Gobierno corporativo

1. Gobierno Corporativo LOGO

2. LOGO II-unidad: Contenido  Qué es gobierno corporativo  Practicas de monitoreo y aseguramiento para la JD y la gerencia  Estrategia de sistemas de información  Políticas y procedimientos  Administración del riesgo  Ética  Plan de Contingencia

3. Gobierno Corporativo LOGO ¿Qué es?  El Gobierno Corporativo es el sistema por el cual las sociedades son dirigidas y controladas. La estructura del Gobierno Corporativo especifica la distribución de los derechos y responsabilidades entre los diferentes participantes de la sociedad, tales como el directorio, los gerentes, los accionistas y otros agentes económicos que mantengan algún interés en la empresa.  El Gobierno Corporativo también provee la estructura a través de la cual se establecen los objetivos de la empresa, los medios para alcanzar estos objetivos y la forma de hacer un seguimiento a su desempeño.

4. LOGO ¿Qué es gobierno corporativo?  Son las Reglas y Procedimientos para tomar decisiones en los asuntos corporativos.  Promoción de la justicia corporativa, la transparencia y la rendición de cuentas. (J. Wolfensohn, President, World Bank)

5. LOGO ¿Qué es gobierno corporativo? “Gobierno Corporativo significa hacer todo de una forma más adecuada, con el objetivo de mejorar las relaciones entre la compañía y sus accionistas; mejorar la calidad de los miembros de la Junta Directiva; animar a la administración a pensar a largo plazo; asegurar que la información financiera es apropiada; asegurar que la gerencia es fiscalizada en el mejor interés de los accionistas”. Vepa Kamesam,Governor, Reserve Bank of India

6. LOGO ¿Qué es gobierno corporativo? El gobierno corporativo se define como un comportamiento corporativo ético por parte de los directores u otros encargados del gobierno, para la creación y entrega de los beneficios para todas las partes interesadas. “La distribución de derechos y responsabilidades entre los diferentes participantes en la corporación tales como la junta, los gerentes, los accionistas y otras partes interesadas, y explica las reglas y procedimientos para tomar decisiones sobre los asuntos corporativos” Manual de preparación al examen CISA

7. LOGO Gobierno Corporativo ¿Por qué es bueno?  El gobierno corporativo comprende diferentes aspectos regulatorios y organizacionales que, en la medida que sean adecuadamente implementados en una empresa, le permitirá a ésta atraer y retener capital financiero y humano, funcionar en forma eficiente y, así, crear valor económico para la corporación y sus accionistas.  Esto es importante porque, en un ámbito cada vez más global, las empresas no sólo compiten en los mercados de consumo o de servicios sino que también compiten por inversión en los mercados de capitales.

8. LOGO Gobierno Corporativo  ¿Qué es un Buen Gobierno Corporativo?  El buen gobierno corporativo es un concepto que está cobrando cada vez más importancia en el ámbito local e internacional debido a su reconocimiento como un valioso medio para alcanzar mercados más confiables y eficientes. Un gobierno corporativo es bueno cuando protege los derechos de todos sus accionistas y asegura un trato equitativo. Además, cuenta con mejores políticas de directorio, es transparente en la calidad de la información de la empresa, cuenta con una estructura gerencial definida y genera buenas relaciones con el entorno externo e interno (incluyendo a empleados, proveedores, clientes y a la comunidad).

9. LOGO Practicas de monitoreo y aseguramiento para la JD y la gerencia  El gobierno de TI es un término incluyente que abarca sistemas de información, tecnología y comunicación; negocios, aspectos legales y otros; y todas las partes interesadas, los directores, la alta gerencia, los propietarios de los procesos, los proveedores de TI, los usuarios y los auditores. El gobierno ayuda a asegurar el alineamiento de TI con los objetivos de la empresa.

10. LOGO Practicas de monitoreo y aseguramiento para la JD y la gerencia  El gobierno corporativo efectivo concentra la pericia y experiencia individual y de grupo en áreas especificas, donde ellos puedan ser más efectivos. La Tecnología de información, considerada por mucho tiempo sólo un habilitador de la estrategia de una organización, es ahora considerada como parte integral de esa estrategia.

