizar
adecuadamente la estrategia corporativa en una estrategia de TI adecuada.
40

2.2 Comit de Estrategia de TI

Asesoramiento
Estratgico

Riesgos

Comit de
Estrategia
de TI

Valor de TI

Desempeo
41

2.2 Comit de Estrategia de TI


Objetivos del Comit de Estrategia de TI
Alinear la estrategia de TI con los objetivos de negocio

Aterrizar en la organizacin las estrategias y objetivos

Organizacin para el Buen Gobierno de TI

Definir estructuras organizacionales que faciliten la implementacin de


la estrategia

Adoptar un framework de riesgo, control y gobierno

Brindar la infraestructura TI que ayude a crear y compartir informacin


del negocio

Asignar responsables de la gestin de riesgos en la organizacin

Enfocarse en los procesos importantes de TI y en su apoyo a las


competencias del negocio

Medir el desempeo (Balance Scorecard)


42

2.2 Comit de Estrategia de TI


Nivel
Responsabilidad

Nivel de Junta
Provee opinin y asesoramiento a la Junta sobre
tpicos tales como:

La relevancia de los desarrollos en TI desde una


perspectiva de negocio

La alineacin de TI con la direccin del negocio

El logro de los objetivos estratgicos de TI

La disponibilidad de los recursos, habilidades e


infraestructura de TI adecuada para cumplir con
los objetivos estratgicos.

La optimizacin de los costos de TI, que incluyen


el rol y la entrega de valor por los servicios de TI
de terceros

El riesgo, el retorno y los aspectos competitivos


de la inversiones de TI

El avance en los proyectos principales de TI

La contribucin de TI al negocio (entrega del


valor de negocio prometido)

Exposicin a los riesgos de TI, incluyendo riesgos


de cumplimiento.

Contencin de los riesgos de TI

Direccin a la gerencia en relacin con la


estrategia de TI

Impulsadores y catalizadores para las practicas


de gobierno de TI de la Junta

Nivel Ejecutivo

Decide el nivel general de TI y como se asignaran


los costos.
Alinea y aprueba la arquitectura de TI de la
empresa.
Aprueba los planes y presupuestos de proyecto,
estableciendo prioridades e hitos de referencia.
Adquiere y asigna los recursos apropiados.
Asegura
que
los
proyectos
cumplan
continuamente los requerimientos de negocio,
incluyendo la reevaluacin del caso de negocio.
Monitorea los planes del proyecto en cuanto a la
entrega del valor esperado y los resultados
deseados, a tiempo y dentro del presupuesto.
Monitorea los conflictos de recursos y
prioridades entre las divisiones de la empresa y la
funcin de TI y entre proyectos.
Hace recomendaciones y solicita cambios a los
planes estratgicos (prioridades, financiamiento,
enfoques de tecnologa, recursos, etc.)
Comunica las metas estratgicas a los equipos del
proyecto.
Es un contribuidor importante a las
responsabilidades de gobierno de TI de la
gerencia.

43

2.2 Comit de Estrategia de TI

Nivel
Autoridad

Integrantes

Nivel de Junta

Nivel Ejecutivo

Asesora a la Junta y a la gerencia sobre la


estrategia de TI:
Es encargado por la Junta para proveer
datos de base para la estrategia y prepara r
su aprobacin.
Se concentra en los problemas estratgicos
de TI presentes y futuros.

Miembros de la junta y miembros especialistas


no pertenecientes a la junta

Asiste al ejecutivo en la entrega de la


estrategia de TI.
Supervisa la administracin cotidiana
de entrega de servicio de TI y
proyectos de TI.
Se concentra en la implantacin.
Ejecutivo patrocinador
Ejecutivo de negocio (usuarios clave)
CIO
Asesores claves que se requieran (TI,
auditoria, legal, finanzas).

44

2.3 Balanced Scorecard estndar de TI

El BSC es una herramienta revolucionaria para movilizar a la gente hacia el pleno


cumplimiento de la misin a travs de canalizar las energas, habilidades y
conocimientos especficos de la gente en la organizacin hacia el logro de metas
estratgicas de largo plazo. Permite tanto guiar el desempeo actual como apuntar
al desempeo futuro. Usa medidas en cuatro categoras -desempeo financiero,
conocimiento del cliente, procesos internos de negocios y, aprendizaje y crecimientopara alinear iniciativas individuales, organizacionales y transdepartamentales e
identifica procesos enteramente nuevos para cumplir con objetivos del cliente y
accionistas. El BSC es un robusto sistema de aprendizaje para probar, obtener
realimentacin y actualizar la estrategia de la organizacin. Provee el sistema
gerencial para que las compaas inviertan en el largo plazo en clientes, empleados,
desarrollo de nuevos productos y sistemas ms bien que en gerenciar la ltima lnea
para bombear utilidades de corto plazo. Cambia la manera en que se mide y maneja
un negocio.
The Balanced ScoreCard: Translating Strategy into Action,
Harvard Business School Press,
Boston, 1996

45

2.3 Balanced Scorecard estndar de TI


El Balanced scorecard estndar de TI es una tcnica evaluativa que puede aplicarse
al proceso de Gobierno de TI para evaluar las funciones y procesos de TI.

Satisfaccin
del Cliente
Usuarios
Evaluacin
Financiera

BSC

TI
Mejora

Innovacin

Operativos

Procesos
Internos
46

2.3 Balanced Scorecard estndar de TI


Para aplicar el Balanced scorecard estndar de TI, se usa una estructura de tres
capas para tratar las cuatro perspectivas:
Misin

Estrategias

Convertirse en el proveedor
preferido de SI

Desarrollar aplicaciones y
operaciones superiores

Entregar aplicaciones y
servicios eficientes y efectivos

Desarrollar alianzas con los


usuarios y mejores servicios
para los clientes

Obtener una contribucin


razonable de las inversiones de
TI al negocio

Proveer mejores niveles de


servicio y estructuras de
precios

Desarrollar oportunidades que


respondan a futuros desafos

Entrenar y educar al personal


de TI y promover la excelencia

Medidas
Proveer un conjunto
balanceado de medidas (KPIs)
para guiar las decisiones de TI
orientadas a negocios.

Controlar los gastos de TI


Proveer nuevas capacidades de
negocio
47

2.3 Balanced Scorecard estndar de TI

Finalidad del BSC:


Establecer un vehculo para la
informacin gerencial a la
Junta Directiva
Estimular el consenso entre
los interesados clave sobre
los objetivos estratgicos de
TI
Demostrar la efectividad y el
valor agregado de TI
Comunicar el desempeo, los
riesgos y capacidades de TI

48

2.3 Balanced Scorecard estndar de TI

49

Pregunta

Para que la gerencia pueda monitorear de forma


efectiva el cumplimiento de los procesos y las
aplicaciones Cul de las siguientes opciones sera la
MS adecuada?

