Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas
Auditoria de sistemas - MODII
Transcript of Auditoria de sistemas - MODII
-
7/23/2019 Auditoria de sistemas - MODII
1/135
AUDITORA DE SISTEMAS:GO IERNO DE TI
SEMINARIO
23 y 24 de Febrero de 2015
1
Jos Andrs Hernndez,
CISA
Leonardo Castillo,
CISA
-
7/23/2019 Auditoria de sistemas - MODII
2/135
INDICE
1. GOBIERNO CORPORATIVO
2. PRACTICAS DE MONITOREO Y ASEGURAMIENTO PARA LA JUNTA YLA GERENCIA EJECUTIVA1. Mejores prcticas para el gobierno de TI
2. Comit de Estrategia de TI
3. Balanced Scorecard Estndar de TI
4. Gobierno de Seguridad de la Informacin
5. Arquitectura de Empresa
3. ESTRATEGIA DE SISTEMAS DE INFORMACIN
1. Planeacin Estratgica2. Comit de Direccin
4. POLTICAS Y PROCEDIMIENTOS1. Polticas
2. Procedimientos 2
-
7/23/2019 Auditoria de sistemas - MODII
3/135
INDICE
5. ADMINISTRACIN DEL RIESGO1. Desarrollo de un programa de Administracin del Riesgo2. Procedimientos de Administracin de Riesgos
3. Mtodos de Anlisis del Riesgo
6. PRCTICAS DE GERENCIA DE SISTEMAS DE INFORMACIN1. Administracin del Personal
2. Prcticas de Sourcing
3. Gerencia de Cambios Organizacionales
4. Prcticas de Gerencia Financiera
5. Gerencia de Calidad6. Gerencia de Seguridad de Informacin
7. Optimizacin del Desempeo
3
-
7/23/2019 Auditoria de sistemas - MODII
4/135
INDICE
7. ESTRUCTURA ORGANIZACIONAL Y REPONSABILIDADES DE SI1. Roles y responsabilidades de SI
2. Segregacin de Funciones dentro de SI
3. Controles de Segregacin de Funciones
8. AUDITORA DE LA ESTRUCTURA E IMPLEMENTACIN DEGOBIERNO DE TI1. Revisin de Documentacin
2. Revisin de los compromisos contractuales
9. CASO DE ESTUDIO
4
-
7/23/2019 Auditoria de sistemas - MODII
5/135
Introduccin
Cada vez ms, la alta direccin de las organizaciones se est dando cuenta de las
importantes repercusiones que puede tener TI en el xito de la empresa. Ladireccin necesita tener una mayor comprensin de la forma en que se opera TI yque aumente la probabilidad de xito cuando decide impulsarla para la obtencinde ventajas competitivas.
Tanto las mesas directivas como la direccin ejecutiva, necesitan ampliar el gobierno
corporativo a TI y proporcionar el liderazgo, las estructuras organizativas y losprocesos que garanticen que la TI de la empresa sostiene y propaga las estrategias yobjetivos de la empresa. El gobierno de TI no es una disciplina aislada, sino que esparte integrante del gobierno corporativo global de la empresa. Los accionistas y lasprincipales partes ms interesadas en la gestin de las empresas (denominadosstakeholders), conforman un grupo cada vez ms capacitado y asertivo preocupadopor la buena gestin de sus intereses. Esto ha dado lugar a la aparicin de losprincipios y las normas para el gobierno corporativo de la empresa.
El conocimiento del Gobierno de TI es fundamental para el trabajo del auditor de IS.El mismo constituye la base para el desarrollo de prcticas saludables de control y
mecanismos para la supervisin y revisin de la administracin. 5
-
7/23/2019 Auditoria de sistemas - MODII
6/135
Introduccin
9 TAREAS FUNDAMENTALES
Evaluar la efectividad dela estructura de
gobierno de TI para
determinar si lasdecisiones, lasdirecciones y el
desempeo de TIrespaldan las
estrategias y losobjetivos de laorganizacin.
6
1
-
7/23/2019 Auditoria de sistemas - MODII
7/135
Introduccin
Evaluar la estructuraorganizativa de TI y lagestin de Recursos
Humanos (personal),para determinar si
respaldan lasestrategias y losobjetivos de la
organizacin.
7
2
-
7/23/2019 Auditoria de sistemas - MODII
8/135
Introduccin
Evaluar la estrategia deTI, incluyendo la
direccin de TI y los
procesos para eldesarrollo, laaprobacin, la
implementacin y elmantenimiento de la
estrategia para que estalineada con lasestrategias y losobjetivos de laorganizacin
8
3
-
7/23/2019 Auditoria de sistemas - MODII
9/135
Introduccin
Evaluar las polticas, losestndares y los
procedimientos de TI dela organizacin y los
procesos para sudesarrollo, aprobacin,implementacin,mantenimiento y
monitoreo a fin dedeterminar si respaldan
la estrategia de TI ycumplen con los
requerimientos legales yregulatorios.
9
4
-
7/23/2019 Auditoria de sistemas - MODII
10/135
Introduccin
Evaluar la adecuacindel sistema de gestin
de calidad para
determinar si respaldalas estrategias y los
objetivos de laorganizacin de forma
rentable.
10
5
-
7/23/2019 Auditoria de sistemas - MODII
11/135
Introduccin
Evaluar la gestin de TIy el monitoreo de
controles (por ejemplo,
monitoreo continuo,aseguramiento decalidad [QA]) para
determinar si cumplencon las polticas, los
estndares y losprocedimientos de la
organizacin.
11
6
-
7/23/2019 Auditoria de sistemas - MODII
12/135
Introduccin
Evaluar las prcticas deinversin, uso y
asignacin de los
recursos de TI,incluyendo criterios de
priorizacin, paradeterminar si estnalineados con las
estrategias y losobjetivos de laorganizacin.
12
7
-
7/23/2019 Auditoria de sistemas - MODII
13/135
Introduccin
Evaluar lasestrategias y
polticas decontratacin de TI ylas prcticas de
gestin de contratospara determinar si
respaldan lasestrategias y losobjetivos de laorganizacin
13
8
-
7/23/2019 Auditoria de sistemas - MODII
14/135
Introduccin
Evaluar lasprcticas degestin de
riesgos, paradeterminar si los
riesgos de laorganizacin
relacionados con
TI, se gestionanadecuadamente.
14
9
-
7/23/2019 Auditoria de sistemas - MODII
15/135
Introduccin
Evaluar las prcticasde monitoreo y
aseguramiento paradeterminar si el
consejo de direcciny la alta direccin
reciben informacin
suficiente yoportuna sobre eldesempeo de TI.
15
10
-
7/23/2019 Auditoria de sistemas - MODII
16/135
GOBIERNOCORPORATIVO
16
-
7/23/2019 Auditoria de sistemas - MODII
17/135
1. Gobierno Corporativo
Es el conjunto de principios y tcnicas destinadas a mejorar laadministracin de las sociedades mercantiles que apelan al ahorro delpblico. Surge de la necesidad de superar los problemas que plantea laseparacin entre la propiedad y la gestin en las grandes sociedades quecotizan en Bolsa.
Revista de Derecho del Mercado FinancieroQu es el Gobierno Corporativo?
2006
Conjunto de principios y normas que regulan el diseo, integracin yfuncionamiento de los rganos de gobierno de la empresa, como son lostres poderes dentro de una sociedad: los Accionistas, Directorio y AltaAdministracin. En espaol se utiliza tambin gobernanza corporativa,gobernanza societaria y gobierno societario.
