• Author / Uploaded
• zoa1990

• Categories
• Outsourcing
• Planificación
• Sistema de informacion
• Vulnerabilidad (informática)
• Gobierno

Citation preview

Gobierno de TI

Gobierno de TI

Objetivos En esta unidad, se aprenderá acerca de:

Universidad Nacional de Cajamarca

ƒ Gobierno corporativo y Practicas de monitoreo y aseguramiento

Auditoria y Seguridad de SI

ƒ Estrategia de sistemas de información ƒ Políticas y procedimientos

Gobierno de TI

ƒ Administración del riesgo ƒ Practicas de gerencia de SI

Ms. Edwin Valencia Castillo

ƒ Estructura organizacional y responsabilidad de SI ƒ Auditoria de la Estructura e implementación de gobierno de TI

1

Wednesday, November 05, 2008 Auditoria y Seguridad de SI

© 2008 Edwin Valencia Castillo.

2

Gobierno de TI

Gobierno de TI (ITG)

ƒ Definición: Comportamiento corporativo ético por parte de los directores u otros encargados del gobierno, para la creación y entrega de los beneficios para todas las partes interesadas.

ƒ La necesidad del aseguramiento del valor de TI, la administración de los riesgos asociados a TI, así como el incremento de requerimientos para controlar la información, se entienden ahora como elementos clave del gobierno de la empresa. El valor, el riesgo y el control constituyen la esencia del gobierno de TI.

ƒ “Distribución de derechos y responsabilidades entre los participantes p en la corporación, p , tales como la diferentes p junta, los gerentes, los accionistas y otras partes interesadas, y explica las reglas, procedimientos para tomar decisiones sobre los asuntos corporativos”. (Organización para la cooperación y el desarrollo – OECD)

Wednesday, November 05, 2008 Auditoria y Seguridad de SI

© 2008 Edwin Valencia Castillo.

Gobierno de TI

LECCION: GOBIERNO CORPORATIVO

3

Wednesday, November 05, 2008 Auditoria y Seguridad de SI

© 2008 Edwin Valencia Castillo.

ƒ El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.

4

Gobierno de TI

Wednesday, November 05, 2008 Auditoria y Seguridad de SI

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Mejores practicas para el ITG

Rol de la auditoria en el ITG ƒ Rol significativo en una implementación exitosa de gobierno de TI dentro de una organización. ƒ La auditoria esta mejor posicionada para proveer recomendaciones de practicas lideres a la alta gerencia, para ayudar a mejorar la calidad y le efectividad de las iniciativas del gobierno de TI implementadas. ƒ Que evalúa el auditor de SI? El alineamiento de la función de SI con la misión, visión, valores, objetivos y estrategias de la organización. El logro de los objetivos establecidos (efectividad y eficiencia) Requerimientos legales, ambientales, de calidad de información y seguridad. Ambiente de control de la organización Los riesgos inherentes dentro del ambiente de SI.

5

Wednesday, November 05, 2008 Auditoria y Seguridad de SI

© 2008 Edwin Valencia Castillo.

6

Wednesday, November 05, 2008 Auditoria y Seguridad de SI

© 2008 Edwin Valencia Castillo.

1

Gobierno de TI

Gobierno de TI

Comité de estrategia de TI

Gobierno de seguridad de la información

ƒ La creación de este comité es una mejor practica.

ƒ Actividad orientada a: Garantizar la integridad de la información.

ƒ Su radio de acción incluye asesoramiento sobre estrategia para el gobierno de TI, el valor de la TI, riesgos y su desempeño.

Continuidad de servicios y Protección de activos de información.

ƒ En el mundo actual la seguridad se ha convertido en una parte t importante i t t e integral i t l del d l gobierno bi d de TI TI.

ƒ El medio mas efectivo de apoyo al comité de estrategia de TI y la gerencia para lograr el alineamiento de TI al negocio es la utilización de un cuadro de mando de TI (BALANCED SCORECARD)

7

Wednesday, November 05, 2008 Auditoria y Seguridad de SI

© 2008 Edwin Valencia Castillo.

Gobierno de TI

ƒ La negligencia reducirá la capacidad de una organización para sacar provecho de las oportunidades de TI para el mejoramiento del proceso del negocio.

8

Wednesday, November 05, 2008 Auditoria y Seguridad de SI

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Resultados del gobierno de seguridad

Resultados del gobierno de seguridad

ƒ Los resultados básicos deben incluir:

Administración de recursos: ƒ Asegurar que los conocimientos sean captados y estén disponibles.