A. Un repositorio de documentos central


B. Un sistema de gestin de conocimientos
C. Un tablero de mandos
D. Benchmarking
50

2.4 Gobierno de Seguridad de Informacin

El gobierno de seguridad de la informacin consiste en el liderazgo,


estructura organizacional y proceso para proteger la informacin.
El gobierno de seguridad de la informacin es un subconjunto del
gobierno corporativo de la organizacin que provee direccin
estratgica, garantiza los objetivos establecidos, gestiona los riesgos
de forma apropiada, usa los recursos organizacionales
responsablemente y monitorea el xito o falla del programa de
seguridad de la organizacin.
Guidance for Boards of Directors and Executive Management
ISACA

51

2.4 Gobierno de Seguridad de Informacin

El Gobierno de Seguridad de Informacin se concentra en:

Integridad de la
Informacin

Proteccin de activos
de Informacin

Continuidad de
Servicios
52

2.4 Gobierno de Seguridad de Informacin


Panorama General del Gobierno de Seguridad de la Informacin

Informacin:
Datos que tienen significado y propsito

Competitividad

Seguridad
53

2.4 Gobierno de Seguridad de Informacin


Panorama General del Gobierno de Seguridad de la Informacin

Seguridad de TI

Se ocupa del universo de


los riesgos, los beneficios
y
los
procesos
involucrados con la
informacin y debe ser
impulsada
por
la
Direccin Ejecutiva y
soportada
por
JD.
Relacionada
con
la
privacidad
de
la
informacin y seguridad
de la misma.

Se ocupa de la
seguridad de la
Tecnologa y es
tpicamente
impulsada desde
el nivel del CIO

Seguridad de Informacin

54

2.4 Gobierno de Seguridad de Informacin

Estructuras
Organizacionales
Procesos de
salvaguarda de la
Informacin

Dirigencia

Gobierno de
Seguridad
de la
Informacin
55

2.4 Gobierno de Seguridad de Informacin


Importancia del Gobierno de Seguridad de Informacin
Ocuparse de la creciente exposicin que tiene la organizacin y su gerencia a la
responsabilidad civil o legal como resultado de informacin incorrecta suministrada
al pblico o a los reguladores, as como tambin las consecuencias de no ejercer el
debido cuidado en la proteccin de informacin privada.
Proveer garanta de cumplimiento de las polticas
Aumentar la predictibilidad y reducir la incertidumbre de las operaciones de negocio
reduciendo los riesgos a niveles definibles y aceptables.
Proveer la estructura y el marco para optimizar las asignaciones de los recursos
limitados de seguridad.
Proveer un nivel de garanta de que las decisiones crticas no se basan en
informacin defectuosa.
Proveer una firme cimentacin para la administracin eficiente y efectiva del riesgo,
mejoramiento de procesos y rpida respuesta a incidentes.
Proveer responsabilidad de salvaguardar informacin durante las actividades crticas
del negocio, tales como fusiones y adquisiciones, recuperacin del proceso de
56
negocio, y respuesta regulatoria.

2.4 Gobierno de Seguridad de Informacin

La seguridad de informacin abarca todos los procesos de


informacin,
tanto
fsicos
como
electrnicos,
independientemente de si ellos involucran personas y
tecnologa o relaciones con socios de negocio, clientes o
terceros. A la seguridad de la informacin le conciernen
todos los aspectos de informacin y su proteccin de todos
los puntos de sus ciclo de vida dentro de la organizacin.

57

2.4 Gobierno de Seguridad de Informacin

6
RESULTADOS
BASICOS
DE UN
GOBIERNO
EFECTIVO DE
SEGURIDAD

Integracin de
Procesos
Gestin de
Recursos

Medicin del
Desempeo
Entrega de
valor
Gestin de
Riesgos
Alineacin
estratgica
58

2.4 Gobierno de Seguridad de Informacin

El marco de un gobierno efectivo de Seguridad de Informacin est constituido por:


Una
estrategia
comprensiva
de
seguridad
intrnsecamente vinculada con los objetivos del
negocio.

Polticas de seguridad vigentes que se ocupen de cada


aspecto de estrategia controles y regulacin.
Un conjunto completo de estndares para cada
poltica para asegurar que los procedimientos y
lineamientos cumplan con la poltica.
Una estructura organizacional efectiva de seguridad
libre de conflictos de inters.
Procesos institucionalizados de monitoreo para
asegurar el cumplimiento y proveer retroalimentacin
sobre la efectividad.
59

2.4 Gobierno de Seguridad de Informacin

60

2.4 Gobierno de Seguridad de Informacin

61

Pregunta

Cul de los siguientes elementos se considera MS


crtico para una implementacin satisfactoria de un
programa de seguridad de la informacin (SI)?

A. Un marco de Gestin de Riesgos Empresariales (ERM)


B. Compromiso de la Alta Direccin
C. Un proceso de creacin de presupuestos adecuado
D. Una planificacin meticulosa de programas.
62

2.5 Arquitectura de Empresa

Arquitectura de la Empresa es
el conjunto de elementos
organizacionales
(objetivos
estratgicos, departamentos,
procesos,
tecnologa,
personal, etc.) que describen a
la empresa y se relacionan
entre s garantizando la
alineacin desde los niveles
ms altos (estratgicos) hasta
los ms bajos (operativos), con
el fin de optimizar la
generacin de productos y
servicios que conforman la
propuesta de valor entregada
a los clientes.
63

2.5 Arquitectura de Empresa

John A. Zachman dio origen al Framework for Enterprise Architecture,


el cual ha sido aceptado alrededor del mundo como un marco
integrador, o una tabla peridica, de representaciones descriptivas
para empresas. El Marco de Trabajo Zachman es un marco de trabajo
(framework) de Arquitecturas empresariales creado por John A.
Zachman en 1984 y publicado por primera vez en el IBM Systems Journal
en 1987. Es uno de los marcos de trabajo ms antiguos y de mayor
difusin en la actualidad.