Ramiro SalvocheaMercados y Gobernancia.
La revolucin del "Corporate Governance2012.
17
-
7/23/2019 Auditoria de sistemas - MODII
18/135
1. Gobierno Corporativo
Sistema por el cual las sociedades son administradas y controladas, conatribuciones y obligaciones para accionistas Junta Directiva, Alta Gerencia,Comits y Unidades de Control; proporcionando un marco de transparenciay proteccin de los intereses de los depositantes, asegurados y demsusuarios de las entidades.
Superintendencia del Sistema FinancieroNormas Prudenciales de Bancos NPB 4-48,
2013
Es el conjunto de prcticas, expresadas formalmente o no, que gobiernanlas relaciones entre los participantes de una empresa, principalmente entrelos que administran (la gerencia) y los que invierten recursos en la misma(los dueos y los que prestan dinero en general).
Corporacin Andina de Fomento,Gobierno Corporativo:
Lo que todo empresario debe saber,2005
18
-
7/23/2019 Auditoria de sistemas - MODII
19/135
1. Gobierno Corporativo
Un comportamiento corporativo tico por parte de los directores u otrosencargados del gobierno, para la creacin y entrega de los beneficios paratodas las partes interesadas.
ISACAManual de Preparacin al Examen CISA,
2008
El Gobierno Corporativo es el sistema por el cual las sociedades sondirigidas y controladas. La estructura del gobierno corporativo especifica ladistribucin de los derechos y responsabilidades entre los diferentesparticipantes de la sociedad, tales como el directorio, los gerentes, losaccionistas y otros agentes econmicos que mantengan algn inters en laempresa. El Gobierno Corporativo tambin provee la estructura a travs dela cual se establecen los objetivos de la empresa, los medios para alcanzarestos objetivos, as como la forma de hacer un seguimiento a sudesempeo.
Organizacin para la Cooperaciny el Desarrollo Econmico
19
-
7/23/2019 Auditoria de sistemas - MODII
20/135
1. Gobierno Corporativo
20
http://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:EnronStockPriceAug00Jan02.jpghttp://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:Sub-Committee_on_Energy_and_Commerce_012402.jpghttp://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:Enron_Complex.jpghttp://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:Torre_de_Transmiss%C3%A3o_de_Energia_el%C3%A9ctrica_(2).JPGhttp://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:Industry_Texas.jpg -
7/23/2019 Auditoria de sistemas - MODII
21/135
1. Gobierno Corporativo
21
http://localhost/var/www/apps/conversion/tmp/scratch_1//commons.wikimedia.org/wiki/File:Bernard_Ebbers.jpg -
7/23/2019 Auditoria de sistemas - MODII
22/135
1. Gobierno Corporativo
22
-
7/23/2019 Auditoria de sistemas - MODII
23/135
1. Gobierno Corporativo
23
-
7/23/2019 Auditoria de sistemas - MODII
24/135
1. Gobierno Corporativo
La Organizacin para la Cooperacin y el Desarrollo Econmicos (OCDE), emiti en mayo
de 1999 y revis en 2004 sus Principiosde Gobierno Corporativo.
Proteger los derechos de accionistas.
Asegurar el tratamiento equitativo para todos los accionistas, incluyendo a losminoritarios y a los extranjeros.
Todos los accionistas deben tener la oportunidad de obtener una efectiva reparacinde los daos por la violacin de sus derechos.
Reconocer los derechos de terceras partes interesadas y promover una cooperacinactiva entre ellas y las sociedades en la creacin de riqueza, generacin de empleos ylogro de empresas financieras sustentables.
Asegurar que haya una revelacin adecuada y a tiempo de todos los asuntosrelevantes de la empresa, incluyendo la situacin financiera, su desempeo, latenencia accionaria y su administracin.
Asegurar la gua estratgica de la compaa, el monitoreo efectivo del equipo dedireccin por el consejo de administracin y las responsabilidades del Consejo de
Administracin con sus accionistas. 24
-
7/23/2019 Auditoria de sistemas - MODII
25/135
1. Gobierno Corporativo
Todo esto persigue:1. Reducir la frecuencia y el
impacto de reportes financierosinexactos.
2. Proveer mayor transparencia eimputabilidad.
3. Adecuacin de los controles
internos.4. Evaluacin de los controles
internos organizacionales en losreportes financieros de la
organizacin 25
-
7/23/2019 Auditoria de sistemas - MODII
26/135
PRACTICAS DE MONITOREO YASEGURAMIENTO PARA LA JUNTA
Y LA GERENCIA EJECUTIVA
26
-
7/23/2019 Auditoria de sistemas - MODII
27/135
2. Prcticas de Monitoreo y Aseguramiento para la Junta y
Gerencia Ejecutiva
Concepto de Gobierno de TI
Es el proceso de administracin que asegura la obtencin de los beneficios esperados dela tecnologa de informacin (TI) de manera controlada para acrecentar el xito sostenidode una empresa a largo plazo
ITGI
Es el uso eficiente de los recursos de TI para apoyar el cumplimiento de los objetivos delnegocio
ISACA
Sistema por el cual el uso presente y futuro de las TI es controlado. Involucra evaluar ydirigir planes del uso de las TI que soporten a la organizacin, as como monitorear el uso
de estos planes. Incluye adems polticas y estrategias de uso de TI en la organizacin.Australian Standard for Corporate Governance
El sistema mediante el cual se dirige y controla el uso actual y futuro de las tecnologasde la informacin
ISO/IEC 38500:200827
-
7/23/2019 Auditoria de sistemas - MODII
28/135
Directores
AltaGerencia
Lderes deProcesos
Proveedores
Usuarios
Auditores
2. Prcticas de Monitoreo y Aseguramiento para la Junta y
Gerencia Ejecutiva
Sistemas deInformacin
Tecnologa
ComunicacinNegocios
AspectosLegales
GO IERNO
DE
TI
28
-
7/23/2019 Auditoria de sistemas - MODII
29/135
2. Prcticas de Monitoreo y Aseguramiento para la Junta y
Gerencia Ejecutiva
Integracin de la responsabilidad
Agregar valor al NegocioAdministracin de
Riesgos
GOBIERNO DE TI
Le incumben 2 aspectos:
29
-
7/23/2019 Auditoria de sistemas - MODII
30/135
2. Prcticas de Monitoreo y Aseguramiento para la Junta y
Gerencia Ejecutiva
El Gobierno de TI es responsabilidad de la Junta Directiva y dela Gerencia Ejecutiva. Es parte integral del gobierno de laempresa y est constituido por las estructuras de liderazgo y
organizacionales y los proceso que aseguran que la TI de laorganizacin sostiene y extiende la estrategia y los objetivosde la organizacin.
Board Briefing on IT Gobernance2nd. Edition
ITGI, 2004
Quin es el responsable del Gobierno de TI?
30
-
7/23/2019 Auditoria de sistemas - MODII
31/135
2. Prcticas de Monitoreo y Aseguramiento para la Junta y
Gerencia Ejecutiva
Concordancia Objetivos de TIy de la Empresa
CEOs
CFOs
CIOs
Factor Crticode xito
31
-
7/23/2019 Auditoria de sistemas - MODII
32/135
2. Prcticas de Monitoreo y Aseguramiento para la Junta y
Gerencia Ejecutiva
32
Los temas que la Gerencia Ejecutiva necesita tratar para Gobernar TI en la empresa se describen
en cinco reas centrales:
-
7/23/2019 Auditoria de sistemas - MODII
33/135
Pregunta
El Gobierno de TI asegura que una organizacin sealinee su estrategia de TI con:
A. Los objetivos de la empresa.B. Los objetivos de TI.
C. Los objetivos de auditora
D. Los objetivos de control.
33
-
7/23/2019 Auditoria de sistemas - MODII
34/135
2. 1 Mejores Prcticas para el Gobierno de TI
El Gobierno de TI integra e
institucionaliza las buenasprcticas para asegurar que laTI de la empresa respalde losobjetivos del negocio.