Alineación estratégica:

ƒ Documentar los procesos y las practicas de seguridad

ƒ Requerimientos de seguridad

ƒ Desarrollar arquitecturas de seguridad

ƒ Soluciones de seguridad adecuadas para los procesos del negocio

Medición del desempeño: Medir, monitorear y reportar sobre los procesos de seguridad de información para asegurar que se logren los objetivos objetivos.

ƒ Inversión en seguridad de información

Administracion del riesgo: g ƒ Comprender el perfil de amenaza, vulnerabilidad y riesgo ƒ Comprender la exposicion al riesgo y sus consecuencias. ƒ Priorizacion y mitigacion de riesgos para alcanzar riesgos residuales aceptables.

Entrega de valor: optimizar las inversiones en seguridad y en soporte de los objetivos del negocio. Promover una cultura de mejoramiento continuo basada en el entendimiento de que la seguridad es un proceso, no un evento. 9

Wednesday, November 05, 2008 Auditoria y Seguridad de SI

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Arquitectura Empresarial

ƒ Implica documentar los activos de TI de una organización en una forma estructurada para facilitar la comprensión, la administración y la planificación de las inversiones de TI. Involucra tanto la representación del estado actual como futuro de las TIs. ƒ Estructura de Zachman para la Arquitectura empresarial Funcional (Aplicación)

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Arquitectura Empresarial

Datos

Auditoria y Seguridad de SI 10 Wednesday, November 05, 2008

Red (Tecnología)

Personas (Organización)

Proceso (Flujo trabajo)

Estrategia

Alcance Modelo de empresa Modelo de Sistemas Modelo de tecnología Representación detallada Auditoria y Seguridad de SI 11 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

ƒ Completar una EA, se puede hacer desde dos perspectivas; La EA enfocada a la tecnología: trata de aclarar complejas opciones de tecnología (uso de entornos técnicos avanzados) La EA enfocada en el proceso de negocio: trata de comprender la organización en términos de procesos principales que generan valor y sus procesos de soporte.

ƒ Nota aclaratoria: en EEUU, por ley, una organización federal esta obligada a desarrollar una EA y a establecer una estructura de gobierno de EA que garantice que esta referenciada y mantenida en todas las actividades de planificación y presupuestaria de sistemas. Auditoria y Seguridad de SI 12 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

2

Gobierno de TI

Gobierno de TI

Estrategia de los SI

LECCION: ESTRATEGIA DE SI ƒ Planeación estratégica: relacionado con la dirección a largo plazo que una organización quiere seguir para apalancar con TI la mejora de sus procesos de negocio. ƒ COMITES DE DIRECCION A pesar de que no es una practica común, se considera muy conveniente que un miembro de la junta directiva que entienda de riesgos y los problemas sea el responsable de dicho comité. El comité debe incluir representantes de la alta gerencia, gerencia de usuarios y del departamento de sistemas de información.

Auditoria y Seguridad de SI 13 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Auditoria y Seguridad de SI 14 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

LECCION: POLITICAS Y PROCEDIMIENTOS Reflejan la guía y dirección de la gerencia para desarrollar controles sobre los sistemas de información y recursos relacionados. ƒ POLITICAS Las políticas son documentos de alto nivel. Representan la filosofía corporativa de una organización y el pensamiento estratégico de la alta gerencia y de los dueños del proceso del negocio. Deben ser claras y concisas para que sean efectivas. La gerencia debe crear un ambiente positivo de control, asumiendo la responsabilidad de formular, desarrollar, documentar y controlar las políticas que abarcan las metas y directrices generales.

Auditoria y Seguridad de SI 15 Wednesday, November 05, 2008

ƒ Las funciones primarias realizadas por este comité serian: Revisar los planes de largo plazo y corto plazo. Revisar y aprobar las adquisiciones importantes o significativas de hardware y software dentro de los limites aprobados por la junta directiva. Aprobar y monitorear los proyectos importantes o de alta relevancia, establecer prioridades, aprobar las normas y los procedimientos y monitorear el desempeño general de los SI. SI Revisar y aprobar los planes para outsourcing. Revisar si los recursos y su asignación son adecuados en función del tiempo, personal y equipo. Decidir respecto a la centralización frente a la descentralización y a la asignación de responsabilidades. Soportar el desarrollo e implementación de un programa de administración de seguridad de información a nivel de la organización. Reportar a la junta directiva sobre las actividades de SI.

