2. LOGO
II-unidad: Contenido
Qué es gobierno corporativo
Practicas de monitoreo y aseguramiento para la JD y
la gerencia
Estrategia de sistemas de información
Políticas y procedimientos
Administración del riesgo
Ética
Plan de Contingencia
3. Gobierno Corporativo
LOGO
¿Qué
es?
El Gobierno Corporativo es el sistema por el cual las sociedades son dirigidas y
controladas. La estructura del Gobierno Corporativo especifica la distribución de los
derechos y responsabilidades entre los diferentes participantes de la sociedad, tales
como el directorio, los gerentes, los accionistas y otros agentes económicos que
mantengan algún interés en la empresa.
El Gobierno Corporativo también provee la estructura a través de la cual se
establecen los objetivos de la empresa, los medios para alcanzar estos objetivos y la
forma de hacer un seguimiento a su desempeño.
4. LOGO
¿Qué es gobierno corporativo?
Son las Reglas y Procedimientos para tomar decisiones en los
asuntos corporativos.
Promoción de la justicia corporativa, la transparencia y la rendición de
cuentas.
(J. Wolfensohn, President, World Bank)
5. LOGO
¿Qué es gobierno corporativo?
“Gobierno Corporativo significa hacer todo de una forma más adecuada, con el
objetivo de mejorar las relaciones entre la compañía y sus accionistas;
mejorar la calidad de los miembros de la Junta Directiva; animar a la
administración a pensar a largo plazo; asegurar que la información financiera
es apropiada; asegurar que la gerencia es fiscalizada en el mejor interés de
los accionistas”.
Vepa Kamesam,Governor, Reserve Bank of India
6. LOGO
¿Qué es gobierno corporativo?
El gobierno corporativo se define como un comportamiento
corporativo ético por parte de los directores u otros encargados del
gobierno, para la creación y entrega de los beneficios para todas
las partes interesadas.
“La distribución de derechos y responsabilidades entre los
diferentes participantes en la corporación tales como la junta, los
gerentes, los accionistas y otras partes interesadas, y explica las
reglas y procedimientos para tomar decisiones sobre los asuntos
corporativos”
Manual de preparación al examen CISA
7. LOGO
Gobierno Corporativo
¿Por qué es bueno?
El gobierno corporativo comprende diferentes aspectos regulatorios
y organizacionales que, en la medida que sean adecuadamente
implementados en una empresa, le permitirá a ésta atraer y retener
capital financiero y humano, funcionar en forma eficiente y, así,
crear valor económico para la corporación y sus accionistas.
Esto es importante porque, en un ámbito cada vez más global, las
empresas no sólo compiten en los mercados de consumo o de
servicios sino que también compiten por inversión en los mercados
de capitales.
8. LOGO
Gobierno Corporativo
¿Qué es un Buen Gobierno Corporativo?
El buen gobierno corporativo es un concepto que está cobrando
cada vez más importancia en el ámbito local e internacional debido
a su reconocimiento como un valioso medio para alcanzar
mercados más confiables y eficientes.
Un gobierno corporativo es bueno cuando protege los derechos de
todos sus accionistas y asegura un trato equitativo. Además, cuenta
con mejores políticas de directorio, es transparente en la calidad de
la información de la empresa, cuenta con una estructura gerencial
definida y genera buenas relaciones con el entorno externo e
interno (incluyendo a empleados, proveedores, clientes y a la
comunidad).
9. LOGO
Practicas de monitoreo y aseguramiento para
la JD y la gerencia
El gobierno de TI es un término incluyente que abarca sistemas de
información, tecnología y comunicación; negocios, aspectos legales
y otros; y todas las partes interesadas, los directores, la alta
gerencia, los propietarios de los procesos, los proveedores de TI,
los usuarios y los auditores. El gobierno ayuda a asegurar el
alineamiento de TI con los objetivos de la empresa.
10. LOGO
Practicas de monitoreo y aseguramiento para
la JD y la gerencia
El gobierno corporativo efectivo concentra la pericia y experiencia
individual y de grupo en áreas especificas, donde ellos puedan ser
más efectivos. La Tecnología de información, considerada por
mucho tiempo sólo un habilitador de la estrategia de una
organización, es ahora considerada como parte integral de esa
estrategia.