34
El Gobierno de TI permite que laempresa saque provecho total de suinformacin, maximizando de estamanera los beneficios, capitalizando lasoportunidades, y obteniendo una
ventaja competitiva.
GO IERNO
DE TI
-
7/23/2019 Auditoria de sistemas - MODII
35/135
2. 1 Mejores Prcticas para el Gobierno de TI
35
ExigenciasobreunmejorretornosobrelasinversionesdeTI.
PreocupacinporelcrecienteniveldegastoenTI
Necesidaddecumplirconrequerimientosregulatorios
Gestindecontratacindeserviciostercerizados
RiesgoscadavezmascomplejosenTI
Necesidaddeoptimizarloscostos
CrecientemadurezyaceptacindemarcospopularesNecesidaddeevaluarnuestrodesempeofrenteaestndares
generalmenteaceptados.
-
7/23/2019 Auditoria de sistemas - MODII
36/135
2. 1 Mejores Prcticas para el Gobierno de TI
F CTOR CRITICO DE EXITO
Estructura de Gobierno de TI Mejores Prcticas
36
Marcosd
eGobiernodeTI
-
7/23/2019 Auditoria de sistemas - MODII
37/135
2. 1 Mejores Prcticas para el Gobierno de TI
Las MejoresPrcticas de TIAseguran:
RiesgosAdministrados
Apropiadamente
RecursosUtilizados
Responsablemente
Informacin yTecnologaSoportan
Objetivos del
Negocio 37
-
7/23/2019 Auditoria de sistemas - MODII
38/135
2. 1 Mejores Prcticas para el Gobierno de TI
Rol de la Auditora en el Gobierno de TI
Provee recomendaciones de prcticas lderes a la alta gerencia, para ayudar a mejorarla calidad y la efectividad de las iniciativas del gobierno de TI implementadas.
Ayuda a asegurar el cumplimiento de las iniciativas de gobierno de TI implementadasen una organizacin.
Evala el alineamiento de la funcin de SI con la misin, visin, valores, objetivos yestrategias de la organizacin.
Verifica el logro por parte de la funcin de SI de los objetivos de desempeoestablecidos por el negocio (efectividad y eficiencia).
Evala los requerimientos legales, ambientales, de calidad de informacin, fiduciarios yde seguridad.
Evala el ambiente de control de la organizacin
Revisa la inversin / gastos en TI. 38
-
7/23/2019 Auditoria de sistemas - MODII
39/135
2. 1 Mejores Prcticas para el Gobierno de TI
Reportar el Gobierno deTI implica auditar al mas
alto nivel de laorganizacin, cruzando
lmites de divisin,funciones o
departamentos.
Alcancedel
Trabajo
Nivel deEntrega
Temascubiertos
Gob TI
Derechode
acceso
39
-
7/23/2019 Auditoria de sistemas - MODII
40/135
2.2 Comit de Estrategia de TI
Este comit, presidido por el CIO, est a cargo de establecer las bases para lograr el
Buen Gobierno de TI. Es responsable de establecer los principios bsicos de TI dentrode la organizacin (por ejemplo: compromiso con la estandarizacin, escalabilidad,etc.), as como tambin las polticas de inversin en TI y de priorizacin de lasiniciativas.
Lgicamente, estos lineamientos deben ir alineados a la estrategia corporativa
establecida por el Comit Ejecutivo para lograr el valor de negocio que se espera. Esel CIO el llamado a comunicar dicha estrategia corporativa a los miembros de estecomit.
Este comit tradicionalmente esta conformado por el CIO y por los Gerentes de altorango de cada una de las reas de la compaa para as poder establecer polticas y
normas de forma consensuada. Bajo el concepto de Gobierno Corporativo, esimportante que sea elevado a Comit de Junta.
Es importante adems que el CIO tenga ms que conocimientos tcnicos, tengaconocimiento profundo del negocio de la empresa para as poder aterrizaradecuadamente la estrategia corporativa en una estrategia de TI adecuada.
40
-
7/23/2019 Auditoria de sistemas - MODII
41/135
2.2 Comit de Estrategia de TI
Comit deEstrategia
de TI
AsesoramientoEstratgico
Valor de TI
Desempeo
Riesgos
41
-
7/23/2019 Auditoria de sistemas - MODII
42/135
2.2 Comit de Estrategia de TI
Objetivos del Comit de Estrategia de TI
Alinear la estrategia de TI con los objetivos de negocio
Aterrizar en la organizacin las estrategias y objetivos
Organizacin para el Buen Gobierno de TI
Definir estructuras organizacionales que faciliten la implementacin dela estrategia
Adoptar un framework de riesgo, control y gobierno
Brindar la infraestructura TI que ayude a crear y compartir informacindel negocio
Asignar responsables de la gestin de riesgos en la organizacin
Enfocarse en los procesos importantes de TI y en su apoyo a lascompetencias del negocio
Medir el desempeo (Balance Scorecard)
42
-
7/23/2019 Auditoria de sistemas - MODII
43/135
2.2 Comit de Estrategia de TI
Nivel Nivel de Junta Nivel Ejecutivo
Responsabilidad Provee opinin y asesoramiento a la Junta sobretpicos tales como:
La relevancia de los desarrollos en TI desde unaperspectiva de negocio
La alineacin de TI con la direccin del negocio El logro de los objetivos estratgicos de TI La disponibilidad de los recursos, habilidades e
infraestructura de TI adecuada para cumplir con
los objetivos estratgicos. La optimizacin de los costos de TI, que incluyen
el rol y la entrega de valor por los servicios de TIde terceros
El riesgo, el retorno y los aspectos competitivosde la inversiones de TI
El avance en los proyectos principales de TI La contribucin de TI al negocio (entrega del
valor de negocio prometido)
Exposicin a los riesgos de TI, incluyendo riesgosde cumplimiento.
Contencin de los riesgos de TI Direccin a la gerencia en relacin con la
estrategia de TI Impulsadores y catalizadores para las practicas
de gobierno de TI de la Junta
Decide el nivel general de TI y como se asignaranlos costos.
Alinea y aprueba la arquitectura de TI de laempresa.
Aprueba los planes y presupuestos de proyecto,estableciendo prioridades e hitos de referencia.
Adquiere y asigna los recursos apropiados. Asegura que los proyectos cumplan
continuamente los requerimientos de negocio,incluyendo la reevaluacin del caso de negocio. Monitorea los planes del proyecto en cuanto a la
entrega del valor esperado y los resultadosdeseados, a tiempo y dentro del presupuesto.
Monitorea los conflictos de recursos yprioridades entre las divisiones de la empresa y lafuncin de TI y entre proyectos.
Hace recomendaciones y solicita cambios a los
planes estratgicos (prioridades, financiamiento,enfoques de tecnologa, recursos, etc.)
Comunica las metas estratgicas a los equipos delproyecto.
Es un contribuidor importante a lasresponsabilidades de gobierno de TI de lagerencia.