© 2008 Edwin Valencia Castillo.

Gobierno de TI

LECCION: POLITICAS Y PROCEDIMIENTOS La gerencia debe emprender las acciones necesarias para asegurar que los empleados afectados por una política especifica reciban una explicación completa de la política y que entiendan cual es su intención y propósito. Es deseable un enfoque top-down (enfoque integral de arriba hacia abajo) para el desarrollo de las políticas de mas bajo nivel. La administración debe revisar todas las políticas periódicamente. Es necesario que las políticas sean actualizadas para que reflejen lo nuevo de la tecnología y los cambios significativos en los procesos del negocio que hacen uso de tecnología de información para obtener eficiencia en productividad o logros competitivos. Auditoria y Seguridad de SI 16 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

LECCION: POLITICAS Y PROCEDIMIENTOS ƒ PROCEDIMIENTOS Los procedimientos son documentos detallados, deben ser derivados de la política madre y deben implementar el espíritu (intención) del lineamiento de política. Deben ser escritos en una forma clara y concisa de modo que sea comprendido fácil y correctamente por todos los que se deben regir por ellos. Documentan procesos de negocios (administrativos y operativos) y los controles integrados en los mismos. Los auditores revisan los procedimientos para identificar, evaluar y después de ello probar los controles sobre los procesos de negocio.

LECCION: ADMINISTRACION DE RIESGOS ƒ Proceso de identificar las debilidades y las amenazas para los recursos de información utilizados por una organización para lograr los objetivos del negocio y decidir que contramedidas tomar, si la hubiera alguna, para reducir el nivel de riesgo hasta un nivel aceptable basado en el valor del recurso de información para la organización. ƒ Toda organización debe desarrollar un programa de administración del riesgo: Estableciendo el propósito del programa. Asignando responsabilidad para el plan, una persona o un equipo responsable de conducir el desarrollo del plan.

Auditoria y Seguridad de SI 17 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Auditoria y Seguridad de SI 18 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

3

Gobierno de TI

Gobierno de TI

Proceso de administración de riesgos

Proceso de administración de riesgos

1. Identificar y clasificar recursos de información o activos que necesiten protección.  Ejemplos de activos: Información y datos, HW, SW, Servicios, documentos, personal, etc.

2. Estudiar las amenazas y vulnerabilidades asociadas con el recurso de información y la probabilidad de ocurrencia.  Amenaza: cualquier circunstancia o evento con el potencial de dañar un recurso de información, tales como: destrucción, divulgación, modificación de datos y/o negación del servicio. Las clases comunes de amenazas son: Errores, daño/ataque intencional, fraude, robo, falla del equipamiento/software.

Auditoria y Seguridad de SI 19 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

ƒ Las amenazas ocurren por causa de las vulnerabilidades (factores de riesgo) asociadas al uso de recursos de información. Las vulnerabilidades son características de los recursos de información que pueden ser explotadas por una amenaza para causar daño. Ejemplos de vulnerabilidades: ƒ Falta de conocimiento del usuario ƒ Falta de funcionalidad de la seguridad ƒ Elección deficiente de contraseñas ƒ Tecnología no probada ƒ Transmisión por comunicaciones no protegidas.

Auditoria y Seguridad de SI 20 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Proceso de administración de riesgos

Proceso de administración de riesgos

ƒ El resultado de cualquiera de estas amenazas se denomina impacto, y puede tener como consecuencia una perdida financiera (en el corto o largo plazo). Ejemplos de perdidas: ƒ Perdida directa de dinero (efectivo o crédito)

ƒ Establecidos los elementos del riesgo, estos se combinan para formar una visión general del riesgo. ƒ Identificar los riesgos, calculando la vulnerabilidad del impacto (probabilidad) para cada amenaza. ƒ Luego evaluar los controles existentes o diseñar nuevos para reducir las vulnerabilidades hasta un nivel aceptable de riesgo (contramedidas).

ƒ Violación de la legislación g ƒ Perdida de reputación/plusvalia ƒ Peligro potencial para el personal o los clientes

ƒ El nivel remanente del riesgo (riesgo residual) es el resultado de aplicar los controles.