11. LOGO Practicas de monitoreo y aseguramiento para la JD y la gerencia  Los especialistas están de acuerdo en que la concordancia estratégica entre los objetivos de TI y los de la empresa son un factor crítico de éxito.  El gobierno de TI ayuda a alcanzar este factor critico de éxito desplegando de manera eficiente y efectiva información segura, confiable y tecnología aplicada.

12. LOGO Practicas de monitoreo y aseguramiento para la JD y la gerencia  Fundamentalmente al gobierno de TI le incumben dos aspectos: que TI entregue valor al negocio y que los riesgos de TI sean administrados. Impulsado por el alineamiento de TI con el negocio Impulsado por la integración de la responsabilidad en la empresa.

13. LOGO  Preguntas El gobierno de TI asegura que una organización se alinee su estrategia de TI con: a. b. c. d. Los objetivos de la empresa Los objetivos de TI Los objetivos de auditoria Los objetivos de control

14. LOGO Mejores Practicas para el gobierno de TI  El gobierno de TI es un conjunto de responsabilidades y practicas usadas por la gerencia de una organización para proveer dirección estratégica; de ese modo, asegurando que las metas sean alcanzables, los riesgos sean debidamente considerados y los recursos organizacionales sean debidamente utilizados.

15. LOGO Rol de la auditoria en el gobierno de TI  La manera de aplicar TI dentro de la empresa tendrá un efecto enorme sobre si la empresa logrará su misión, visión, o metas estratégicas.  Por esta razón, una empresa necesita evaluar su gobierno de TI, ya que se está volviendo una parte cada vez más importante del gobierno total de la empresa.  La auditoria tiene un rol significativo en una implementación exitosa del gobierno de TI dentro de una organización. Su posición le permite recomendar practicas lideres a la alta gerencia para mejorar la calidad y efectividad de las iniciativas de gobierno de TI implementadas.  La auditoria ayuda a asegurar el cumplimiento de las iniciativas de gobierno de TI implementadas dentro de una organización.

16. LOGO Rol de la auditoria en el gobierno de TI  Reportar sobre el gobierno de TI implica auditar al más alto nivel en la organización, y puede cruzar los limites de división, de funciones o departamentos. El auditor debe confirmar que los términos de referencia establezcan:  El alcance del trabajo, incluyendo una clara definición de las áreas y aspectos funcionales que se cubrirán.  El nivel al que se entregara el informe, donde están identificados los temas de gobierno TI al mas alto nivel de la organización.  El derecho de acceso a la información para el auditor de SI.

17. LOGO Rol de la auditoria en el gobierno de TI  De acuerdo con el rol definido del auditor, se necesita evaluar los siguientes aspectos relacionados con el gobierno de TI:  El alineamiento de la función de SI con la misión, la visión, los valores, los objetivos y las estrategias de la organización.  El logro por parte de la función de SI de los objetivos de desempeño establecidos por el negocio.  Los requerimientos legales, ambientales, de calidad de información y de seguridad.  El entorno de control de la organización  Los riesgos inherentes dentro del entorno de SI

18. LOGO Comité de estrategia de TI  La creación de un comité de estrategia de TI es una mejor practica de la industria. Sin embargo, el comité necesita ampliar su radio de acción para incluir no solo asesoramiento sobre estrategia cuando apoya a la JD en sus responsabilidades de gobierno de TI, sino también concentrarse en el valor de TI, los riesgos y el desempeño.

19. LOGO Comité de estrategia de TI  Mitiga la falta de comunicación y entendimiento que se establece entre el departamento de TI y el resto de la misma.  El comité de TI es el primer lugar de encuentro dentro de la empresa de los informáticos y sus usuarios.  Permite a los usuarios conocer las necesidades informáticas del conjunto de la organización y no solo las de su área, participando en la fijación de prioridades.  Se evitan acusaciones de favoritismos entre un área y la otra.  Se promueve la mejor utilización de los recursos informáticos, tradicionalmente escasos.  La dirección de informática se ha de convertir en el principal impulsor de la existencia de dicho comité.  Debería estar formado por pocas personas y presidido por el director más alto de la empresa.  El director de informática debería actuar como secretario y las grandes áreas usuarias deberían estar representadas al nivel de sus directores más altos.  El director de auditoria interna debería ser miembro del comité de TI.