43
-
7/23/2019 Auditoria de sistemas - MODII
44/135
2.2 Comit de Estrategia de TI
Nivel Nivel de Junta Nivel Ejecutivo
Autoridad Asesora a la Junta y a la gerencia sobre laestrategia de TI:
Es encargado por la Junta para proveerdatos de base para la estrategia y prepara rsu aprobacin.
Se concentra en los problemas estratgicos
de TI presentes y futuros.
Asiste al ejecutivo en la entrega de laestrategia de TI.
Supervisa la administracin cotidianade entrega de servicio de TI yproyectos de TI.
Se concentra en la implantacin.
Integrantes Miembros de la junta y miembros especialistasno pertenecientes a la junta
Ejecutivo patrocinador Ejecutivo de negocio (usuarios clave) CIO Asesores claves que se requieran (TI,
auditoria, legal, finanzas).
44
-
7/23/2019 Auditoria de sistemas - MODII
45/135
2.3 Balanced Scorecard estndar de TI
El BSC es una herramienta revolucionaria para movilizar a la gente hacia el plenocumplimiento de la misin a travs de canalizar las energas, habilidades yconocimientos especficos de la gente en la organizacin hacia el logro de metasestratgicas de largo plazo. Permite tanto guiar el desempeo actual como apuntaral desempeo futuro. Usa medidas en cuatro categoras -desempeo financiero,conocimiento del cliente, procesos internos de negocios y, aprendizaje y crecimiento-para alinear iniciativas individuales, organizacionales y transdepartamentales e
identifica procesos enteramente nuevos para cumplir con objetivos del cliente yaccionistas. El BSC es un robusto sistema de aprendizaje para probar, obtenerrealimentacin y actualizar la estrategia de la organizacin. Provee el sistemagerencial para que las compaas inviertan en el largo plazo en clientes, empleados,desarrollo de nuevos productos y sistemas ms bien que en gerenciar la ltima lneapara bombear utilidades de corto plazo. Cambia la manera en que se mide y manejaun negocio.
The Balanced ScoreCard: Translating Strategy into Action,Harvard Business School Press,
Boston, 1996
45
-
7/23/2019 Auditoria de sistemas - MODII
46/135
2.3 Balanced Scorecard estndar de TI
El Balanced scorecard estndar de TI es una tcnica evaluativa que puede aplicarse
al proceso de Gobierno de TI para evaluar las funciones y procesos de TI.
BSC
TI
Satisfaccindel Cliente
ProcesosInternos
Innovacin
Usuarios
OperativosMejora
EvaluacinFinanciera
46
-
7/23/2019 Auditoria de sistemas - MODII
47/135
2.3 Balanced Scorecard estndar de TI
Para aplicar el Balanced scorecard estndar de TI, se usa una estructura de tres
capas para tratar las cuatro perspectivas:
Misin Estrategias Medidas
Convertirse en el proveedorpreferido de SI
Desarrollar aplicaciones yoperaciones superiores
Proveer un conjuntobalanceado de medidas (KPIs)
para guiar las decisiones de TIorientadas a negocios.Entregar aplicaciones yservicios eficientes y efectivosDesarrollar alianzas con losusuarios y mejores serviciospara los clientes
Obtener una contribucinrazonable de las inversiones deTI al negocio
Proveer mejores niveles deservicio y estructuras deprecios
Desarrollar oportunidades querespondan a futuros desafos
Entrenar y educar al personalde TI y promover la excelencia
Controlar los gastos de TI
Proveer nuevas capacidades denegocio
47
-
7/23/2019 Auditoria de sistemas - MODII
48/135
2.3 Balanced Scorecard estndar de TI
Finalidad del BSC:
Establecer un vehculo para la
informacin gerencial a la
Junta Directiva
Estimular el consenso entrelos interesados clave sobre
los objetivos estratgicos de
TI
Demostrar la efectividad y el
valor agregado de TI Comunicar el desempeo, los
riesgos y capacidades de TI
48
-
7/23/2019 Auditoria de sistemas - MODII
49/135
2.3 Balanced Scorecard estndar de TI
49
-
7/23/2019 Auditoria de sistemas - MODII
50/135
Pregunta
Para que la gerencia pueda monitorear de formaefectiva el cumplimiento de los procesos y lasaplicaciones Cul de las siguientes opciones sera laMS adecuada?
A. Un repositorio de documentos central
B. Un sistema de gestin de conocimientos
C. Un tablero de mandos
D. Benchmarking
50
-
7/23/2019 Auditoria de sistemas - MODII
51/135
2.4 Gobierno de Seguridad de Informacin
El gobierno de seguridad de la informacin consiste en el liderazgo,estructura organizacional y proceso para proteger la informacin.
El gobierno de seguridad de la informacin es un subconjunto delgobierno corporativo de la organizacin que provee direccin
estratgica, garantiza los objetivos establecidos, gestiona los riesgosde forma apropiada, usa los recursos organizacionalesresponsablemente y monitorea el xito o falla del programa deseguridad de la organizacin.
Guidance for Boards of Directors and Executive ManagementISACA
51
-
7/23/2019 Auditoria de sistemas - MODII
52/135
2.4 Gobierno de Seguridad de Informacin
Integridad de laInformacin
Continuidad deServicios
Proteccin de activosde Informacin
El Gobierno de Seguridad de Informacin se concentra en:
52
-
7/23/2019 Auditoria de sistemas - MODII
53/135
2.4 Gobierno de Seguridad de Informacin
Informacin:Datos que tienen significado y propsito
Panorama General del Gobierno de Seguridad de la Informacin
Competitividad
Seguridad
53
-
7/23/2019 Auditoria de sistemas - MODII
54/135
2.4 Gobierno de Seguridad de Informacin
Panorama General del Gobierno de Seguridad de la Informacin
Seguridad de TI
Seguridad de Informacin
Se ocupa de laseguridad de laTecnologa y estpicamenteimpulsada desde
el nivel del CIO
Se ocupa del universo delos riesgos, los beneficiosy los procesosinvolucrados con lainformacin y debe serimpulsada por laDireccin Ejecutiva ysoportada por JD.Relacionada con laprivacidad de lainformacin y seguridad
de la misma. 54
-
7/23/2019 Auditoria de sistemas - MODII
55/135
2.4 Gobierno de Seguridad de Informacin
Gobierno deSeguridad
de laInformacin
Dirigencia
EstructurasOrganizacionales
Procesos desalvaguarda de laInformacin
55
-
7/23/2019 Auditoria de sistemas - MODII
56/135
2.4 Gobierno de Seguridad de Informacin
Importancia del Gobierno de Seguridad de Informacin
Ocuparse de la creciente exposicin que tiene la organizacin y su gerencia a laresponsabilidad civil o legal como resultado de informacin incorrecta suministradaal pblico o a los reguladores, as como tambin las consecuencias de no ejercer eldebido cuidado en la proteccin de informacin privada.
Proveer garanta de cumplimiento de las polticas
Aumentar la predictibilidad y reducir la incertidumbre de las operaciones de negocioreduciendo los riesgos a niveles definibles y aceptables.
Proveer la estructura y el marco para optimizar las asignaciones de los recursoslimitados de seguridad.
Proveer un nivel de garanta de que las decisiones crticas no se basan en
informacin defectuosa.
Proveer una firme cimentacin para la administracin eficiente y efectiva del riesgo,mejoramiento de procesos y rpida respuesta a incidentes.