ƒ Violación de la confianza. ƒ Perdida de oportunidades de negocio ƒ Reducción en la eficiencia/desempeño operativo

ƒ La administración de riesgos opera a tres niveles:

ƒ Interrupción de la actividad del negocio

Nivel operativo, nivel de proyecto y nivel estratégico.

Auditoria y Seguridad de SI 21 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Auditoria y Seguridad de SI 22 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Proceso de administración de riesgos

LECCION: PRACTICAS DE GERENCIA DE SI

ƒ Nivel Operativo: riesgos que comprometen la efectividad de los sistemas e infraestructura, capacidad de evadir controles, perdida o no disponibilidad de recursos clave, falta de cumplimiento de leyes y regulaciones.

ƒ Las practicas de gerencia de sistemas de información reflejan la implementación de políticas y procedimientos desarrollados para diversas actividades gerenciales relacionadas con SI.

ƒ Nivel de Proyecto: capacidad de entender y manejar la complejidad de un proyecto y el riesgo de que los objetivos del proyecto no sean cumplidos.

ƒ Los auditores de SI deben entender y apreciar el grado al que un departamento bien administrado de SI es crucial para lograr los objetivos de la organización.

ƒ Nivel Estratégico: se enfoca en el grado en que la TI esta alineada con la estrategia del negocio.

ƒ Las actividades de la gerencia para revisar las formulaciones de políticas y procedimientos y su efectividad dentro del departamento de SI incluiría las siguientes practicas:

ƒ Una guía practica recomendada para la administración de riesgos es MAGERIT. Auditoria y Seguridad de SI 23 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Auditoria y Seguridad de SI 24 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

4

Gobierno de TI

Gobierno de TI

PRACTICAS DE GERENCIA DE SI - cont ƒ ADMINISTRACION DEL PERSONAL

ƒ MANUAL DEL EMPLEADO / MANUAL DE INDUCCION

Se refiere a las políticas y procedimientos de la organización para contratación, promoción, retención y terminación de contratos. ƒ CONTRATACION

Cuales serian los riesgos asociados????? © 2008 Edwin Valencia Castillo.

Gobierno de TI

ƒ CRONOGRAMAS Y REPORTE DE TIEMPO

ƒ ENTRENAMIENTO Los empleados deben recibir entrenamiento sobre una base justa y regular basado en las áreas en las que les falte experiencia y conocimiento. Auditoria y Seguridad de SI 26 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

PRACTICAS DE GERENCIA DE SI - cont ƒ VACACIONES REQUERIDAS

La preparación adecuada de un cronograma permite una operación y uso eficiente de los recursos de computación. El reporte del tiempo permite a la administración monitorear el desarrollo del proceso. ƒ EVALUACIONDES DEL DESEMPEÑO Ñ DE LOS EMPLEADOS La evaluación debe ser una norma y una característica habitual para todo el personal de SI. Se deben fijar metas/resultados esperados, acordados mutuamente. La evaluación solo puede ser aplicado a los empleados si el proceso es objetivo y neutral. © 2008 Edwin Valencia Castillo.

Gobierno de TI

El disfrute de las vacaciones legales y días feriados asegura que una vez en el año, como mínimo, alguien que no sea el empleado titular realice una función de trabajo. Esto reduce la oportunidad de cometer actos indebidos o ilegales. ilegales La rotación del trabajo provee un control adicional. ƒ POLITICAS DE TERMINACION DE CONTRATO Se deben establecer políticas escritas para la terminación de contratos, que indiquen claramente los pasos para el retiro de un empleado, es necesario tener en cuenta los siguientes procedimientos de control: Auditoria y Seguridad de SI 28 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

PRACTICAS DE GERENCIA DE SI - cont Devolución de todas las llaves de acceso, tarjetas distintivos de identificación. Eliminación de la identificación para iniciar sesión (logon ID) y las contraseñas para prohibir el acceso al sistema. Notificación al personal apropiado y al personal de seguridad respecto al cambio de situación de empleado retirado. Arreglo para eliminar al empleado de los archivos de nomina vigente. Realización de una entrevista de terminación para recoger una opinión sobre la percepción que tiene el empleado sobre la administración. Devolución de todos los bienes de la compañía a cargo del empleado retirado.

Auditoria y Seguridad de SI 29 Wednesday, November 05, 2008

Deben estar basados en criterios objetivos y deben tomar en consideración el desempeño, la educación, la experiencia y el nivel de responsabilidad individual.