11. LOGO
Practicas de monitoreo y
aseguramiento para la JD y la gerencia
Los especialistas están de acuerdo en que la concordancia
estratégica entre los objetivos de TI y los de la empresa son un
factor crítico de éxito.
El gobierno de TI ayuda a alcanzar este factor critico de éxito
desplegando de manera eficiente y efectiva información segura,
confiable y tecnología aplicada.
12. LOGO
Practicas de monitoreo y
aseguramiento para la JD y la gerencia
Fundamentalmente al gobierno de TI le incumben dos aspectos:
que TI entregue valor al negocio y que los riesgos de TI sean
administrados.
Impulsado por
el alineamiento de
TI con el negocio
Impulsado por
la integración de la
responsabilidad
en la empresa.
13. LOGO
Preguntas
El gobierno de TI asegura que una organización se alinee su
estrategia de TI con:
a.
b.
c.
d.
Los objetivos de la empresa
Los objetivos de TI
Los objetivos de auditoria
Los objetivos de control
14. LOGO
Mejores Practicas para el gobierno de
TI
El gobierno de TI es un conjunto de responsabilidades y practicas
usadas por la gerencia de una organización para proveer dirección
estratégica; de ese modo, asegurando que las metas sean
alcanzables, los riesgos sean debidamente considerados y los
recursos organizacionales sean debidamente utilizados.
15. LOGO
Rol de la auditoria en el gobierno
de TI
La manera de aplicar TI dentro de la empresa tendrá un efecto
enorme sobre si la empresa logrará su misión, visión, o metas
estratégicas.
Por esta razón, una empresa necesita evaluar su gobierno de TI, ya
que se está volviendo una parte cada vez más importante del
gobierno total de la empresa.
La auditoria tiene un rol significativo en una implementación exitosa
del gobierno de TI dentro de una organización. Su posición le
permite recomendar practicas lideres a la alta gerencia para
mejorar la calidad y efectividad de las iniciativas de gobierno de TI
implementadas.
La auditoria ayuda a asegurar el cumplimiento de las iniciativas de
gobierno de TI implementadas dentro de una organización.
16. LOGO
Rol de la auditoria en el gobierno
de TI
Reportar sobre el gobierno de TI implica auditar al más alto nivel en
la organización, y puede cruzar los limites de división, de funciones
o departamentos. El auditor debe confirmar que los términos de
referencia establezcan:
El alcance del trabajo, incluyendo una clara definición de las
áreas y aspectos funcionales que se cubrirán.
El nivel al que se entregara el informe, donde están identificados
los temas de gobierno TI al mas alto nivel de la organización.
El derecho de acceso a la información para el auditor de SI.
17. LOGO
Rol de la auditoria en el gobierno
de TI
De acuerdo con el rol definido del auditor, se necesita evaluar los
siguientes aspectos relacionados con el gobierno de TI:
El alineamiento de la función de SI con la misión, la visión, los valores,
los objetivos y las estrategias de la organización.
El logro por parte de la función de SI de los objetivos de desempeño
establecidos por el negocio.
Los requerimientos legales, ambientales, de calidad de información y de
seguridad.
El entorno de control de la organización
Los riesgos inherentes dentro del entorno de SI
18. LOGO
Comité de estrategia de TI
La creación de un comité de estrategia de TI es una mejor practica
de la industria. Sin embargo, el comité necesita ampliar su radio de
acción para incluir no solo asesoramiento sobre estrategia cuando
apoya a la JD en sus responsabilidades de gobierno de TI, sino
también concentrarse en el valor de TI, los riesgos y el desempeño.
19. LOGO
Comité de estrategia de TI
Mitiga la falta de comunicación y entendimiento que se establece entre
el departamento de TI y el resto de la misma.
El comité de TI es el primer lugar de encuentro dentro de la empresa
de los informáticos y sus usuarios.
Permite a los usuarios conocer las necesidades informáticas del
conjunto de la organización y no solo las de su área, participando en la
fijación de prioridades.
Se evitan acusaciones de favoritismos entre un área y la otra.
Se promueve la mejor utilización de los recursos informáticos,
tradicionalmente escasos.
La dirección de informática se ha de convertir en el principal impulsor
de la existencia de dicho comité.
Debería estar formado por pocas personas y presidido por el director
más alto de la empresa.