Proveer responsabilidad de salvaguardar informacin durante las actividades crticasdel negocio, tales como fusiones y adquisiciones, recuperacin del proceso de
negocio, y respuesta regulatoria. 56
-
7/23/2019 Auditoria de sistemas - MODII
57/135
2.4 Gobierno de Seguridad de Informacin
La seguridad de informacin abarca todos los procesos deinformacin, tanto fsicos como electrnicos,independientemente de si ellos involucran personas y
tecnologa o relaciones con socios de negocio, clientes oterceros. A la seguridad de la informacin le conciernentodos los aspectos de informacin y su proteccin de todoslos puntos de sus ciclo de vida dentro de la organizacin.
57
-
7/23/2019 Auditoria de sistemas - MODII
58/135
2.4 Gobierno de Seguridad de Informacin
Integracin deProcesos
Gestin deRecursos
Medicin delDesempeo
Entrega devalor
Gestin deRiesgos
Alineacinestratgica
6RESULTADOS
BASICOS
DE UN
GOBIERNO
EFECTIVO DE
SEGURIDAD
58
-
7/23/2019 Auditoria de sistemas - MODII
59/135
2.4 Gobierno de Seguridad de Informacin
Una estrategia comprensiva de seguridadintrnsecamente vinculada con los objetivos delnegocio.
Polticas de seguridad vigentes que se ocupen de cada
aspecto de estrategia controles y regulacin.
Un conjunto completo de estndares para cadapoltica para asegurar que los procedimientos ylineamientos cumplan con la poltica.
Una estructura organizacional efectiva de seguridadlibre de conflictos de inters.
Procesos institucionalizados de monitoreo paraasegurar el cumplimiento y proveer retroalimentacinsobre la efectividad.
El marco de un gobierno efectivo de Seguridad de Informacin est constituido por:
59
-
7/23/2019 Auditoria de sistemas - MODII
60/135
2.4 Gobierno de Seguridad de Informacin
60
-
7/23/2019 Auditoria de sistemas - MODII
61/135
2.4 Gobierno de Seguridad de Informacin
61
-
7/23/2019 Auditoria de sistemas - MODII
62/135
Pregunta
Cul de los siguientes elementos se considera MScrtico para una implementacin satisfactoria de unprograma de seguridad de la informacin (SI)?
A. Un marco de Gestin de Riesgos Empresariales (ERM)
B. Compromiso de la Alta Direccin
C. Un proceso de creacin de presupuestos adecuado
D. Una planificacin meticulosa de programas.
62
-
7/23/2019 Auditoria de sistemas - MODII
63/135
2.5 Arquitectura de Empresa
Arquitectura de la Empresa esel conjunto de elementosorganizacionales (objetivosestratgicos, departamentos,procesos, tecnologa,personal, etc.) que describen ala empresa y se relacionanentre s garantizando laalineacin desde los nivelesms altos (estratgicos) hastalos ms bajos (operativos), con
el fin de optimizar lageneracin de productos yservicios que conforman lapropuesta de valor entregadaa los clientes.
63
http://localhost/var/www/apps/conversion/tmp/scratch_1//upload.wikimedia.org/wikipedia/commons/2/2a/ArquitecturaDeLaEmpresa.jpg -
7/23/2019 Auditoria de sistemas - MODII
64/135
2.5 Arquitectura de Empresa
John A. Zachman dio origen al Frameworkfor Enterprise Architecture,
el cual ha sido aceptado alrededor del mundo como un marcointegrador, o una tabla peridica, de representaciones descriptivaspara empresas. El Marco de Trabajo Zachman es un marco de trabajo(framework) de Arquitecturas empresariales creado por John A.Zachman en 1984 y publicado por primera vez en el IBM Systems Journalen 1987. Es uno de los marcos de trabajo ms antiguos y de mayor
difusin en la actualidad.
64
-
7/23/2019 Auditoria de sistemas - MODII
65/135
2.5 Arquitectura de Empresa
65
http://localhost/var/www/apps/conversion/tmp/scratch_1//upload.wikimedia.org/wikipedia/commons/5/5c/The_Zachman_Framework_of_Enterprise_Architecture.jpg -
7/23/2019 Auditoria de sistemas - MODII
66/135
ESTRATEGIA DE SISTEMAS DEINFORMACIN
66
-
7/23/2019 Auditoria de sistemas - MODII
67/135
3.1 Planeacin Estratgica
La Planeacin estratgica de sistemas de informacin se relaciona con ladireccin a largo plazo que una organizacin quiere seguir para apalancar con
tecnologa de informacin la mejora de sus procesos de negocio.
AltaGerencia
Identificarsoluciones
de TI
Desarrollarplanes de
accin
Eficientes en costos a fin de enfrentarproblemas y oportunidades para laorganizacin
Para identificar y adquirir los recursos que senecesitan
Los planes estratgicos deben estar acordes yconsistentes con todas las metas y objetivosde la organizacin
67
-
7/23/2019 Auditoria de sistemas - MODII
68/135
3.1 Planeacin Estratgica
La Gerencia de TI, el Comit de Direccin de TI y el Comit de Estrategia tienen
funcin clave en el desarrollo y la implementacin de la planeacin estratgica
PlaneacinEstratgica Efectiva
de TI
Demanda de TI Capacidad de
proveer TI
Involucra las intencionesestratgicas de la organizacin ycomo stas se traducen en
objetivos especficos e iniciativasde negocio y que capacidadesde TI se necesitarn parasoportar estos objetivos einiciativas.
Revisar la cartera de sistemaspara calzar lo funcional, el costoy el riesgo. Planificar elsuministro de TI involucraevaluar la infraestructura tcnicade TI y los procesos clave desoporte, como. Desarrollo yManto. de Sistemas, Admn. dela Seguridad y Servicios Help
Desk 68
-
7/23/2019 Auditoria de sistemas - MODII
69/135
3.1 Planeacin Estratgica
A qu debe prestar atencin el Auditor de SI?
Debe dar importancia a la planeacin estratgica de TI, considerando lasprcticas de control gerencial.
Que los planes estratgicos de TI estn en sincronizacin con toda laestrategia de negocio.
Debe prestar atencin a los requerimientos de convertir los planesoperativos o tcticos de TI desde el negocio y las estrategias de TI,contenidos de planes estratgicos, requerimientos para actualizar ycomunicar planes y a los requerimientos de monitoreo y evaluacin.
Debe considerar que tan involucrada est la Gerencia de TI en la creacin dela estrategia general del negocio, por que una falta de participacin de TI enla creacin de dicha estrategia indica un riesgo de que los planes de TI noestn alineados con la estrategia del negocio.
69
-
7/23/2019 Auditoria de sistemas - MODII
70/135
Pregunta
Cul de los siguientes elementos estara incluido enun plan estratgico de TI?
A. Especificaciones para compras planeadas de hardware
B. Anlisis de los objetivos futuros del negocio
C. Fechas objetivo para los proyectos de desarrollo
D. Objetivos presupuestarios anuales para el departamento de SI
70
-
7/23/2019 Auditoria de sistemas - MODII
71/135
Pregunta
Cul de los enunciados siguientes describe MEJOR unproceso de planeacin estratgica del departamento de TI?
A. El departamento de TI tendr planes de corto alcance o de largo alcancedependiendo de los planes y objetivos ms amplios de la organizacin
B. El plan estratgico del departamento de TI debe estar orientado al tiempo y al
proyecto, pero no tan detallado como para tratar y ayudar a determinar lasprioridades para satisfacer las necesidades de negocio.