Gobierno de TI

PRACTICAS DE GERENCIA DE SI - cont

Auditoria y Seguridad de SI 27 Wednesday, November 05, 2008

En general debe existir un código de conducta publicado donde se especifiquen las responsabilidades de todos los empleados para con la organización. ƒ POLITICAS DE PROMOCION

Practica P i importante i que permite i asegurar que se escoja j el personal mas eficiente y efectivo y que la compañía cumpla con los requisitos legales de reclutamiento, algunos controles comunes: verificar antecedentes, acuerdos de confidencialidad, fianza para empleados, acuerdos sobre conflictos de intereses, acuerdos de nocompetencia y exclusividad. Auditoria y Seguridad de SI 25 Wednesday, November 05, 2008

PRACTICAS DE GERENCIA DE SI - cont

© 2008 Edwin Valencia Castillo.

PRACTICAS DE GERENCIA DE SI - cont ƒ PRACTICAS DE OUTSOURCING Son acuerdos contractuales por los cuales una organización entrega el control de parte o la totalidad de las funciones del departamento de SI a un tercero externo. Razones para decidirse por el outsourcing Enfocarse en las actividades centrales Presión sobre los márgenes de ganancia Aumentar la competencia que exige ahorro en los costos Flexibilidad tanto en la organización como en la estructura.

Auditoria y Seguridad de SI 30 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

5

Gobierno de TI

Gobierno de TI

PRACTICAS DE GERENCIA DE SI - cont Los servicios brindados por un tercero puede incluir: Captura de datos Diseño y desarrollo de nuevos sistemas Mantenimiento de aplicaciones existentes Conversion de aplicaciones antiguas a nuevas plataformas Operar la mesa de ayuda (help desk) o el centro de llamadas (call center)

Auditoria y Seguridad de SI 31 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Posibles desventajas del outsourcing Costos que excedan las expectativas del cliente Perdida de la experiencia interna de SI Perdida del control sobre SI Falla del proveedor (e interrupción del servicio) Acceso limitado al producto Dificultad para revertir o cambiar los acuerdos o contratos del outsourcing Deficiente cumplimiento de los requerimientos legales

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Auditoria y Seguridad de SI 32 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

PRACTICAS DE GERENCIA DE SI - cont El auditor de SI debe estar consciente de las diversas formas que puede tomar el outosourcing y de los riesgos asociados, HAY QUE PREOCUPARSE DE: Protección del contrato Derechos de auditoria Continuidad de las operaciones Integridad confidencialidad y disponibilidad de los datos Integridad, Personal Control de acceso / administración de seguridad Reporte de violación y seguimiento Control de cambios y pruebas Control de red Administración del desempeño

Auditoria y Seguridad de SI 34 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

PRACTICAS DE GERENCIA DE SI - cont

PRACTICAS DE GERENCIA DE SI - cont ƒ CAPACIDAD Y PLANEACION DEL CRECIMIENTO Que se debe reflejar en los planes de largo y corto plazo y debe ser considerado dentro del proceso de evaluación del presupuesto ƒ SATISFACCION DEL USUARIO Una de las medidas para asegurar una operación efectiva de procesamiento de la información es satisfacer los requerimientos de usuario. El cumplimiento del acuerdo sobre el nivel del servicio debe ser auditado periódicamente. Este debe alcanzarse por medio de entrevistas e inspecciones a los usuarios. Auditoria y Seguridad de SI 35 Wednesday, November 05, 2008

Ventajas del outsourcing: Las compañías de outsourcing pueden lograr economías de escala por medio del empleo de componentes de SW reutilizable. Los proveedores de outosourcing tienen la posibilidad de dedicarse mas tiempo y concentrarse con mayor efectividad y eficiencia en un proyecto dado, que el personal de planta. Los proveedores de outosourcing tienen probablemente mas experiencia i i con un conjunto j t mas amplio li de d problemas, bl aspectos t y técnicas que el personal de planta. El acto de desarrollar especificaciones y acuerdos contractuales para servicios de outsourcing probablemente tenga como resultado una mejor especificación que si fueran desarrollados únicamente por y para el personal de planta. Como los proveedores de outosourcing son altamente sensitivos al control de tiempos, las distracciones y cambios que absorben tiempo permiten minimizar los errores de funcionalidad.

Gobierno de TI

PRACTICAS DE GERENCIA DE SI - cont

Auditoria y Seguridad de SI 33 Wednesday, November 05, 2008

PRACTICAS DE GERENCIA DE SI - cont

© 2008 Edwin Valencia Castillo.