El director de informática debería actuar como secretario y las grandes
áreas usuarias deberían estar representadas al nivel de sus directores
más altos.
El director de auditoria interna debería ser miembro del comité de TI.
20. LOGO
Evolución de COBIT
Gobierno de TI
Cobit 4
Administración
2005
Cobit 3
Control
Cobit 2
Auditoria
Cobit 1
1996
1998
2000
COBIT da soporte al gobierno
De TI al brindar un marco de
Trabajo que garantiza:
•Alineación estratégica
•Entrega de valor
•Administración de recursos
•Administración de riegos
•Medición del desempeño
21. LOGO
El gobierno de TI es responsabilidad de la junta directiva y de la
gerencia ejecutiva. Las practicas clave del gobierno de TI son: el
comité de estrategias de TI, la administración de riesgos y el
balanced scorecard de TI (BSC)
22. LOGO
Balance Scorecard de TI
El BSC, es una técnica evaluativa que puede aplicarse al proceso
de gobierno de TI para evaluar las funciones y los procesos de TI.
El BSC de TI, va más allá de la evaluación financiera tradicional,
complementadola con medidas que conciernen a la satisfacción del
cliente (Usuario), procesos internos (operativos) y la capacidad de
innovar. Estas medidas adicionales impulsan a la organización
hacia el uso óptimo de TI, el cual está alineado con las metas
estratégicas de la organización.
23. LOGO
Balance Scorecard de TI
Para aplicarlo a TI, se usa una estructura de tres capas para tratar las cuatro
perspectivas:
Misión, por ejemplo:
• Convertirse en el proveedor preferido de SI.
• Entregar aplicaciones y servicios de TI eficientes y efectivos.
• Obtener una contribución razonable de las inversiones en TI para el
negocio
• Desarrollar oportunidades que respondan a los futuros desafíos.
Estrategias, por ejemplo:
• Desarrollar aplicaciones y operaciones superiores
• Desarrollar alianzas con los usuarios y mejores servicios para los
clientes
• Proveer valor de negocio a los proyectos de TI
• Proveer nuevas capacidades de negocio
• Entrenar y educar al personal de TI y promover la excelencia.
• Proveer soporte para la investigación y el desarrollo.
24. LOGO
Balance Scorecard de TI
Medidas, por ejemplo:
• Proveer un conjunto balanceado de medidas para guiar las
decisiones de TI orientadas a negocios.
BSC es uno de los medios más efectivos para ayudar al comité de
estrategia de TI y a la gerencia a lograr el alineamiento de TI y el
negocio. Los objetivos son establecer un vehiculo para la información
gerencial a la junta, estimular el consenso entre los interesados clave
sobre los objetivos estratégicos de TI, demostrar la efectividad y el
valor agregado de TI, y comunicar el desempeño, los riesgos y las
capacidades de TI.
25. Definir Objetivos
LOGO
Objetivos de negocio Objetivos de TI
Objetivos de
Procesos
Objetivos de
Actividad
Medición de logro
Es medido por
Es medido por
Número de
incidentes que
efecten la imagen
pública
Número de
incidentes que
efecten la
imagen
pública
Es medido por
Numero de
violaciones de
acceso
Es medido por
La frecuencia
de la revisión
de los tipos
de eventos
de seguridad
que son
monitoreados
KGI métrica de negocios KPI
KGI métricas de TI KPI
KPI métricas de procesos KGI
Directriz de desempeño
Mejorar y realinear
Detectar
Asegurar de que
y resolver
Comprender
Mantener la
los servicios de TI los accesos e los requerimientos
reputación
pueden resistir y
información
De seguridad,
de la empresa
recuperarse de los no autorizados, Vulnerabilidades
y el liderazgo
ataques
aplicaciones
y amenazas
e infraestructura
26. LOGO
Estrategia de sistemas de
información
Planeación estratégica
Desde el punto de vista de sistemas de información, se
relaciona con la dirección a largo plazo que una organización
quiere seguir para apalancar con TI la mejora de sus procesos
de negocio. Bajo la responsabilidad de la alta gerencia, los
factores a considerar incluyen:
• Identificar soluciones de TI eficientes en costos a fin de
enfrentar problemas y oportunidades para la organización y
desarrollar planes de acción para identificar y adquirir los
recursos que se necesitan.