C. La planificacin de largo alcance para el departamento de TI debe reconocerlas metas organizacionales, los adelantos tecnolgicos y los requerimientosregulatorios.
D. La planeacin de corto alcance para el departamento de TI no necesita estarintegrada en los planes de corto alcance de la organizacin ya que losadelantos tecnolgicos impulsarn los planes del departamento de TI muchoms rpido que los planes organizacionales
71
-
7/23/2019 Auditoria de sistemas - MODII
72/135
3.2 Comit de Direccin
Este comit tiene como tarea principalmaterializar la estrategia de TI enacciones concretas. En otras palabrasconvierte los principios y polticasdictadas por el Comit de Estrategia deTI en servicios de infraestructura
dentro de la compaa. Para ello, estecomit debe tomar decisiones clavessobre la arquitectura de los servicios aimplantar que estn acordes y cumplancon los objetivos de TI pre-establecidos.Debe conformarse por representantes
de la alta direccin, gerencia usuaria ydepartamento de SI.
Los deberes y responsabilidades del comti deben estar definidos en un documentoformal. Cada miembro debe tener autoridad para tomar decisiones en el seno delgrupo para sus reas respectivas.
72
-
7/23/2019 Auditoria de sistemas - MODII
73/135
3.2 Comit de Direccin
Funciones primarias del Comit de Direccin:
Revisar los planes de largo y corto plazo del Depto. de SI para asegurar que estn enconcordancia con los objetivos corporativos.
Revisar y aprobar las adquisiciones importantes de hardware y software, dentro de loslmites aprobados por junta directiva.
Aprobar y monitorear los proyectos de alta relevancia y la situacin de los planes y
presupuestos de SI, establecer prioridades, aprobar las normas y los procedimientos, ymonitorear el desempeo general de SI.
Revisar y aprobar las estrategias para outsourcing de ciertas actividades o todas lasactividades de SI, y la globalizacin, o traslado al extranjero, de las funciones.
Revisar si los recursos y su asignacin son adecuados en trminos del tiempo, personaly equipo.
Decidir respecto a la centralizacin frente a la descentralizacin y a la asignacin deresponsabilidades.
Apoyar el desarrollo e implementacin de un programa de administracin deseguridad de informacin a nivel de toda la organizacin.
Reportar a la Junta Directiva sobre las actividades de SI73
-
7/23/2019 Auditoria de sistemas - MODII
74/135
POLTICAS YPROCEDIMIENTOS
74
-
7/23/2019 Auditoria de sistemas - MODII
75/135
4.1 Polticas
Son documentos de alto nivel que representan la filosofa corporativa de unaorganizacin y el pensamiento estratgico de la alta gerencia y de los dueos de los
procesos del negocio. Estas deben ser claras y concisas para que sean efectivas.
Formular
Desarrollar
DocumentarPromulgar
ControlarPolticas que
abarcan metas ydirectrices
generales
Ambiente
de
Control
Positivo
ADMNISTRACIN
75
-
7/23/2019 Auditoria de sistemas - MODII
76/135
4.1 Polticas
Polticas deAlto Nivel
Polticas deMenor Nivel
TOP-DOWN
DIVISIONES / DEPARTAMENTOS
CORPORATIVAS
Polticas deAlto Nivel
Polticas deMenor Nivel
DOWN-TOP
DIVISIONES / DEPARTAMENTOS
CORPORATIVAS
CONSISTENT
ES
COSTOS/BASADAS
EN
EST
IMACIONESDERIESGO
76
4 1
-
7/23/2019 Auditoria de sistemas - MODII
77/135
4.1 Polticas
El Auditor de Sistemas debe:
Alcanzar el entendimiento de las polticas como parte del proceso de auditora ycomprobar si estas se cumplen.
Comprobar que la Administracin revise y actualice las polticas peridicamente.
Verificar que las polticas formuladas permitan el logro de los objetivos delnegocio y la implementacin de controles en los sistemas de informacin.
Verificar que las polticas generales a nivel superior y las polticas detalladas a unnivel inferior estn a tono.
Utilizar las polticas como punto de referencia para evaluar el cumplimiento delos controles de SI.
Identificar y reportar polticas que obstaculizan el logro de los objetivos del
negocio, para que sean mejoradas. Considerar el grado al que las polticas se aplican a terceros o a outsourcers, el
grado al que estos cumplen con las polticas o si las polticas de los terceros o delos outsourcers etn en conflicto con las polticas de la organizacin.
77
4 1 P lti
-
7/23/2019 Auditoria de sistemas - MODII
78/135
4.1 Polticas
Poltica de Seguridad de Informacin
La poltica de seguridad es un documento de alto nivel que denota el compromisode la gerencia con la seguridad de la informacin. Contiene la definicin de laseguridad de la informacin bajo el punto de vista de cierta entidad.
Debe ser enriquecida y compatibilizada con otras polticas dependientes de sta,
objetivos de seguridad, procedimientos. Debe estar fcilmente accesible de formaque los empleados estn al tanto de su existencia y entiendan su contenido. Puedeser tambin un documento nico o inserto en un manual de seguridad. Se debedesignar un propietario que ser el responsable de su mantenimiento y suactualizacin a cualquier cambio que se requiera.
La poltica de seguridad debe ser documentada y comunicada a todos los empleadosy proveedores de servicio, segn sea pertinente. Asimismo, debe ser usada por losauditores de SI como un marco de referencia para realizar diferentes trabajos deauditora de SI. La suficiencia y pertinencia de la poltica de seguridad, podra sertambin un rea de revisin para el auditor de SI.
78
4 1 P lti
-
7/23/2019 Auditoria de sistemas - MODII
79/135
4.1 Polticas
El Documento de Poltica de Seguridad de Informacin debe tener:
Una definicin de seguridad de informacin, sus objetivos generales y su alcance,y la importancia de la seguridad como un mecanismo que permite que secomparta la informacin.
Una declaracin de la intencin de la gerencia, soportando las metas y losprincipios de la seguridad de informacin en lnea con la estrategia y los objetivos
del negocio. Un marco para fijar los objetivos de control y los controles, incluyendo la
estructura de la evaluacin del riesgo y la administracin del riesgo.
Una breve explicacin de las polticas de seguridad, los principios, los estndaresy los requisitos de cumplimiento de particular importancia para la organizacin,incluyendo:
Cumplimiento de los requisitos legislativos, regulatorios y contractuales
Requisitos de educacin, entrenamiento y conciencia/conocimiento de laseguridad.
Administracin de la continuidad del negocio
Consecuencias de las violaciones de la poltica de seguridad de informacin.79
4 1 P lti
-
7/23/2019 Auditoria de sistemas - MODII
80/135
4.1 Polticas
Para revisar la poltica de seguridad de Informacin debe considerar lo siguiente:
Retroalimentacin de las partes interesadas. Resultados de revisiones independientes.
Estatus de las acciones preventivas y correctivas.
Resultados de revisin de gerencia anteriores.
Desempeo del proceso y cumplimiento de la poltica de seguridad de
informacin. Cambios que podran afectar el enfoque de la organizacin para administrar la
seguridad de informacin, incluyendo cambios al entorno organizacional, lascircunstancias del negocio, la disponibilidad de recursos, las condicionescontractuales, regulatorias y legales o el entorno tcnico.
Uso de la consideracin de los outsourcers o funciones fuera de TI o funciones delnegocio.
Las tendencias relacionadas con las amenazas y las vulnerabilidades.
Incidentes de seguridad de la informacin reportados.