20. LOGO Evolución de COBIT Gobierno de TI Cobit 4 Administración 2005 Cobit 3 Control Cobit 2 Auditoria Cobit 1 1996 1998 2000 COBIT da soporte al gobierno De TI al brindar un marco de Trabajo que garantiza: •Alineación estratégica •Entrega de valor •Administración de recursos •Administración de riegos •Medición del desempeño

21. LOGO  El gobierno de TI es responsabilidad de la junta directiva y de la gerencia ejecutiva. Las practicas clave del gobierno de TI son: el comité de estrategias de TI, la administración de riesgos y el balanced scorecard de TI (BSC)

22. LOGO Balance Scorecard de TI  El BSC, es una técnica evaluativa que puede aplicarse al proceso de gobierno de TI para evaluar las funciones y los procesos de TI.  El BSC de TI, va más allá de la evaluación financiera tradicional, complementadola con medidas que conciernen a la satisfacción del cliente (Usuario), procesos internos (operativos) y la capacidad de innovar. Estas medidas adicionales impulsan a la organización hacia el uso óptimo de TI, el cual está alineado con las metas estratégicas de la organización.

23. LOGO Balance Scorecard de TI  Para aplicarlo a TI, se usa una estructura de tres capas para tratar las cuatro perspectivas:  Misión, por ejemplo: • Convertirse en el proveedor preferido de SI. • Entregar aplicaciones y servicios de TI eficientes y efectivos. • Obtener una contribución razonable de las inversiones en TI para el negocio • Desarrollar oportunidades que respondan a los futuros desafíos.  Estrategias, por ejemplo: • Desarrollar aplicaciones y operaciones superiores • Desarrollar alianzas con los usuarios y mejores servicios para los clientes • Proveer valor de negocio a los proyectos de TI • Proveer nuevas capacidades de negocio • Entrenar y educar al personal de TI y promover la excelencia. • Proveer soporte para la investigación y el desarrollo.

24. LOGO Balance Scorecard de TI  Medidas, por ejemplo: • Proveer un conjunto balanceado de medidas para guiar las decisiones de TI orientadas a negocios.  BSC es uno de los medios más efectivos para ayudar al comité de estrategia de TI y a la gerencia a lograr el alineamiento de TI y el negocio. Los objetivos son establecer un vehiculo para la información gerencial a la junta, estimular el consenso entre los interesados clave sobre los objetivos estratégicos de TI, demostrar la efectividad y el valor agregado de TI, y comunicar el desempeño, los riesgos y las capacidades de TI.

25. Definir Objetivos LOGO Objetivos de negocio Objetivos de TI Objetivos de Procesos Objetivos de Actividad Medición de logro Es medido por Es medido por Número de incidentes que efecten la imagen pública Número de incidentes que efecten la imagen pública Es medido por Numero de violaciones de acceso Es medido por La frecuencia de la revisión de los tipos de eventos de seguridad que son monitoreados KGI métrica de negocios KPI KGI métricas de TI KPI KPI métricas de procesos KGI Directriz de desempeño Mejorar y realinear Detectar Asegurar de que y resolver Comprender Mantener la los servicios de TI los accesos e los requerimientos reputación pueden resistir y información De seguridad, de la empresa recuperarse de los no autorizados, Vulnerabilidades y el liderazgo ataques aplicaciones y amenazas e infraestructura

26. LOGO Estrategia de sistemas de información  Planeación estratégica  Desde el punto de vista de sistemas de información, se relaciona con la dirección a largo plazo que una organización quiere seguir para apalancar con TI la mejora de sus procesos de negocio. Bajo la responsabilidad de la alta gerencia, los factores a considerar incluyen: • Identificar soluciones de TI eficientes en costos a fin de enfrentar problemas y oportunidades para la organización y desarrollar planes de acción para identificar y adquirir los recursos que se necesitan.