ƒ NORMAS/PUNTOS DE REFERENCIA DE LA INDUSTRIA Proveen un medio para determinar el nivel de desempeño dado por ambientes similares de información-procesamiento-instalación. Estas normas o estadísticas de referencia pueden ser obtenidas de los grupos de usuarios de los proveedores, de las publicaciones de la industria y de las asociaciones profesionales.

Auditoria y Seguridad de SI 36 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

6

Gobierno de TI

Gobierno de TI

PRACTICAS DE GERENCIA DE SI - cont

PRACTICAS DE GERENCIA DE SI - cont ƒ LOS PRESUPUESTOS DE SI

ƒ GERENCIAMIENTO DE CAMBIOS DE TI Consiste en administrar los cambios de TI para la organización, mediante un proceso definido y documentado para identificar y aplicar mejoras de tecnología a nivel de infraestructura y aplicaciones que son beneficiosos para la organización. organización ƒ PRACTICAS DE GERENCIAMIENTO FINANCIERO Es un elemento critico en todas las funciones del negocio. En un ambiente de computación intensivo en costos, es imperativo que haya practicas correctas de gerenciamiento financiero.

Auditoria y Seguridad de SI 37 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Auditoria y Seguridad de SI 39 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

Auditoria y Seguridad de SI 38 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

ƒ GERENCIAMIENTO DE LA SEGURIDAD DE INFORMACION. Provee la función rectora para garantizar que la información y los recursos de procesamiento de la organización bajo su control estén debidamente protegidos. ƒ OPTIMIZACION DEL DESEMPEÑO La medición del desempeño de TI es un proceso dinámico. Es impulsado por indicadores de desempeño. La optimización se refiere al proceso de mejorar la productividad de los sistemas de información al máximo nivel posible sin inversión adicional innecesaria en infraestructura de tecnología de la información. Auditoria y Seguridad de SI 40 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

LECCION: ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDAD DE SI Un departamento de SI esta generalmente estructura como se muestra a continuación: Gerente de TI o CIO

Data

Administrador de Desarrollo / Administrador de Seguridad Administrado de Datos/ Administrador Control de Calidad Soporte De Base de datos Programadores (Aplicaciones) Analista de Sistemas (Aplicaciones)

La administración de la calidad es el medio por el cual se controlan los procesos que se realizan en el departamento de SI. Las áreas de control para la administración de la calidad pueden incluir lo siguiente:

PRACTICAS DE GERENCIA DE SI - cont

El desarrollo, mantenimiento e implementación del SW. La adquisición de hardware y software. Operación día a día Seguridad Administración de recursos Administración general Los estándares pertinentes que reciben amplio reconocimiento y aceptación son la Organización Internacional para la Estandarización (ISO) 9001 Sistemas de administración de calidad, específicamente 9001:2000 Sistemas de administración de calidad, que reemplaza al ISO 9000,9001, 9002 Y 9003.

Aplicaciones p

ƒ GERENCIAMIENTO DE LA CALIDAD

Gobierno de TI

PRACTICAS DE GERENCIA DE SI - cont

Seguridad y control t l

Permiten el pronostico, monitoreo y análisis de la información financiera, permiten una asignación adecuada de recursos, en particular en un ambiente de sistemas de información en que los gastos pueden ser intensivos en costos. costos

Administrador de Redes (LAN/WAN) Administrador de Sistemas (Sistema Operativo)

Auditoria y Seguridad de SI 41 Wednesday, November 05, 2008

Soporte Té i Técnico

Operaciones

Administrador de Soporte Técnico

Administrador de Operaciones

Programadores de Sistemas (Sistema Operativo) Analista Sistemas (Sistema Operativo)

Cintotecario Operador de Computadora Operador de Captura de Datos

© 2008 Edwin Valencia Castillo.

ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDAD DE SI - cont ƒ SEGREGACION DE FUNCIONES DENTRO DE TI Los títulos de puestos de trabajo reales y estructuras organizacionales pueden variar mucho de una organización a otra, dependiendo del tamaño y de la naturaleza del negocio. Es importante determinar la relación entre las funciones, responsabilidad y autoridad de los puestos de trabajo, para determinar la adecuada segregación de funciones. La segregación de funciones es un importante medio por el cual se pueden prevenir y disuadir actos fraudulentos o maliciosos.