27. LOGO
Estrategia de sistemas de información
Planeación estratégica
Para desarrollar planes estratégicos, generalmente de tres a
cinco años de duración, las organizaciones deben asegurarse
de que los mismos estén plenamente acorde, y son consistentes
con todas las metas y objetivos de la organización.
Una planeación estratégica efectiva de TI involucra tener en
consideración l demanda de TI de la organización y la
capacidad de proveer TI.
28. LOGO
Estrategia de sistemas de información
Planeación estratégica
Es importante que el proceso de planificación estratégica
abarque no solo la entrega de nuevos sistemas y tecnología,
sino que considere los retornos que se logran de la inversión en
TI existente.
En muchas organizaciones el gasto en los
sistemas, infraestructura y el soporte, representa
el 85% o más del gasto total anual de TI.
29. LOGO
Estrategia de sistemas de información
El auditor de SI debe prestar total atención a la importancia de la
planeación estratégica de TI, considerando las practicas de control
gerencial. Además, que los planes estratégicos de TI estén en
sincronización con toda la estrategia de negocio.
30. LOGO
Estrategia de sistemas de información
Un auditor de TI debe enfocarse en:
La importancia del proceso de planeación estratégica o en el
marco de planeacion.
Prestar particular atención a la necesidad de notar los
requerimientos de convertir los planes operativos o tácticos de
TI desde el negocio y las estrategias de TI, contenidos de
planes, requerimientos para actualizar y comunicar planes, y
requerimientos de monitoreo y evaluación.
31. LOGO
Pregunta
¿Cuál de lo siguiente estaría incluido en un plan estratégico del
negocio?
a.
b.
c.
d.
Especificaciones para compras planeadas de hardware
Análisis de los objetivos futuros del negocio
Fechas objetivo para los proyectos de desarrollo
Objetivos presupuestarios anuales para el departamento de
SI
32. Pregunta
LOGO
¿Cuál de lo siguiente describe MEJOR un proceso de
planeacion estratégica del departamento de TI?
a.
b.
c.
d.
El departamento de TI tendrá o bien planes de corto alcance o de
largo alcance dependiendo de los planes y objetivos mas amplios
de la organización.
El plan estratégico del departamento de TI debe estar orientado al
tiempo y al proyecto, pero no tan detallado como para resolver y
ayudar a que determinadas prioridades satisfagan las necesidades
del negocio.
La planeacion de largo alcance para el departamento de TI debe
reconocer las metas organizacionales, los adelantos tecnológicos y
los requerimientos regulatorios.
La planeacion de corto alcance para el departamento de TI no
necesita estar integrada en los planes de corto alcance de la
organización ya que los adelantos tecnológicos impulsaran los
planes del departamento de TI mucho mas rápido que los planes
organizacionales.
33. LOGO
Políticas y Procedimientos
Reflejan la guía y orientación de la gerencia para desarrollar controles
sobre los sistemas de información y recursos relacionados.
Las políticas son documentos de alto nivel. Ellas representan la
filosofía corporativa de una organización y el pensamiento
estratégico de la alta gerencia y de los dueños de los procesos de
negocio. La políticas deben ser claras y concisas para que sean
efectivas.
La administración debe crear un ambiente de control positivo,
asumiendo la responsabilidad de formular, desarrollar, documentar,
promulgar y controlar las políticas que abarcan las metas y las
directrices generales.
34. LOGO
Políticas
La gerencia debe emprender las acciones necesarias para asegurar que los
empleados afectados por una política especifica reciban una explicación
completa de la política y entiendan cual es su propósito. Además, las políticas
pueden también aplicarse a terceros y a outsourcers, quienes necesitaran
estar vinculados para seguir las políticas.
Las políticas de menor nivel deben ser consistentes con las políticas a nivel
corporativo.
La administración debe revisar todas las políticas periódicamente.
Los auditores deben alcanzar un entendimiento de las políticas como parte del
proceso de auditoria y comprobar si estas se cumplen.
Los controles de SI deben de fluir de las políticas, y los auditores de SI deben
usar las políticas como un punto de referencia para evaluar el cumplimiento.
35. LOGO
Políticas
El costo de un control nunca debe exceder el beneficio que se
espera obtener.
La política debe ser aprobada por la alta gerencia. Debe ser
documentada y comunicada a todos los empleados y proveedores
de servicio, según sea pertinente.