27. LOGO Estrategia de sistemas de información  Planeación estratégica  Para desarrollar planes estratégicos, generalmente de tres a cinco años de duración, las organizaciones deben asegurarse de que los mismos estén plenamente acorde, y son consistentes con todas las metas y objetivos de la organización.  Una planeación estratégica efectiva de TI involucra tener en consideración l demanda de TI de la organización y la capacidad de proveer TI.

28. LOGO Estrategia de sistemas de información  Planeación estratégica  Es importante que el proceso de planificación estratégica abarque no solo la entrega de nuevos sistemas y tecnología, sino que considere los retornos que se logran de la inversión en TI existente. En muchas organizaciones el gasto en los sistemas, infraestructura y el soporte, representa el 85% o más del gasto total anual de TI.

29. LOGO Estrategia de sistemas de información  El auditor de SI debe prestar total atención a la importancia de la planeación estratégica de TI, considerando las practicas de control gerencial. Además, que los planes estratégicos de TI estén en sincronización con toda la estrategia de negocio.

30. LOGO Estrategia de sistemas de información  Un auditor de TI debe enfocarse en:  La importancia del proceso de planeación estratégica o en el marco de planeacion.  Prestar particular atención a la necesidad de notar los requerimientos de convertir los planes operativos o tácticos de TI desde el negocio y las estrategias de TI, contenidos de planes, requerimientos para actualizar y comunicar planes, y requerimientos de monitoreo y evaluación.

31. LOGO  Pregunta ¿Cuál de lo siguiente estaría incluido en un plan estratégico del negocio? a. b. c. d. Especificaciones para compras planeadas de hardware Análisis de los objetivos futuros del negocio Fechas objetivo para los proyectos de desarrollo Objetivos presupuestarios anuales para el departamento de SI

32. Pregunta LOGO  ¿Cuál de lo siguiente describe MEJOR un proceso de planeacion estratégica del departamento de TI? a. b. c. d. El departamento de TI tendrá o bien planes de corto alcance o de largo alcance dependiendo de los planes y objetivos mas amplios de la organización. El plan estratégico del departamento de TI debe estar orientado al tiempo y al proyecto, pero no tan detallado como para resolver y ayudar a que determinadas prioridades satisfagan las necesidades del negocio. La planeacion de largo alcance para el departamento de TI debe reconocer las metas organizacionales, los adelantos tecnológicos y los requerimientos regulatorios. La planeacion de corto alcance para el departamento de TI no necesita estar integrada en los planes de corto alcance de la organización ya que los adelantos tecnológicos impulsaran los planes del departamento de TI mucho mas rápido que los planes organizacionales.

33. LOGO Políticas y Procedimientos  Reflejan la guía y orientación de la gerencia para desarrollar controles sobre los sistemas de información y recursos relacionados.  Las políticas son documentos de alto nivel. Ellas representan la filosofía corporativa de una organización y el pensamiento estratégico de la alta gerencia y de los dueños de los procesos de negocio. La políticas deben ser claras y concisas para que sean efectivas.  La administración debe crear un ambiente de control positivo, asumiendo la responsabilidad de formular, desarrollar, documentar, promulgar y controlar las políticas que abarcan las metas y las directrices generales.

34. LOGO Políticas  La gerencia debe emprender las acciones necesarias para asegurar que los empleados afectados por una política especifica reciban una explicación completa de la política y entiendan cual es su propósito. Además, las políticas pueden también aplicarse a terceros y a outsourcers, quienes necesitaran estar vinculados para seguir las políticas.  Las políticas de menor nivel deben ser consistentes con las políticas a nivel corporativo.  La administración debe revisar todas las políticas periódicamente.  Los auditores deben alcanzar un entendimiento de las políticas como parte del proceso de auditoria y comprobar si estas se cumplen.  Los controles de SI deben de fluir de las políticas, y los auditores de SI deben usar las políticas como un punto de referencia para evaluar el cumplimiento.

35. LOGO Políticas  El costo de un control nunca debe exceder el beneficio que se espera obtener.  La política debe ser aprobada por la alta gerencia. Debe ser documentada y comunicada a todos los empleados y proveedores de servicio, según sea pertinente.