05, 2008 Auditoria y Seguridad de SI 42 Wednesday, November © 2007 Ms. Ing. Edwin Valencia

Castillo

05/11/2008 © 2008 Edwin Valencia Castillo. 42

7

Gobierno de TI

Gobierno de TI

ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDAD DE SI - cont ƒ CONTROLES DE SEGREGACION DE FUNCIONES Autorización de transacción

ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDAD DE SI - cont ƒ CONTROLES COMPENSATORIOS POR FALTA DE SEGREGACION DE FUNCIONES

Formularios de actualización

En una empresa pequeña donde el departamento de TI puede estar constituido por cuatro o cinco personas, deben existir medidas de control compensatorio para mitigar el riesgo resultante de una falta de segregación de funciones, estos serian:

Tablas de autorización de usuario

Pistas de auditoria

Custodia de activos Acceso a los datos

Conciliación Reportes de excepción Registros (logs) de transacciones Revisiones de supervisión Revisiones independientes

Auditoria y Seguridad de SI 43 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

X X X X

Usuario final Ingreso de datos Operador de  computadores DBA Administrador de redes Administrador de  sistemas Administrador de  seguridad Cintotecario Programador de  sistemas

X X X X X

X X X

X X X

Control de calidad

X

X X X X X X X X X X

X X X

X X X X

X X

X X X X X X X

X X X X X

X X X

X X X

X X X X X X

X X X X X

X X X X

X X

X

X

X

X X X X X X X

X X X X X X

X

Programador de sistemas

X X X

X X X X

X X X X X

X

Control de calidad

Cintotecario

Administrador de  seguridad

Administrador de  sistemas

Administrador de redes

DBA

Ingreso de datos

Operador de  computadores

Usuario final

Mesa de ayuda y gerente  de soporte

Programador de  aplicaciones

Analista de sistemas

Grupo de control Analista de sistemas Programador de  aplicaciones Mesa de ayuda y  gerente de soporte

© 2008 Edwin Valencia Castillo.

Gobierno de TI

CONTROL DE SEGREGACION DE FUNCIONES

Grupo de control

Auditoria y Seguridad de SI 44 Wednesday, November 05, 2008

X X

Auditoria y Seguridad de SI 45 Wednesday, November 05, 2008

X X X X X X

LECCION: AUDITORIA DE LA ESTRUCTURA E IMPLEMENTACION DEL GOBIERNO DE TI ƒ Indicadores mas significativos de los problemas: Actitudes desfavorables del usuario final Costos excesivos Presupuesto excedido Proyectos demorados

X

Rotación elevada de personal Personal inexperto Errores frecuentes de HW/SW Lista excesiva de solicitudes de usuarios en espera Largo tiempo de respuesta de computadora

X X

X

Numerosos proyectos de desarrollo abortados o suspendidos X

X © 2008 Edwin Valencia Castillo.

Gobierno de TI

Compras de HW/SW sin soporte o sin autorización Frecuentes ampliaciones de la capacidad de HW/SW Auditoria y Seguridad de SI 46 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Gobierno de TI

LECCION: AUDITORIA DE LA ESTRUCTURA E IMPLEMENTACION DEL GOBIERNO DE TI

LECCION: AUDITORIA DE LA ESTRUCTURA E IMPLEMENTACION DEL GOBIERNO DE TI ƒ REVISION DE LOS COMPROMISOS CONTRACTUALES

ƒ REVISION DE LA DOCUMENTACION. Estrategias, planes y presupuestos de TI

Desarrollo de requerimientos de contratación

Documentación de políticas de seguridad

Proceso de licitación del contrato

Cuadros organizacionales/funcionales

Proceso de selección del contrato

Descripciones de puestos de trabajo

Aceptación del contrato

Actas de comités de dirección Procedimientos de desarrollo de sistemas y de cambio de programas.

Mantenimiento del contrato Cumplimiento del contrato Cada una de estas etapas debe estar sustentada por documentos legales y la autorización respectiva.

Procedimientos de operaciones Manuales de recursos humanos Procedimientos de aseguramiento de la calidad

ƒ ENTREVISTAR AL PERSONAL Y OBSERVAR EL DESEMPEÑO DE SUS FUNCIONES. Auditoria y Seguridad de SI 47 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

Auditoria y Seguridad de SI 48 Wednesday, November 05, 2008

© 2008 Edwin Valencia Castillo.

8