64

2.5 Arquitectura de Empresa

65

ESTRATEGIA DE SISTEMAS DE
INFORMACIN

66

3.1 Planeacin Estratgica


La Planeacin estratgica de sistemas de informacin se relaciona con la
direccin a largo plazo que una organizacin quiere seguir para apalancar con
tecnologa de informacin la mejora de sus procesos de negocio.
Identificar
soluciones
de TI

Alta
Gerencia

Desarrollar
planes de
accin

Eficientes en costos a fin de enfrentar


problemas y oportunidades para la
organizacin

Los planes estratgicos deben estar acordes y


consistentes con todas las metas y objetivos
de la organizacin

Para identificar y adquirir los recursos que se


necesitan
67

3.1 Planeacin Estratgica

La Gerencia de TI, el Comit de Direccin de TI y el Comit de Estrategia tienen


funcin clave en el desarrollo y la implementacin de la planeacin estratgica

Demanda de TI

Involucra
las
intenciones
estratgicas de la organizacin y
como stas se traducen en
objetivos especficos e iniciativas
de negocio y que capacidades
de TI se necesitarn para
soportar estos objetivos e
iniciativas.

Planeacin
Estratgica Efectiva
de TI

Capacidad de
proveer TI

Revisar la cartera de sistemas


para calzar lo funcional, el costo
y el riesgo. Planificar el
suministro de TI involucra
evaluar la infraestructura tcnica
de TI y los procesos clave de
soporte, como. Desarrollo y
Manto. de Sistemas, Admn. de
la Seguridad y Servicios Help
Desk
68

3.1 Planeacin Estratgica


A qu debe prestar atencin el Auditor de SI?
Debe dar importancia a la planeacin estratgica de TI, considerando las
prcticas de control gerencial.
Que los planes estratgicos de TI estn en sincronizacin con toda la
estrategia de negocio.
Debe prestar atencin a los requerimientos de convertir los planes
operativos o tcticos de TI desde el negocio y las estrategias de TI,
contenidos de planes estratgicos, requerimientos para actualizar y
comunicar planes y a los requerimientos de monitoreo y evaluacin.
Debe considerar que tan involucrada est la Gerencia de TI en la creacin de
la estrategia general del negocio, por que una falta de participacin de TI en
la creacin de dicha estrategia indica un riesgo de que los planes de TI no
estn alineados con la estrategia del negocio.

69

Pregunta

Cul de los siguientes elementos estara incluido en


un plan estratgico de TI?

A. Especificaciones para compras planeadas de hardware


B. Anlisis de los objetivos futuros del negocio

C. Fechas objetivo para los proyectos de desarrollo


D. Objetivos presupuestarios anuales para el departamento de SI

70

Pregunta
Cul de los enunciados siguientes describe MEJOR un
proceso de planeacin estratgica del departamento de TI?
A. El departamento de TI tendr planes de corto alcance o de largo alcance
dependiendo de los planes y objetivos ms amplios de la organizacin

B. El plan estratgico del departamento de TI debe estar orientado al tiempo y al


proyecto, pero no tan detallado como para tratar y ayudar a determinar las
prioridades para satisfacer las necesidades de negocio.
C. La planificacin de largo alcance para el departamento de TI debe reconocer
las metas organizacionales, los adelantos tecnolgicos y los requerimientos
regulatorios.
D. La planeacin de corto alcance para el departamento de TI no necesita estar
integrada en los planes de corto alcance de la organizacin ya que los
adelantos tecnolgicos impulsarn los planes del departamento de TI mucho
ms rpido que los planes organizacionales
71

3.2 Comit de Direccin

Este comit tiene como tarea principal


materializar la estrategia de TI en
acciones concretas. En otras palabras
convierte los principios y polticas
dictadas por el Comit de Estrategia de
TI en servicios de infraestructura
dentro de la compaa. Para ello, este
comit debe tomar decisiones claves
sobre la arquitectura de los servicios a
implantar que estn acordes y cumplan
con los objetivos de TI pre-establecidos.
Debe conformarse por representantes
de la alta direccin, gerencia usuaria y
departamento de SI.

Los deberes y responsabilidades del comti deben estar definidos en un documento


formal. Cada miembro debe tener autoridad para tomar decisiones en el seno del
grupo para sus reas respectivas.
72

3.2 Comit de Direccin


Funciones primarias del Comit de Direccin:
Revisar los planes de largo y corto plazo del Depto. de SI para asegurar que estn en
concordancia con los objetivos corporativos.
Revisar y aprobar las adquisiciones importantes de hardware y software, dentro de los
lmites aprobados por junta directiva.
Aprobar y monitorear los proyectos de alta relevancia y la situacin de los planes y
presupuestos de SI, establecer prioridades, aprobar las normas y los procedimientos, y
monitorear el desempeo general de SI.
Revisar y aprobar las estrategias para outsourcing de ciertas actividades o todas las
actividades de SI, y la globalizacin, o traslado al extranjero, de las funciones.
Revisar si los recursos y su asignacin son adecuados en trminos del tiempo, personal
y equipo.
Decidir respecto a la centralizacin frente a la descentralizacin y a la asignacin de
responsabilidades.
Apoyar el desarrollo e implementacin de un programa de administracin de
seguridad de informacin a nivel de toda la organizacin.
Reportar a la Junta Directiva sobre las actividades de SI

73

POLTICAS Y
PROCEDIMIENTOS

74

4.1 Polticas
Son documentos de alto nivel que representan la filosofa corporativa de una
organizacin y el pensamiento estratgico de la alta gerencia y de los dueos de los
procesos del negocio. Estas deben ser claras y concisas para que sean efectivas.

ADMNISTRACIN

Formular

Controlar

Polticas que
abarcan metas y
directrices
generales

Promulgar

Desarrollar

Documentar

Ambiente
de
Control
Positivo
75

CORPORATIVAS

CORPORATIVAS

Polticas de
Alto Nivel

Polticas de
Alto Nivel

TOP-DOWN

COSTOS / BASADAS EN
ESTIMACIONES DE RIESGO

CONSISTENTES

4.1 Polticas

DOWN-TOP

Polticas de
Menor Nivel

Polticas de
Menor Nivel

DIVISIONES / DEPARTAMENTOS

DIVISIONES / DEPARTAMENTOS
76

4.1 Polticas
El Auditor de Sistemas debe:
Alcanzar el entendimiento de las polticas como parte del proceso de auditora y
comprobar si estas se cumplen.
Comprobar que la Administracin revise y actualice las polticas peridicamente.
Verificar que las polticas formuladas permitan el logro de los objetivos del
negocio y la implementacin de controles en los sistemas de informacin.
Verificar que las polticas generales a nivel superior y las polticas detalladas a un
nivel inferior estn a tono.
Utilizar las polticas como punto de referencia para evaluar el cumplimiento de
los controles de SI.
Identificar y reportar polticas que obstaculizan el logro de los objetivos del
negocio, para que sean mejoradas.
Considerar el grado al que las polticas se aplican a terceros o a outsourcers, el
grado al que estos cumplen con las polticas o si las polticas de los terceros o de
los outsourcers etn en conflicto con las polticas de la organizacin.
77

4.1 Polticas
Poltica de Seguridad de Informacin
La poltica de seguridad es un documento de alto nivel que denota el compromiso
de la gerencia con la seguridad de la informacin. Contiene la definicin de la
seguridad de la informacin bajo el punto de vista de cierta entidad.
Debe ser enriquecida y compatibilizada con otras polticas dependientes de sta,
objetivos de seguridad, procedimientos. Debe estar fcilmente accesible de forma
que los empleados estn al tanto de su existencia y entiendan su contenido. Puede
ser tambin un documento nico o inserto en un manual de seguridad. Se debe
designar un propietario que ser el responsable de su mantenimiento y su
actualizacin a cualquier cambio que se requiera.