36. LOGO Documento de política de seguridad  El documento de política debe contener:  Una definición de seguridad de información, sus objetivos generales y su alcance, y la importancia de la seguridad como un mecanismo que permite que se comparta la información.  Una declaración de la intención de la gerencia, soportando las metas y los principios de la seguridad de información en línea con la estrategia y los objetivos del negocio.  Un marco para fijar los objetivos de control y los controles, incluyendo la estructura de la evaluación del riesgo y la administración del riesgo.

37. LOGO Documento de política de seguridad  El documento de política debe contener:  Una breve explicación de las políticas de seguridad, los principios, los estándares y los requisitos de cumplimiento de particular importancia para la organización, incluyendo: • Cumplimiento de los requisitos legislativos, regulatorios y contractuales • Requisitos de educación entrenamiento y conciencia de la seguridad. • Administración de la continuidad de negocio. • Consecuencias de las violaciones de la política de seguridad de información

38. LOGO Documento de política de seguridad  El documento de política debe contener:  Una definición de las responsabilidades generales y especificas para la gerencia de seguridad de información, incluyendo reportar incidentes de seguridad de información.  Referencias a la documentación que puede soportar la política, políticas y procedimientos mas detallados de seguridad para sistemas de información o reglas de seguridad especificas que deben ser cumplidos por los usuarios.

39. LOGO Revisión de la política de seguridad  La política debe ser revisada a intervalos planeados o si ocurrieran cambios significativos, para asegurar que siga siendo apropiada, adecuada y efectiva.  El mantenimiento de la política de seguridad debe tomar en cuenta los resultados de estas revisiones.

40. LOGO Procedimientos  Son documentos detallados. Deben derivarse de la política madre e implementar el espíritu de la aseveración de la política. Los procedimientos deben ser escritos en una forma clara y concisa, de modo que sean comprendidos fácil y correctamente por todos los que se deben regir por ellos.  Los procedimientos documentan procesos de negocio y los controles integrados en los mismos. Los procedimientos son formulados por la gerencia media como una traducción efectiva de las políticas.

41. LOGO Procedimientos  Los auditores revisan los procedimientos para identificar, evaluar y después de ello probar los controles sobre los procesos del negocio.  Un procedimiento que no es conocido completamente por el personal que lo tiene que usar, es esencialmente inefectivo.  El revisor debe mantener su independencia en todo momento y no debe ser influenciado por nadie del grupo que está siendo inspeccionado.

42. LOGO Administración de riesgo  La administración del riesgo es el proceso de identificar las debilidades y las amenazas para los recursos de información utilizados por una organización para lograr los objetivos del negocio, y decidir que contramedidas tomar, si hubiera alguna, para reducir el nivel de riesgo hasta un nivel aceptable basado en el valor del recurso de información para la organización.  La administración efectiva de riesgo comienza con un claro entendimiento del apetito de riesgos de la organización.  La administración de riesgos abarca identificar, analizar, evaluar, tratar, monitorear y comunicar el impacto del riesgo sobre los procesos de TI.

43. LOGO Administración de riesgo  Dependiendo del tipo de riesgo y su importancia para el negocio, la administración y la junta pueden optar por:  Evitar, por ejemplo, donde sea factible, escoger no implementar ciertas actividades o procesos que incurrirían en un riesgo mayor.  Mitigar, por ejemplo, definir e implementar controles para proteger la infraestructura de TI  Transferir, por ejemplo, compartir el riesgo con socios, o transferirlo a cobertura del seguro  Aceptar, es decir, reconocer formalmente la existencia del riesgo y monitorearlo  Eliminar, es decir, donde sea posible, eliminar la fuente del riesgo.

44. LOGO Administración de riesgo  El riesgo puede ser transferido, rechazado, reducido, o evitado.  Transferido-- Compra de seguros  Rechazar-- Ignorándolo (peligroso)  Reducido-- Implementación o mejora de controles y procedimientos de seguridad  Evitar-- Eliminando el origen del riesgo.