Recomendaciones suministradas por las autoridades relevantes.
80
4 1 P lti
-
7/23/2019 Auditoria de sistemas - MODII
81/135
4.1 Polticas
Mejoramiento del enfoque de laorganizacin para administrar la seguridadde informacin y sus procesos.
Mejoramiento de los objetivos de control ylos controles
Mejoramiento en la asignacin de recursosy/o responsabilidades
El resultado o producto de la revisin de gerencia debe incluir
cualesquiera decisiones y acciones relacionadas con:
Se debe mantener un registro de revisiones de gerencia y se debe obtener laaprobacin de la gerencia para la poltica revisada.
81
4 2 Procedimientos
-
7/23/2019 Auditoria de sistemas - MODII
82/135
4.2 Procedimientos
Los procedimientos son documentos detallados que se derivan de la polticamadre e implementan la intencin de la aseveracin de la poltica. Estos debenser escritos en una forma clara y concisa, de modo que sean comprendidos fcil ycorrectamente por todos los que se deben regir por ellos. Los procedimientosdocumentan procesos de negocio (administrativos y operacionales) y loscontroles integrados en los mismos.
Los auditores deben revisar los procedimientos para identificar, evaluar y probarlos controles sobre los procesos del negocio. Los controles integrados sonevaluados para asegurar que cumplan los objetivos de control necesarios,mientras hacen el proceso tan eficiente y prctico como sea posible. Al no existirprocedimientos documentados, es difcil identificar los controles y asegurar que
estn en operacin continua.
82
-
7/23/2019 Auditoria de sistemas - MODII
83/135
ADMINISTRACINDEL RIESGO
83
5 Administracin del Riesgo
-
7/23/2019 Auditoria de sistemas - MODII
84/135
5. Administracin del Riesgo
RIESGO:El potencial de que una amenazadeterminada explote lasvulnerabilidades de un activo o grupode activos y que ocasione prdida de losactivos o daos a los mismos.Usualmente se mide mediante lacombinacin del impacto y de laprobabilidad de que ocurra. El riesgocomprende los siguientes elementos:
AMENAZAS: Externas al activo
VULNERABILIDADES: Intrnsecas en el
activo
PROBABILIDAD: Porcentaje deocurrencia, depende del entorno
IMPACTO: Porcentaje que representeese activo en los bienes
84
5 Administracin del Riesgo
-
7/23/2019 Auditoria de sistemas - MODII
85/135
5. Administracin del Riesgo
ADMINISTRACIN DEL
RIESGO:
Proceso de identificar las debilidades ylas amenazas para los recursos deinformacin utilizados por unaorganizacin para lograr los objetivosdel negocio, y decidir quecontramedidas tomar, si hubiera alguna,para reducir el nivel de riesgo hasta unnivel aceptable basado en el valor delrecurso de informacin para laorganizacin.
85
5 Administracin del Riesgo
-
7/23/2019 Auditoria de sistemas - MODII
86/135
5. Administracin del Riesgo
APETITO DE
RIESGO
INVERSIONESFUTURAS ENTECNOLOGIA
GRADO DEPROTECCIN DE
LOS ACTIVOS
NIVEL DEGARANTIA
REQUERIDO
Identificar Analizar Evaluar Tratar Monitorear Comunicar
AdministracinSuperior
EVITAR MITIGARTRANSFERIR
ACEPTAR ELIMINAR
86
5 1 Desarrollo de un Programa de Administracin del Riesgo
-
7/23/2019 Auditoria de sistemas - MODII
87/135
5.1 Desarrollo de un Programa de Administracin del Riesgo
Establecer el propsitodel programa de
Administracin delRiesgo
Asignar responsabilidadpara el plan de
administracin delriesgo
87
5 2 Proceso de Administracin de Riesgos
-
7/23/2019 Auditoria de sistemas - MODII
88/135
5.2 Proceso de Administracin de Riesgos
Riesgo
residual
EvaluarControles o
Disear nuevos
Combinar para formar una visingeneral del riesgo:
Calcular vulnerabilidad de impactopor cadaAmenaza.
Estudiar las amenazas y vulnerabilidadesAsociadas con el recurso de informacin
Y la probabilidad de ocurrencia
Identificacin y clasificacin de los recursos deInformacin o de los activos que necesitan
Proteccin, porque son vulnerables a las amenazas
Nota: el riesgo es
proporcional al
valor de la prdida
o dao y la
frecuencia
estimada de laamenaza
88
5 2 Proceso de Administracin de Riesgos
-
7/23/2019 Auditoria de sistemas - MODII
89/135
5.2 Proceso de Administracin de Riesgos
Nivel Operativo
Riesgos que
comprometen laefectividad desistemas
Capacidad de evadircontroles en sistemas
Prdida o no
disponibilidad derecursos
Falta de cumplimientode leyes
Nivel de Proyecto
Capacidad de
entender lacomplejidad delproyecto
Que los objetivos delproyecto no seancumplidos
Nivel Estratgico
Capacidades de TI no
estn alineadas con elnegocio.
Capacidades de TIcomparadas con la delos competidores
Amenazas planteadas
por el cambiotecnolgico
La administracin de riesgos, debe operar a mltiples niveles, como por ejemplo:
89
5 3 Mtodos de Anlisis del Riesgo
-
7/23/2019 Auditoria de sistemas - MODII
90/135
5.3 Mtodos de Anlisis del Riesgo
Mtodos de Anlisis CualitativoUsan categorizaciones descriptivas para describir los impactos o la probabilidad.Son los mas sencillos y los m{as comnmente usados. Se basan en listas deverificacin y clasificaciones subjetivas de riesgo, tales como alto medio o bajo.
Mtodos de Anlisis Semicuantitativo
Las clasificaciones descriptivas estn asociadas con una escala numrica. Dichosmtodos se usan frecuentemente cuando no es posible utilizar un mtodocuantitativo o reducir la subjetividad de los mtodos cualitativos.
Mtodos de Anlisis CuantitativoUsan valores numricos para describir la probabilidad y los impactos de los
reisgos, usando datos provenientes de varios tipos de fuentes, tales comoregistros histricos, experiencias pasadas, prcticas y registros de la industria,teoras estadsticas, pruebas y experimentos.
90
5 3 Mtodos de Anlisis del Riesgo
-
7/23/2019 Auditoria de sistemas - MODII
91/135
5.3 Mtodos de Anlisis del Riesgo
91
Cualitativo
CuantitativoALE(Expectativa deprdida anual)
5 3 Mtodos de Anlisis del Riesgo
-
7/23/2019 Auditoria de sistemas - MODII
92/135
5.3 Mtodos de Anlisis del Riesgo
92
Ejemplo:
Tomemos la siguiente informacin para realizar un anlisis cuantitativo y definir sies conveniente o no adquirir un software de antivirus con un valor de $2,000dlares para un nuevo servidor de correo electrnico, el cual incluye medidasantispam y filtrado de contenidos.
El nuevo servidor tiene un precio estimado de $30,000 dlares. La empresacuenta con 80 empleados que utilizarn este servicio para agilizar lacomunicacin interna y externa (sus clientes).
Los estudios indican que existe un 95% de probabilidad de que el servidor seinfecte si no se le instala el software de antivirus. En caso de que se infecte el
equipo, se estima que se podrn perder tres/cuartas partes de la informacin.