La poltica de seguridad debe ser documentada y comunicada a todos los empleados


y proveedores de servicio, segn sea pertinente. Asimismo, debe ser usada por los
auditores de SI como un marco de referencia para realizar diferentes trabajos de
auditora de SI. La suficiencia y pertinencia de la poltica de seguridad, podra ser
tambin un rea de revisin para el auditor de SI.
78

4.1 Polticas
El Documento de Poltica de Seguridad de Informacin debe tener:
Una definicin de seguridad de informacin, sus objetivos generales y su alcance,
y la importancia de la seguridad como un mecanismo que permite que se
comparta la informacin.
Una declaracin de la intencin de la gerencia, soportando las metas y los
principios de la seguridad de informacin en lnea con la estrategia y los objetivos
del negocio.
Un marco para fijar los objetivos de control y los controles, incluyendo la
estructura de la evaluacin del riesgo y la administracin del riesgo.
Una breve explicacin de las polticas de seguridad, los principios, los estndares
y los requisitos de cumplimiento de particular importancia para la organizacin,
incluyendo:

Cumplimiento de los requisitos legislativos, regulatorios y contractuales


Requisitos de educacin, entrenamiento y conciencia/conocimiento de la
seguridad.
Administracin de la continuidad del negocio

Consecuencias de las violaciones de la poltica de seguridad de informacin.

79

4.1 Polticas
Para revisar la poltica de seguridad de Informacin debe considerar lo siguiente:
Retroalimentacin de las partes interesadas.
Resultados de revisiones independientes.
Estatus de las acciones preventivas y correctivas.

Resultados de revisin de gerencia anteriores.


Desempeo del proceso y cumplimiento de la poltica de seguridad de
informacin.
Cambios que podran afectar el enfoque de la organizacin para administrar la
seguridad de informacin, incluyendo cambios al entorno organizacional, las
circunstancias del negocio, la disponibilidad de recursos, las condiciones
contractuales, regulatorias y legales o el entorno tcnico.
Uso de la consideracin de los outsourcers o funciones fuera de TI o funciones del
negocio.
Las tendencias relacionadas con las amenazas y las vulnerabilidades.
Incidentes de seguridad de la informacin reportados.
Recomendaciones suministradas por las autoridades relevantes.
80

4.1 Polticas
El resultado o producto de la revisin de gerencia debe incluir
cualesquiera decisiones y acciones relacionadas con:

Mejoramiento
del
enfoque
de
la
organizacin para administrar la seguridad
de informacin y sus procesos.
Mejoramiento de los objetivos de control y
los controles
Mejoramiento en la asignacin de recursos
y/o responsabilidades

Se debe mantener un registro de revisiones de gerencia y se debe obtener la


aprobacin de la gerencia para la poltica revisada.

81

4.2 Procedimientos

Los procedimientos son documentos detallados que se derivan de la poltica


madre e implementan la intencin de la aseveracin de la poltica. Estos deben
ser escritos en una forma clara y concisa, de modo que sean comprendidos fcil y
correctamente por todos los que se deben regir por ellos. Los procedimientos
documentan procesos de negocio (administrativos y operacionales) y los
controles integrados en los mismos.

Los auditores deben revisar los procedimientos para identificar, evaluar y probar
los controles sobre los procesos del negocio. Los controles integrados son
evaluados para asegurar que cumplan los objetivos de control necesarios,
mientras hacen el proceso tan eficiente y prctico como sea posible. Al no existir
procedimientos documentados, es difcil identificar los controles y asegurar que
estn en operacin continua.

82

ADMINISTRACIN
DEL RIESGO

83

5. Administracin del Riesgo

RIESGO:
El potencial de que una amenaza
determinada
explote
las
vulnerabilidades de un activo o grupo
de activos y que ocasione prdida de los
activos o daos a los mismos.
Usualmente se mide mediante la
combinacin del impacto y de la
probabilidad de que ocurra. El riesgo
comprende los siguientes elementos:

AMENAZAS: Externas al activo

VULNERABILIDADES: Intrnsecas en el
activo

PROBABILIDAD: Porcentaje de
ocurrencia, depende del entorno
IMPACTO: Porcentaje que represente
ese activo en los bienes
84

5. Administracin del Riesgo

ADMINISTRACIN
RIESGO:

DEL

Proceso de identificar las debilidades y


las amenazas para los recursos de
informacin
utilizados
por
una
organizacin para lograr los objetivos
del
negocio,
y
decidir
que
contramedidas tomar, si hubiera alguna,
para reducir el nivel de riesgo hasta un
nivel aceptable basado en el valor del
recurso de informacin para la
organizacin.

85

5. Administracin del Riesgo

APETITO DE
RIESGO

INVERSIONES
FUTURAS EN
TECNOLOGIA

Identificar

Analizar

GRADO DE
PROTECCIN DE
LOS ACTIVOS

Evaluar

Tratar

NIVEL DE
GARANTIA
REQUERIDO

Monitorear

Comunicar

Administracin
Superior

EVITAR

MITIGAR

TRANS
FERIR

ACEPTAR

ELIMINAR
86

5.1 Desarrollo de un Programa de Administracin del Riesgo

Establecer el propsito
del programa de
Administracin del
Riesgo

Asignar responsabilidad
para el plan de
administracin del
riesgo

87

5.2 Proceso de Administracin de Riesgos

Riesgo
residual
Evaluar
Controles o
Disear nuevos
Combinar para formar una visin
general del riesgo:
Calcular vulnerabilidad de impacto
por cadaAmenaza.