45. LOGO Desarrollo de un programa de administración del riesgo  Para desarrollar un programa de administración del riesgo:  Establecer el propósito del programa  Asignar responsabilidad para el plan de administración del riesgo

46. LOGO Proceso de administración de riesgos  Paso 1: Identificación y clasificación de los recursos de información o de los activos que necesitan protección, porque son vulnerables a las amenazas. Ejemplos de activos típicos asociados con la información y con TI:       Información y datos Hardware Software Servicios Documentos Personal  Otros activos de negocio  Edificios, el efectivo, inventario y activos menos tangibles imagen/reputacion

47. LOGO Proceso de administración de riesgos  Paso 2: Estudiar las amenazas y vulnerabilidades asociadas con el recurso de información y la probabilidad de que ocurran. • Amenazas es cualquier circunstancia o evento con el potencial de dañar un recurso de información, tales como destrucción, divulgación, modificación de datos. Las clases comunes de amenaza (errores, fraude, robo, falla del equipamiento/software) • Las amenazas ocurren por causa de las vulnerabilidades. Las vulnerabilidades con características de los recursos de información que pueden ser explotadas por una amenaza para causar daño. (Falta de conocimiento del usuario, falta de conocimiento del usuario, falta de funcionalidad de la seguridad, elección deficiente de contraseñas, tecnología no aprobada) • El resultado de cualquiera de las amenazas se denomina IMPACTO

48. LOGO Practicas de gerencia de SI  Las practicas de gerencia de SI reflejan la implementación de políticas y procedimientos desarrollados para diversas actividades gerenciales relacionadas con SI.  Las actividades de la gerencia para revisar las formulaciones de políticas y procedimientos y su efectividad dentro del departamento de SI incluiría practicas tales como:  Administración de personal  Contratación (manual de conducta)  Administración de cambios de TI (Tercerización)

49. LOGO Practicas de gerencia de SI Cada organización que usa los servicios de terceros debe tener un sistema de administración de entrega de servicios para implementar y mantener el nivel apropiado de seguridad de información y entrega de servicio en línea con contratos de entrega de servicios de terceros. La organización debe verificar la implementación de los contratos, monitorear el cumplimiento de los contratos y administrar los cambios para asegurar que los servicios entregados satisfagan los requisitos acordados con el tercero.

50. LOGO Estructura Organizacional y responsabilidades de SI Un departamento de sistemas de información está generalmente estructurado como se muestra en la figura siguiente:

51. Estructura Organizacional y responsabilidades de SI LOGO Gerente / director de TI Seguridad y calidad Aplicaciones Administrador de seguridad Control de Calidad Analistas de sistemas Programadores Data Administrador de BD Soporte técnico Administrador de Redes Administrador de Sistema operativo Programadores de Sistemas (sistemas operativos) Operaciones Administrador de operaciones Operador de computadora

52. LOGO Estructura Organizacional y responsabilidades de SI Los cuadros de estructura organizacional u organigramas son elementos importantes que deben tener todos los empleados, ya que ellos proveen una definición clara de la jerarquía y autoridad del departamento. Las descripciones de los puestos de trabajo brindan a los empleados del departamento de SI una orientación clara respecto a sus roles y responsabilidades.

53. LOGO Estructura Organizacional y responsabilidades de SI La segregación de funciones evita la posibilidad de que una sola persona pueda ser responsable de funciones diversas y criticas de tal forma que pudieran ocurrir errores o apropiaciones indebidas y no ser detectadas oportunamente, en el curso normal de los procesos de negocio. La segregación de funciones es un importante medio por el cual se pueden prevenir y disuadir actos fraudulentos o maliciosos.

54. LOGO Estructura Organizacional y responsabilidades de SI Las funciones que deben ser segregadas incluyen:  Custodia de activos  Autorización  Registro de transacciones Si no existe segregación podría ocurrir lo siguiente:     Apropiación indebida de activos Estados financieros falsos Documentación inexacta Uso indebido de fondos o la modificación de datos podría pasar inadvertida.