36. LOGO
Documento de política de seguridad
El documento de política debe contener:
Una definición de seguridad de información, sus objetivos
generales y su alcance, y la importancia de la seguridad como
un mecanismo que permite que se comparta la información.
Una declaración de la intención de la gerencia, soportando las
metas y los principios de la seguridad de información en línea
con la estrategia y los objetivos del negocio.
Un marco para fijar los objetivos de control y los controles,
incluyendo la estructura de la evaluación del riesgo y la
administración del riesgo.
37. LOGO
Documento de política de seguridad
El documento de política debe contener:
Una breve explicación de las políticas de seguridad, los
principios, los estándares y los requisitos de cumplimiento de
particular importancia para la organización, incluyendo:
• Cumplimiento de los requisitos legislativos, regulatorios y
contractuales
• Requisitos de educación entrenamiento y conciencia de la
seguridad.
• Administración de la continuidad de negocio.
• Consecuencias de las violaciones de la política de seguridad
de información
38. LOGO
Documento de política de seguridad
El documento de política debe contener:
Una definición de las responsabilidades generales y especificas
para la gerencia de seguridad de información, incluyendo
reportar incidentes de seguridad de información.
Referencias a la documentación que puede soportar la política,
políticas y procedimientos mas detallados de seguridad para
sistemas de información o reglas de seguridad especificas que
deben ser cumplidos por los usuarios.
39. LOGO
Revisión de la política de seguridad
La política debe ser revisada a intervalos planeados o si ocurrieran
cambios significativos, para asegurar que siga siendo apropiada,
adecuada y efectiva.
El mantenimiento de la política de seguridad debe tomar en cuenta
los resultados de estas revisiones.
40. LOGO
Procedimientos
Son documentos detallados. Deben derivarse de la política madre e
implementar el espíritu de la aseveración de la política. Los
procedimientos deben ser escritos en una forma clara y concisa, de
modo que sean comprendidos fácil y correctamente por todos los
que se deben regir por ellos.
Los procedimientos documentan procesos de negocio y los
controles integrados en los mismos. Los procedimientos son
formulados por la gerencia media como una traducción efectiva de
las políticas.
41. LOGO
Procedimientos
Los auditores revisan los procedimientos para identificar, evaluar y
después de ello probar los controles sobre los procesos del
negocio.
Un procedimiento que no es conocido completamente por el
personal que lo tiene que usar, es esencialmente inefectivo.
El revisor debe mantener su independencia en todo momento y no
debe ser influenciado por nadie del grupo que está siendo
inspeccionado.
42. LOGO
Administración de riesgo
La administración del riesgo es el proceso de identificar las
debilidades y las amenazas para los recursos de información
utilizados por una organización para lograr los objetivos del
negocio, y decidir que contramedidas tomar, si hubiera alguna, para
reducir el nivel de riesgo hasta un nivel aceptable basado en el
valor del recurso de información para la organización.
La administración efectiva de riesgo comienza con un claro
entendimiento del apetito de riesgos de la organización.
La administración de riesgos abarca identificar, analizar, evaluar,
tratar, monitorear y comunicar el impacto del riesgo sobre los
procesos de TI.
43. LOGO
Administración de riesgo
Dependiendo del tipo de riesgo y su importancia para el negocio, la
administración y la junta pueden optar por:
Evitar, por ejemplo, donde sea factible, escoger no implementar
ciertas actividades o procesos que incurrirían en un riesgo
mayor.
Mitigar, por ejemplo, definir e implementar controles para
proteger la infraestructura de TI
Transferir, por ejemplo, compartir el riesgo con socios, o
transferirlo a cobertura del seguro
Aceptar, es decir, reconocer formalmente la existencia del
riesgo y monitorearlo
Eliminar, es decir, donde sea posible, eliminar la fuente del
riesgo.
44. LOGO
Administración de riesgo
El riesgo puede ser transferido, rechazado, reducido, o evitado.
Transferido-- Compra de seguros
Rechazar-- Ignorándolo (peligroso)
Reducido-- Implementación o mejora de controles y
procedimientos de seguridad
Evitar-- Eliminando el origen del riesgo.