Nota: el riesgo es
proporcional al
valor de la prdida
o dao y la
frecuencia
estimada de la
amenaza

Estudiar las amenazas y vulnerabilidades


Asociadas con el recurso de informacin
Y la probabilidad de ocurrencia
Identificacin y clasificacin de los recursos de
Informacin o de los activos que necesitan
Proteccin, porque son vulnerables a las amenazas

88

5.2 Proceso de Administracin de Riesgos

La administracin de riesgos, debe operar a mltiples niveles, como por ejemplo:

Nivel Operativo
Riesgos que
comprometen la
efectividad de
sistemas
Capacidad de evadir
controles en sistemas
Prdida o no
disponibilidad de
recursos
Falta de cumplimiento
de leyes

Nivel de Proyecto
Capacidad de
entender la
complejidad del
proyecto
Que los objetivos del
proyecto no sean
cumplidos

Nivel Estratgico
Capacidades de TI no
estn alineadas con el
negocio.
Capacidades de TI
comparadas con la de
los competidores
Amenazas planteadas
por el cambio
tecnolgico

89

5.3 Mtodos de Anlisis del Riesgo

Mtodos de Anlisis Cualitativo


Usan categorizaciones descriptivas para describir los impactos o la probabilidad.
Son los mas sencillos y los m{as comnmente usados. Se basan en listas de
verificacin y clasificaciones subjetivas de riesgo, tales como alto medio o bajo.
Mtodos de Anlisis Semicuantitativo
Las clasificaciones descriptivas estn asociadas con una escala numrica. Dichos
mtodos se usan frecuentemente cuando no es posible utilizar un mtodo
cuantitativo o reducir la subjetividad de los mtodos cualitativos.
Mtodos de Anlisis Cuantitativo
Usan valores numricos para describir la probabilidad y los impactos de los
reisgos, usando datos provenientes de varios tipos de fuentes, tales como
registros histricos, experiencias pasadas, prcticas y registros de la industria,
teoras estadsticas, pruebas y experimentos.

90

5.3 Mtodos de Anlisis del Riesgo

Cualitativo

Cuantitativo
ALE
(Expectativa de
prdida anual)

91

5.3 Mtodos de Anlisis del Riesgo

Ejemplo:
Tomemos la siguiente informacin para realizar un anlisis cuantitativo y definir si
es conveniente o no adquirir un software de antivirus con un valor de $2,000
dlares para un nuevo servidor de correo electrnico, el cual incluye medidas
antispam y filtrado de contenidos.

El nuevo servidor tiene un precio estimado de $30,000 dlares. La empresa


cuenta con 80 empleados que utilizarn este servicio para agilizar la
comunicacin interna y externa (sus clientes).
Los estudios indican que existe un 95% de probabilidad de que el servidor se
infecte si no se le instala el software de antivirus. En caso de que se infecte el
equipo, se estima que se podrn perder tres/cuartas partes de la informacin.

92

5.3 Mtodos de Anlisis del Riesgo

La gerencia y los auditores deben tener presente ciertas consideraciones:


La administracin del riesgo debe aplicarse a las funciones de TI en toda
la compaa
Es una responsabilidad de la alta gerencia
El anlisis cuantitativo es preferible al cualitativo
El cualitativo enfrenta el desafo de estimar los riesgos (su probabilidad)
y se basa en la subjetividad
El cuantitativo provee supuestos ms objetivos
La complejidad real o la aparente sofisticacin de los mtodos o
productos usados no debe ser un sustituto del sentido comn del
negocio
Se debe prestar especial atencin para asegurar que se d la
consideracin adecuada a tratar con eventos de alto impacto, incluso si
su probabilidad expresada como una frecuencia de ocurrencia es baja.

93

PRCTICAS DE GERENCIA
DE SISTEMAS DE INFORMACIN

94

6. Prcticas de Gerencia de Sistemas de Informacin

Las prcticas de Gerencia de Sistemas de Informacin reflejan la


implementacin de polticas y procedimientos desarrollados para diversas
actividades gerenciales relacionadas con TI. Entre ellas tenemos:
Administracin de personal
Practicas de Sourcing
Gerencia de cambios Organizacionales
Practicas de Gerencia Financiera
Gerencia de Calidad
Gerencia de Seguridad de Informacin
Optimizacin del desempeo

95

6.1 Administracin de Personal


Se refiere a polticas y procedimientos de la organizacin para contratacin, promocin,
retencin y terminacin de contratos. Es importante considerar:
Contratacin (Verificacin de Antecedentes, Acuerdos de Confidencialidad, fianzas, acuerdos de
conflictos de intereses)

Manual del Empleado (Polticas y procedimientos de seguridad, beneficios de los empleados,


polticas de vacaciones, horas extra, evaluaciones de desempeo, acciones disciplinarias)

Polticas de Promocin (Basadas en criterios objetivos, considerando el desempeo, el nivel de


instruccin, la experiencia y el nivel de responsabilidad individual)

Entrenamiento (Basado en las reas donde falte experiencia y conocimientos / Garantizar


continuidad de operaciones)

Cronogramas y Reportes de Tiempo (til para asignacin de costos, medicin de KGI y KPI y
anlisis de actividades)

Evaluaciones del Desempeo de los Empleados (Aumentos de salario, bonificaciones y


promociones basadas en el cumplimiento de metas)

Vacaciones requeridas (Reduce la oportunidad de cometer actos indebidos)


Polticas de Terminacin de Contrato (Debe protegerse los activos y datos de la organizacin).
96

6.2 Prcticas de Sourcing


Es una funcin central para la
organizacin?

Insourced
Entrega de
Funciones

Outsourced
Hbrido

Sourcing
En el sitio
Lugar de
Trabajo

Fuera del
Sitio
Offshore

Tiene esta funcin conocimientos,


procesos y personal especficos que
sean crticos para cumplir las metas
y objetivos, y que no pueda ser
replicado externamente o en otro
lugar

Puede esta funcin ser efectuada


por un tercero o en otro lugar por el
mismo precio o por un precio mas
bajo, con la misma o mayor calidad,
sin aumentar el riesgo?
Tiene la organizacin experiencia
administrando a terceros o usando
lugares distantes / offshores para
efectuar funciones de SI o del
negocio?
97

6.2 Prcticas de Sourcing

Por qu Tercerizar?

Cules son los servicios


brindados por Terceros?

Qu puedo / no puedo
Tercerizar?
98

6.2 Prcticas de Sourcing

Ventajas de la Tercerizacin:

Economas de escala

Posibilidad del proveedor de concentrarse en el proyecto

proveedores con mayor experiencias en un conjunto de problemas, aspectos y


tcnicas que el personal de planta.

Mejores especificaciones que si fueran desarrollados por personal de planta

Con los proveedores se reduce la probabilidad que haya exceso de funcionalidades.

Solucin ante problemas de capacidad y planeacin del crecimiento.