55. LOGO Preguntas ¿Cuál de las siguientes tareas pueden ser ejecutadas por la misma persona en un centro de computo de procesamiento de información bien controlado? a. b. c. d. Administración de seguridad y administración de cambios Operaciones de computo y desarrollo de sistemas Desarrollo de sistemas y administración de cambios Desarrollo de sistemas y mantenimiento de sistemas

56. LOGO Preguntas ¿Cuál de lo siguiente es el control MAS critico sobre la administración de la base de datos? a. b. c. d. Aprobación de las actividades de DBA Segregación de tareas Revisión de registros (logs) de acceso y actividades Revisión del uso de las herramientas de la base de datos

57. LOGO Auditoria de la estructura e implementación de gobierno de TI  Aunque son muchos los aspectos que le preocupan al auditor, algunos de los indicadores más significativos de los problemas potenciales:                 Actitudes desfavorables del usuario final Costos excesivos Presupuesto excedido Proyectos demorados Rotación elevada de personal Personal Inexperto Errores frecuentes de hardware / software Lista excesiva de solicitudes de usuarios en espera Largo tiempo de respuesta de computadora Numerosos proyectos de desarrollo abortados o suspendidos Compras de hardware / software sin soporte o sin autorización. Frecuentes ampliaciones de capacidad de hardware / software Extensos reportes de excepciones Poca motivación Confianza en miembros claves del personal Falta de entrenamiento adecuado

58. LOGO Revisión de documentación  La siguiente documentación debe ser revisada: Estrategias, planes y presupuestos de TI Documentación de políticas de seguridad Cuadros organizativos / funcionales Las descripciones de los puestos de trabajo Los reportes del comité de dirección Los procedimientos de desarrollo de sistemas y de cambio de programas.  Procedimientos de operaciones  Manuales de recursos humanos  Procedimientos de aseguramiento de la calidad        Revisión de compromisos contractuales  Niveles de servicio  Penalizaciones por incumplimiento  Protección de información

59. LOGO Estudio de caso  A un auditor de SI se le ha pedido que revise el borrador de un contrato de outsourcing y que recomiende cualquier cambio o señale cualquier preocupación antes de que estos sean presentados a la alta gerencia para su aprobación final. El contrato incluye soporte de Windows y de la administración del servidor UNIX y la administración de redes a un tercero. Los servidores serán reubicados a la instalación del outsourcer que está ubicada en otro país, y se establecerá la conectividad usando la Internet. Se aumentará la capacidad del software del sistema operativo dos veces por año, pero éstos no serán entregados en custodia.  Todas las solicitudes de adición o eliminación de cuentas de usuario serán procesadas dentro de tres días hábiles. El software de detección de intrusos será monitoreado continuamente por el outsourcer y el cliente notificará por email si se detectara cualquier anomalía. Los nuevos empelados contratados dentro de los últimos tres años estuvieron sujetos a verificaciones de antecedentes antes de eso no había políticas establecidas. Está establecida una cláusula de derecho a auditoria pero se requiere un aviso de 24 horas antes de una visita al establecimiento. Si se encontrara que outsourcer esta en violación de cualquiera de los términos o condiciones del contrato, este tendrá 10 días hábiles para corregir la deficiencia. El outsoucer no tiene un auditor de SI. Pero es auditado por una firma regional de contadores públicos.

60. LOGO Preguntas de caso  ¿Cual de los siguientes sería de MAYOR preocupación para el auditor de SI? a. Los cambios de cuenta de usuario son procesados dentro de 3 días hábiles. Se requiere un aviso con 24 horas de anticipación para una visita al establecimiento. El outsoucer no tiene una función de auditoria de SI. El escrow (puesta en custodia) no está incluido en el contrato. b. c. d.

61. LOGO Preguntas de caso  ¿Cual de los siguientes seria el problema MAS significativo para resolver si los servidores contuvieran información de cliente identificable personalmente que es accesado regularmente y actualizado por los usuarios finales? a. El país en el que el tercerizador o outsourcer está establecido prohíbe el uso de encripción fuerte para los datos transmitidos. El outsourcer limita su responsabilidad si toma medidas razonables para proteger los datos de cliente. El outsourcer no efectuó verificaciones de antecedentes para los empleados contratados hace más de tres años. El software de sistemas solo se actualiza una vez cada seis meses. b. c. d.

Gobierno corporativo

Estás leyendo una previsualización.

Eche un vistazo a continuación

Gobierno corporativo

Más Contenido Relacionado

Presentaciones para usted (20)

A los espectadores también les gustó (6)

Similares a Gobierno corporativo (20)

Más de Maykel Centeno (7)