45. LOGO
Desarrollo de un programa de
administración del riesgo
Para desarrollar un programa de administración del riesgo:
Establecer el propósito del programa
Asignar responsabilidad para el plan de administración del
riesgo
46. LOGO
Proceso de administración de riesgos
Paso 1: Identificación y clasificación de los recursos de información
o de los activos que necesitan protección, porque son vulnerables a
las amenazas. Ejemplos de activos típicos asociados con la
información y con TI:
Información y datos
Hardware
Software
Servicios
Documentos
Personal
Otros activos de negocio
Edificios, el efectivo, inventario y activos menos tangibles
imagen/reputacion
47. LOGO
Proceso de administración de riesgos
Paso 2: Estudiar las amenazas y vulnerabilidades asociadas con el recurso
de información y la probabilidad de que ocurran.
• Amenazas es cualquier circunstancia o evento con el potencial de
dañar un recurso de información, tales como destrucción,
divulgación, modificación de datos. Las clases comunes de
amenaza (errores, fraude, robo, falla del equipamiento/software)
• Las amenazas ocurren por causa de las vulnerabilidades. Las
vulnerabilidades con características de los recursos de información
que pueden ser explotadas por una amenaza para causar daño.
(Falta de conocimiento del usuario, falta de conocimiento del
usuario, falta de funcionalidad de la seguridad, elección deficiente
de contraseñas, tecnología no aprobada)
• El resultado de cualquiera de las amenazas se denomina IMPACTO
48. LOGO
Practicas de gerencia de SI
Las practicas de gerencia de SI reflejan la implementación de
políticas y procedimientos desarrollados para diversas actividades
gerenciales relacionadas con SI.
Las actividades de la gerencia para revisar las formulaciones de
políticas y procedimientos y su efectividad dentro del departamento
de SI incluiría practicas tales como:
Administración de personal
Contratación (manual de conducta)
Administración de cambios de TI (Tercerización)
49. LOGO
Practicas de gerencia de SI
Cada organización que usa los servicios de terceros debe tener un
sistema de administración de entrega de servicios para implementar y
mantener el nivel apropiado de seguridad de información y entrega de
servicio en línea con contratos de entrega de servicios de terceros.
La organización debe verificar la implementación de los contratos,
monitorear el cumplimiento de los contratos y administrar los cambios
para asegurar que los servicios entregados satisfagan los requisitos
acordados con el tercero.
51. Estructura Organizacional y
responsabilidades de SI
LOGO
Gerente /
director de TI
Seguridad y
calidad
Aplicaciones
Administrador de
seguridad
Control de Calidad
Analistas de sistemas
Programadores
Data
Administrador de BD
Soporte técnico
Administrador de
Redes
Administrador de
Sistema operativo
Programadores de
Sistemas
(sistemas
operativos)
Operaciones
Administrador de
operaciones
Operador de
computadora
52. LOGO
Estructura Organizacional y
responsabilidades de SI
Los cuadros de estructura organizacional u organigramas son
elementos importantes que deben tener todos los empleados, ya que
ellos proveen una definición clara de la jerarquía y autoridad del
departamento.
Las descripciones de los puestos de trabajo brindan a los empleados
del departamento de SI una orientación clara respecto a sus roles y
responsabilidades.
53. LOGO
Estructura Organizacional y
responsabilidades de SI
La segregación de funciones evita la posibilidad de que una sola
persona pueda ser responsable de funciones diversas y criticas de tal
forma que pudieran ocurrir errores o apropiaciones indebidas y no ser
detectadas oportunamente, en el curso normal de los procesos de
negocio.
La segregación de funciones es un importante medio por el cual se
pueden prevenir y disuadir actos fraudulentos o maliciosos.
54. LOGO
Estructura Organizacional y
responsabilidades de SI
Las funciones que deben ser segregadas incluyen:
Custodia de activos
Autorización
Registro de transacciones
Si no existe segregación podría ocurrir lo siguiente:
Apropiación indebida de activos
Estados financieros falsos
Documentación inexacta
Uso indebido de fondos o la modificación de datos podría pasar
inadvertida.
55. LOGO
Preguntas
¿Cuál de las siguientes tareas pueden ser ejecutadas por la misma
persona en un centro de computo de procesamiento de información
bien controlado?
a.
b.
c.
d.