99

6.2 Prcticas de Sourcing


Desventajas de la Tercerizacin:

Costos excedan las expectativas

Perdida de experiencia interna en SI y perdida de control

Falla del proveedor

acceso limitado al producto

Dificultad para revertir o cambiar los contratos de tercerizacin

Deficiente cumplimiento de los requerimientos legales y regulatorios

Incumplimiento en trminos de contrato

Falta de lealtad de personal

Clientes /empleados insatisfechos como consecuencia del contrato

Costos de servicio no son competitivos

Obsolescencia de los sistemas de TI del proveedor

Dao a la reputacin de una de las entidades al fallar el proyecto

Litigacin prolongada y costosa

100

6.2 Prcticas de Sourcing

COMO PUEDO
REDUCIR EL RIESGO
EN LA
TERCERIZACIN?
SLA
101

6.2 Prcticas de Sourcing


Cmo auditar un servicio Tercerizado?

Verificar que el SLA sea adecuado y contenga las clusulas mnimas de exigencia.

Revisar los procedimientos documentados del tercerizador y los resultados de sus


programas de calidad. (Condiciones de seguridad, reporte de incidentes)

Requerir un Informe de auditora de terceros en forma peridica.

Dejar establecido en las clausulas contractuales, la posibilidad de que el tercero


sea auditado por la organizacin.

Revisar pistas de auditora de terceros y los registros de eventos de seguridad,


problemas operativos, fallas, rastreo de interrupciones relacionadas con el
servicio.

Qu debe prevenir el auditor en las funciones offsite u offshore?


Aspectos legales, regulatorios y fiscales
Continuidad de las operaciones
Aspectos de telecomunicacin
Problemas transfrontera y transculturales.

102

6.2 Prcticas de Sourcing


Gobierno de Outsourcing
Es el conjunto de responsabilidades, roles, objetivos interfaces y controles requeridos para
anticipar el cambio y manejar la introduccin, mantenimiento, desempeo, costos y el
control de los servicios. Todo ello con la transparencia y la propiedad de los procesos. Debe
tener cuidado de:
Asegurar la viabilidad contractual a travs de revisin continua, mejoramiento y
obtencin de beneficios para ambas partes.
Inclusin de un programa explcito de gobierno para el contrato
Manejo de la relacin para asegurar que las obligaciones contractuales se cumplan a
travs de SLAs y contratos de nivel operativo.

Identificacin y manejo de todos los interesados, sus relaciones y expectativas.


Establecimiento de roles y responsabilidades claros para la toma de decisiones,
escalacin de problemas, manejo de disputas, manejo de demandas y entrega de
servicios.
Asignacin de recursos, gasto y consumo de servicios en respuesta a las necesidades
priorizadas.
Evaluacin continua del desempeo, costo, satisfaccin de usuario, eficacia.
Comunicacin constante con todos los interesados.

103

6.3 Gerencia de Cambios Organizacionales

Cuando tena 17 aos, le una cita que deca ms o menos lo


siguiente: Si vives cada da como si fuera el ltimo, algn da
seguramente tendrs razn. Me impresion, y desde entonces, por
los ltimos 33 aos, me he mirado en el espejo cada maana y me
pregunto: Si hoy fuese el ltimo da de mi vida, querra hacer lo
que estoy por hacer hoy? Y cada vez que la respuesta ha sido No
durante demasiados das seguidos, s que necesito cambiar algo.
Steve Jobs

104

6.3 Gerencia de Cambios Organizacionales


La Gerencia de Cambios Organizacionales administra los cambios mediante un proceso
definido y documentado para identificar y aplicar mejoras de tecnologa al nivel de
infraestructura y aplicaciones que son beneficiosos para la organizacin y que involucra
todos los niveles de la organizacin impactados por los cambios. Este nivel de participacin
y comunicacin asegurar que el departamento de SI entiende completamente las
expectativas de los usuarios y que los cambios no sean resistidos o ignorados por los
usuarios una vez sean implementados.
La retroalimentacin
del
usuario
debe
obtenerse a travs del
proyecto, incluyendo
validacin
de
los
requerimientos
del
negocio
y
entrenamiento
y
pruebas
sobre
la
funcionalidad nueva o
cambiada.
105

6.4 Prcticas de Gerencia Financiera


La Gerencia financiera es un elemento crtico en todas las funciones del negocio. En un
ambiente de computacin intensivo en costos, es imperativo que haya prcticas
correctas de gerencia financiera.
El esquema de pagos del usuario, forma
en la que se le imputo un costo a los
usuarios por el uso de recurso
informticos, puede mejorar la aplicacin
y monitoreo de los gastos y recursos
limitados de SI. En este esquema, el coso
de los servicios de SI, incluidos el tiempo
del personal, el tiempo de uso de la
computadora as como otros costos
relevantes, es cargado a los usuarios
finales, basado en una frmula o clculo
estndar (uniforme).
La gerencia de SI debe desarrollar un presupuesto. Esto permite el pronstico,
monitoreo y anlisis de la informacin financiera. Debe estar vinculado con los planes
de TI de corto y mediano plazo.
106

6.5 Gerencia de Calidad

107

6.6 Gerencia de seguridad de la Informacin


Provee la funcin rectora para garantizar
que la informacin y los recursos de
procesamiento de informacin de la
organizacin bajo su control estn
debidamente protegidos. Esto incluir
dirigir y facilitar la implementacin de un
programa de seguridad de TI a nivel de toda
la organizacin, que incluya el desarrollo de
planes de continuidad del negocio y
recuperacin de desastres relacionados con
funciones del departamento de TI en apoyo
de los procesos crticos del negocio de la
organizacin.
Un componente importante es la aplicacin de principios de administracin de
riesgos para evaluar los riesgos en los activos de TI, mitigarlos hasta un nivel
apropiado y monitorear los riesgos residuales remanentes.

108

6.6 Gerencia de seguridad de la Informacin

109

Pregunta

La responsabilidad MAS importante de un oficial de


seguridad en una organizacin es:

A. Recomendar y monitorear las polticas de seguridad de datos


B. Promover la conciencia de la seguridad dentro de la
organizacin.

C. Establecer procedimientos para las polticas de seguridad de TI


D. Administrar los controles de acceso fsico y lgico

110

Pregunta

Cul de lo siguiente es MAS probable que realice el


administrador de seguridad?

A. Aprobar la poltica de seguridad


B. Probar el software de aplicacin

C. Asegurar la integridad de los datos


D. Mantener las reglas de acceso

111

6.7 Optimizacin del Desempeo


La optimizacin del desempeo es un proceso impulsado por indicadores del
desempeo. Estos indicadores estn definidos sobre la base de la complejidad
de las operaciones y procesos del negocio de una organizacin, su solucin
estratgica de TI y los objetivos estratgicos corporativos primarios de
implementacin de TI.
La optimizacin se refiere al proceso de mejorar la productividad de los
sistemas de informacin al mximo nivel posible sin inversin adicional
innecesaria en infraestructura de TI.
Generalmente hay cinco formas de usar las medidas del desempeo:
1. Medir productos / servicios
2. Administrar productos / servicios
3. Asegurar la responsabilidad
4. Tomar decisiones de presupuesto
5. Optimizar el desempeo
112

6.7 Optimizacin del Desempeo


Las directrices gerenciales de COBIT estn primordialmente diseadas para
satisfacer las necesidades de la gestin de TI de medicin del desempeo. Se
suministran metas, mtricas y modelos de madurez para cada uno de los 34
procesos de TI.
Estn orientados para resolver las siguientes preocupaciones:
Medicin del desempeo - Cules son los indicadores de buen
desempeo?
Creacin del perfil de control de TI - Qu es importante? Cules son los
factores crticos de xito para el control?
Concientizacin - Cules son los riesgos de no alcanzar nuestros objetivos?
Creacin de puntos de referencia - Qu hacen otros? Cmo se miden y
se comparan?

113

Pregunta

Un auditor de SI debe asegurar que las medidas de


desempeo del gobierno de TI:

A. Evalen las actividades de los comits de supervisin de TI


B. Provean impulsadores estratgicos de TI

C. Acaten los estndares y definiciones de reporte regulatorio


D. Evalen el departamento de TI

114

ESTRUCTURA ORGANIZACIONAL Y
RESPONSABILIDADES DE SI

115

8. Estructura Organizacional y Responsabilidades de SI

CIO

Gestin de
Riesgos

Admin Seguridad

Coordinador
Recuperacin de
Desastres

Aplicaciones

Desarrollo /
Admin de
Soporte

Programadores

Datos

Admin Datos

Admin BD

Soporte Tcnico

Admin Soporte
Tcnico

Admin de Redes

Analistas de
Sistemas

Admin de SO

Aseguramiento
de calidad

Programadores
de Sistemas

Soporte al
Usuario

Mesa de Servicio

Operaciones

Admin de
Operaciones

Operador de
Computadora

Analistas de
sistemas
116

8.1 Roles y Responsabilidades de SI

Gestin
Desarrollo
Sistemas

Gestin de
Proyectos

Help Desk

Usuario Final

Gestin Soporte
Usuario Final

Gestin de Datos

Gestin
Aseguramiento
de la calidad

Gestin de
Seguridad de la
Informacin

Gestin de
proveedores

Operaciones de
Mtto. e
Infraestructura

Gestin de
Medios

Ingreso de Datos

Administracin
de Sistemas

Administracin
de Seguridad

Aseguramiento
Calidad

Administracin
BD

Anlisis de
Sistemas

Desarrollo y
Mntto.
Aplicaciones

Desarrollo y
Mntto.
Infraestructura

Administracin
de Red
117

8.2 Segregacin de Funciones de SI

La segregacin de funciones es un importante


medio por el cual se pueden prevenir y disuadir
actos fraudulentos o maliciosos.
Las funciones que deben ser segregadas
incluyen:
Custodia de activos
Autorizacin
Registro de Transacciones

De no existir segregacin adecuada de


funciones, puede ocurrir:
Apropiacin indebida de activos
Estados financieros falsos
Documentacin financiera inexacta (errores,
irregularidades)
Uso indebido de fondos o la modificacin de
datos podra pasar inadvertida

118

8.2 Segregacin de Funciones de SI


Grupo de Control

Grupo de Control
Analista
de
Sistemas
Programador de
Aplicaciones
Mesa de Ayuda y
Gerente
de
Soporte
Usuario Final

Analista
Sistemas

Mesa de Ayuda y
de Programador de
Gerente
de Usuario Final
Aplicaciones
Soporte

x
x

Programador de Control
Sistemas
Calidad

Operador de
Computadoras

Administrador de
Bases de Datos

x
x

x
x

x
x

de

Operador de Administrador de Administrador de Administrador de Administrador de


Cintotecario
Computadoras Bases de Datos Redes
Sistemas
Seguridad

Ingreso de Datos

Administrador de
Redes
Administrador de
Sistemas
Administrador de
Seguridad
Cintotecario
Programador de
Sistemas
Control
de
Calidad

Ingreso de Datos

x
x

x
x

x
x 119

Pregunta

Cul de las siguientes tareas pueden ser ejecutadas


por la misma persona en un centro de cmputo de
procesamiento de informacin bien controlado?

A. Administracin de seguridad y administracin de cambios


B. Operaciones de cmputo y desarrollo de sistemas

C. Desarrollo de sistemas y administracin de cambios


D. Desarrollo de Sistemas y mantenimiento de sistemas

120

Pregunta

Cul de lo siguiente es el control MAS crtico sobre


la administracin de la base de datos?

A. Aprobacin de las actividades de DBA


B. Segregacin de funciones

C. Revisin de registros de acceso y actividades


D. Revisin del uso de las herramientas de la base de datos

121

8.3 Controles de Segregacin de Funciones


Autorizacin de Transacciones

Debe ser responsabilidad del Departamento de Usuarios


Se delega en la medida que se relaciona con el nivel particular de responsabilidad
La Gerencia y Auditora deben efectuar verificaciones peridicas para prevenir el ingreso de
transacciones no autorizadas.

Custodia de Activos

Debe existir una asignacin adecuada de la custodia de activos.


El propietario de los datos debe determinar los niveles de autorizacin adecuados.
El grupo de administracin implementa y ejecuta el sistema de seguridad.

Acceso a los datos

Es una combinacin de seguridad fsica, de sistemas y de aplicaciones (rea de usuarios y


rea de procesamiento).
Las decisiones de control de acceso estn basadas en Separacin de funciones y el menor
privilegio.
Los datos y recursos deben categorizarse en niveles de sensibilidad tales como secreto
mximo, secreto, confidencial y no clasificado .
122

8.3 Controles de Segregacin de Funciones

Formularios de Autorizacin

Los gerentes deben definir quien tendr acceso a que, a travs de formularios de
autorizacin (fsicos o electrnicos).
La solicitud debe ser formal.
Para empresas grandes, se recomienda el uso de registro de firmas.
Los privilegios de acceso deben ser revisados peridicamente.
Tablas de autorizacin de usuario
El Depto. de SI debe mantener tablas de autorizaciones de usuarios (ACL).
Las tablas deben ser protegidas contra el acceso no autorizado.
Debe llevarse una bitcora sobre la actividad de los usuarios y revisarla.