Administración de seguridad y administración de cambios
Operaciones de computo y desarrollo de sistemas
Desarrollo de sistemas y administración de cambios
Desarrollo de sistemas y mantenimiento de sistemas
56. LOGO
Preguntas
¿Cuál de lo siguiente es el control MAS critico sobre la administración
de la base de datos?
a.
b.
c.
d.
Aprobación de las actividades de DBA
Segregación de tareas
Revisión de registros (logs) de acceso y actividades
Revisión del uso de las herramientas de la base de datos
57. LOGO
Auditoria de la estructura e
implementación de gobierno de TI
Aunque son muchos los aspectos que le preocupan al auditor, algunos de
los indicadores más significativos de los problemas potenciales:
Actitudes desfavorables del usuario final
Costos excesivos
Presupuesto excedido
Proyectos demorados
Rotación elevada de personal
Personal Inexperto
Errores frecuentes de hardware / software
Lista excesiva de solicitudes de usuarios en espera
Largo tiempo de respuesta de computadora
Numerosos proyectos de desarrollo abortados o suspendidos
Compras de hardware / software sin soporte o sin autorización.
Frecuentes ampliaciones de capacidad de hardware / software
Extensos reportes de excepciones
Poca motivación
Confianza en miembros claves del personal
Falta de entrenamiento adecuado
58. LOGO
Revisión de documentación
La siguiente documentación debe ser revisada:
Estrategias, planes y presupuestos de TI
Documentación de políticas de seguridad
Cuadros organizativos / funcionales
Las descripciones de los puestos de trabajo
Los reportes del comité de dirección
Los procedimientos de desarrollo de sistemas y de cambio de
programas.
Procedimientos de operaciones
Manuales de recursos humanos
Procedimientos de aseguramiento de la calidad
Revisión de compromisos contractuales
Niveles de servicio
Penalizaciones por incumplimiento
Protección de información
59. LOGO
Estudio de caso
A un auditor de SI se le ha pedido que revise el borrador de un contrato de
outsourcing y que recomiende cualquier cambio o señale cualquier
preocupación antes de que estos sean presentados a la alta gerencia para
su aprobación final. El contrato incluye soporte de Windows y de la
administración del servidor UNIX y la administración de redes a un tercero.
Los servidores serán reubicados a la instalación del outsourcer que está
ubicada en otro país, y se establecerá la conectividad usando la Internet.
Se aumentará la capacidad del software del sistema operativo dos veces
por año, pero éstos no serán entregados en custodia.
Todas las solicitudes de adición o eliminación de cuentas de usuario serán
procesadas dentro de tres días hábiles. El software de detección de
intrusos será monitoreado continuamente por el outsourcer y el cliente
notificará por email si se detectara cualquier anomalía. Los nuevos
empelados contratados dentro de los últimos tres años estuvieron sujetos a
verificaciones de antecedentes antes de eso no había políticas
establecidas. Está establecida una cláusula de derecho a auditoria pero se
requiere un aviso de 24 horas antes de una visita al establecimiento. Si se
encontrara que outsourcer esta en violación de cualquiera de los términos o
condiciones del contrato, este tendrá 10 días hábiles para corregir la
deficiencia. El outsoucer no tiene un auditor de SI. Pero es auditado por
una firma regional de contadores públicos.
60. LOGO
Preguntas de caso
¿Cual de los siguientes sería de MAYOR preocupación para el
auditor de SI?
a.
Los cambios de cuenta de usuario son procesados dentro de 3
días hábiles.
Se requiere un aviso con 24 horas de anticipación para una visita
al establecimiento.
El outsoucer no tiene una función de auditoria de SI.
El escrow (puesta en custodia) no está incluido en el contrato.
b.
c.
d.
61. LOGO
Preguntas de caso
¿Cual de los siguientes seria el problema MAS significativo para
resolver si los servidores contuvieran información de cliente
identificable personalmente que es accesado regularmente y
actualizado por los usuarios finales?
a.
El país en el que el tercerizador o outsourcer está establecido
prohíbe el uso de encripción fuerte para los datos transmitidos.
El outsourcer limita su responsabilidad si toma medidas
razonables para proteger los datos de cliente.
El outsourcer no efectuó verificaciones de antecedentes para los
empleados contratados hace más de tres años.
El software de sistemas solo se actualiza una vez cada seis
meses.
b.
c.
d.