123

8.3 Controles de Segregacin de Funciones

Controles compensatorios

Deben existir medidas de control compensatorio para mitigar el riesgo resultante de


una falta de segregacin de funciones. Estos incluyen:

Pistas de Auditora
Conciliacin
Reportes de Excepcin
Registros de transacciones
Revisiones de supervisin
Revisiones independientes

124

Pregunta

Cuando una segregacin de funciones completa no


puede lograrse en un entorno de sistemas en lnea,
cul de las siguientes funciones deben ser separada
de las dems?

A. Originacin
B. Autorizacin
C. Registro
D. Correccin

125

Pregunta
En una organizacin pequea, donde la segregacin
de responsabilidades no es prctica, un empleado
realiza la funcin de operador de computadoras y
programador de aplicaciones. Cul de los siguientes
controles debe recomendar el auditor de SI?
A. Registro automtico de cambios a las bibliotecas de desarrollo
B. Personal adicional para proveer la segregacin de tareas
C. Procedimientos que verifiquen que slo los cambios de
programa aprobados estn implementados

D. Controles de acceso para impedir que el operador haga


modificaciones a los programas
126

AUDITORIA DE LA ESTRUCTURA E
IMPLEMENTACION DE GOBIERNO
DE TI

127

8. Auditora de la estructura e implementacin de gobierno de


TI
Aunque son muchos los aspectos que preocupan al auditor de SI cuando audita el funcionamiento de
SI, algunos de los indicadores mas significativos de los problemas potenciales, incluyen:
1.

Actitudes desfavorables del usuario final

hardware / software

2.

Costos excesivos

13. Extensos reportes de excepciones

3.

Presupuesto excesivo

14. Reportes de excepciones a los que no se les dio

4.

Proyectos demorados

5.

Rotacin elevada de personal

15. Poca motivacin

6.

Personal inexperto

16. Ausencia de planes de reemplazo

7.

Errores frecuentes de Hardware / Software

17. Confianza en uno o dos miembros claves del

8.

Lista excesiva de solicitudes de usuarios en espera

9.

Largo tiempo de respuesta de computadora

seguimiento

personal
18. Falta de entrenamiento adecuado.

10. Numerosos proyectos de desarrollo abortados o


suspendidos

11. Compras de hardware / software sin soporte o sin


autorizacin
12. Frecuentes ampliaciones de capacidad de
128

8.1 Revisin de la Documentacin


1. Las estrategias, planes y presupuestos de tecnologa de la informacin
2. La documentacin de polticas de seguridad
3. Las cuadros organizativos / funcionales (organigramas)
4. Las descripciones de los puestos de trabajo
5. Los reportes del comit de direccin
6. Los procedimientos de desarrollo de sistemas y de cambio de programas
7. Los procedimientos de operaciones
8. Los manuales de recursos humanos
9. Procedimientos de aseguramiento de la calidad.

Adems, se deben estudiar los diferentes documentos revisados para determinar si:
Fueron creados como lo autoriz la gerencia y como sta quera que fueran creados.

Estn vigentes y actualizados.


129

8.2 Revisin de los compromisos contractuales


Existen diferentes etapas de un contrato de hardware, software o servicio:
1. Desarrollo de los requerimientos de contratacin
2. Proceso de licitacin del contrato
3. Proceso de seleccin del contrato
4. Aceptacin del contrato
5. Mantenimiento del contrato
6. Cumplimiento del contrato.
Al revisar una muestra de contratos, el auditor de SI debe evaluar la adecuacin
de los siguientes trminos y condiciones:
Niveles de servicio
Derecho a auditar o reporte de auditora de tercero
Escrow de software
Penalizaciones por incumplimento
Acatamiento de las polticas y procedimientos de seguridad
Proteccin de informacin de cliente
Proceso de cambio de contrato
Terminacin de contrato y cualquier penalizacin apropiada.
130

CASO DE ESTUDIO

131

9. Caso de Estudio
A un auditor de Si se le ha pedido que revise el borrador de un contrato de
outsourcing y SLA y que recomiende cualquier cambio o seale cualquier
preocupacin antes de que stos sean presentados a la alta gerencia para su
aprobacin final. El contrato incluye soporte de Windows y de la administracin
de servidor UNIX y la administracin de redes a un tercero. Los servidores sern
reubicados a la instalacin del outsourcer que est ubicada en otro pas, y se
establecer la conectividad usando Internet. Se aumentar la capacidad del
software del sistema operativo dos veces por ao, pero stos no sern entregado
en custodia. Todas las solicitudes de adicin o de eliminacin de cuentas de
usuario sern procesadas dentro de 3 das hbiles. El software de deteccin de
intrusos ser monitoreado continuamente por el outsourcer y el cliente notificar
por e-mail si se detectara cualquier anomala. Los nuevos empleados contratados
dentro de los ltimos tres aos estuvieron sujetos a verificaciones de
antecedentes. Antes de eso, no haba polticas establecidas. Est establecida una
clusula de derecho a auditora, pero se requiere un aviso de 24 horas antes de
una visita al establecimiento. Si se encontrara que el outsourcer est en violacin
de cualquiera de los trminos o condiciones del contrato, ste tendr 10 das
hbiles para corregir la deficiencia. El outsourcer no tiene un auditor de SI, pero
es auditado por una firma regional de contadores pblicos.
132

Pregunta

Cul de lo siguiente sera la MAYOR preocupacin


para el auditor de SI?

A. Los cambios de cuenta de usuario son procesados dentro de tres


das hbiles.
B. Se requiere un aviso con 24 horas de anticipacin para una
visita al establecimiento.

C. El outsourcer no tiene una funcin de auditora de SI.


D. El escrow (puesta en custodia) no est incluido en el contrato.

133

Pregunta

Cul de lo siguiente sera el problema MS


significativo
para
resolver
si
los
servidores
contuvieran informacin de cliente identificable
personalmente que es accesado regularmente y
actualizado por los usuarios finales?

A. El pas en el que el tercerizador o outsourcer est establecido


prohbe el uso de encripcin fuerte para los datos transmitidos.
B. El outsourcer limita su responsabilidad si toma medidas
razonables para proteger los datos de clientes.
C. El outsourcer no efectu verificaciones de antecedentes para los
empleados contratados hace ms de tres aos.
D. El software de sistema slo actualiza una vez cada seis meses.
134

Universidad Don Bosco


Calle Plan del Pino ,km 1 Ciudadela Don Bosco, Soyapango
San Salvador, El Salvador, Centro Amrica
(503) 2251-8200 Ext. 1722
www.udb.edu.sv
135

Das könnte Ihnen auch gefallen