5.3 Mtodos de Anlisis del Riesgo
-
7/23/2019 Auditoria de sistemas - MODII
93/135
5.3 Mtodos de Anlisis del Riesgo
La gerencia y los auditores deben tener presente ciertas consideraciones:
La administracin del riesgo debe aplicarse a las funciones de TI en todala compaa
Es una responsabilidad de la alta gerencia El anlisis cuantitativo es preferible al cualitativo El cualitativo enfrenta el desafo de estimar los riesgos (su probabilidad)
y se basa en la subjetividad El cuantitativo provee supuestos ms objetivos La complejidad real o la aparente sofisticacin de los mtodos o
productos usados no debe ser un sustituto del sentido comn delnegocio
Se debe prestar especial atencin para asegurar que se d laconsideracin adecuada a tratar con eventos de alto impacto, incluso sisu probabilidad expresada como una frecuencia de ocurrencia es baja.
93
-
7/23/2019 Auditoria de sistemas - MODII
94/135
PRCTICAS DE GERENCIADE SISTEMAS DE INFORMACIN
94
6. Prcticas de Gerencia de Sistemas de Informacin
-
7/23/2019 Auditoria de sistemas - MODII
95/135
6. Prcticas de Gerencia de Sistemas de Informacin
Las prcticas de Gerencia de Sistemas de Informacin reflejan la
implementacin de polticas y procedimientos desarrollados para diversasactividades gerenciales relacionadas con TI. Entre ellas tenemos:
Administracin de personal
Practicas de Sourcing
Gerencia de cambios Organizacionales
Practicas de Gerencia Financiera
Gerencia de Calidad
Gerencia de Seguridad de Informacin
Optimizacin del desempeo
95
6.1 Administracin de Personal
-
7/23/2019 Auditoria de sistemas - MODII
96/135
6 d st ac de e so a
Se refiere a polticas y procedimientos de la organizacin para contratacin, promocin,retencin y terminacin de contratos. Es importante considerar:
Contratacin (Verificacin de Antecedentes, Acuerdos de Confidencialidad, fianzas, acuerdos deconflictos de intereses)
Manual del Empleado (Polticas y procedimientos de seguridad, beneficios de los empleados,polticas de vacaciones, horas extra, evaluaciones de desempeo, acciones disciplinarias)
Polticas de Promocin (Basadas en criterios objetivos, considerando el desempeo, el nivel deinstruccin, la experiencia y el nivel de responsabilidad individual)
Entrenamiento (Basado en las reas donde falte experiencia y conocimientos / Garantizarcontinuidad de operaciones)
Cronogramas y Reportes de Tiempo (til para asignacin de costos, medicin de KGI y KPI y
anlisis de actividades)
Evaluaciones del Desempeo de los Empleados (Aumentos de salario, bonificaciones ypromociones basadas en el cumplimiento de metas)
Vacaciones requeridas (Reduce la oportunidad de cometer actos indebidos)
Polticas de Terminacin de Contrato (Debe protegerse los activos y datos de la organizacin).96
6.2 Prcticas de Sourcing
-
7/23/2019 Auditoria de sistemas - MODII
97/135
g
Sourcing
Entrega deFunciones
Insourced
Outsourced
Hbrido
Lugar deTrabajo
En el sitio
Fuera delSitio
Offshore
Es una funcin central para la
organizacin? Tiene esta funcin conocimientos,
procesos y personal especficos quesean crticos para cumplir las metasy objetivos, y que no pueda serreplicado externamente o en otro
lugar Puede esta funcin ser efectuada
por un tercero o en otro lugar por elmismo precio o por un precio masbajo, con la misma o mayor calidad,sin aumentar el riesgo?
Tiene la organizacin experienciaadministrando a terceros o usandolugares distantes / offshores paraefectuar funciones de SI o delnegocio?
97
6.2 Prcticas de Sourcing
-
7/23/2019 Auditoria de sistemas - MODII
98/135
g
Por qu Tercerizar?
Cules son los serviciosbrindados por Terceros?
Qu puedo / no puedo
Tercerizar?
98
6.2 Prcticas de Sourcing
-
7/23/2019 Auditoria de sistemas - MODII
99/135
g
Ventajas de la Tercerizacin:
Economas de escala
Posibilidad del proveedor de concentrarse en el proyecto
proveedores con mayor experiencias en un conjunto de problemas, aspectos ytcnicas que el personal de planta.
Mejores especificaciones que si fueran desarrollados por personal de planta
Con los proveedores se reduce la probabilidad que haya exceso de funcionalidades.
Solucin ante problemas de capacidad y planeacin del crecimiento.
99
6.2 Prcticas de Sourcing
-
7/23/2019 Auditoria de sistemas - MODII
100/135
g
Desventajas de la Tercerizacin:
Costos excedan las expectativas
Perdida de experiencia interna en SI y perdida de control
Falla del proveedor
acceso limitado al producto
Dificultad para revertir o cambiar los contratos de tercerizacin
Deficiente cumplimiento de los requerimientos legales y regulatorios
Incumplimiento en trminos de contrato
Falta de lealtad de personal
Clientes /empleados insatisfechos como consecuencia del contrato Costos de servicio no son competitivos
Obsolescencia de los sistemas de TI del proveedor
Dao a la reputacin de una de las entidades al fallar el proyecto
Litigacin prolongada y costosa
100
6.2 Prcticas de Sourcing
-
7/23/2019 Auditoria de sistemas - MODII
101/135
g
COMO PUEDO
REDUCIR EL RIESGO
EN LA
TERCERIZACIN
101
SLA
6.2 Prcticas de Sourcing
-
7/23/2019 Auditoria de sistemas - MODII
102/135
Cmo auditar un servicio Tercerizado?
Verificar que el SLA sea adecuado y contenga las clusulas mnimas de exigencia. Revisar los procedimientos documentados del tercerizador y los resultados de sus
programas de calidad. (Condiciones de seguridad, reporte de incidentes)
Requerir un Informe de auditora de terceros en forma peridica.
Dejar establecido en las clausulas contractuales, la posibilidad de que el tercero
sea auditado por la organizacin. Revisar pistas de auditora de terceros y los registros de eventos de seguridad,
problemas operativos, fallas, rastreo de interrupciones relacionadas con elservicio.
Qu debe prevenir el auditor en las funciones offsite u offshore?
Aspectos legales, regulatorios y fiscales
Continuidad de las operaciones
Aspectos de telecomunicacin
Problemas transfrontera y transculturales.102
6.2 Prcticas de Sourcing
-
7/23/2019 Auditoria de sistemas - MODII
103/135
Gobierno de Outsourcing
Es el conjunto de responsabilidades, roles, objetivos interfaces y controles requeridos paraanticipar el cambio y manejar la introduccin, mantenimiento, desempeo, costos y elcontrol de los servicios. Todo ello con la transparencia y la propiedad de los procesos. Debetener cuidado de:
Asegurar la viabilidad contractual a travs de revisin continua, mejoramiento yobtencin de beneficios para ambas partes.
Inclusin de un programa explcito de gobierno para el contrato Manejo de la relacin para asegurar que las obligaciones contractuales se cumplan a
travs de SLAsy contratos de nivel operativo.
Identificacin y manejo de todos los interesados, sus relaciones y expectativas.
Establecimiento de roles y responsabilidades claros para la toma de decisiones,
escalacin de problemas, manejo de disputas, manejo de demandas y entrega deservicios.
Asignacin de recursos, gasto y consumo de servicios en respuesta a las necesidadespriorizadas.
Evaluacin continua del desempeo, costo, satisfaccin de usuario, eficacia.
Comunicacin constante con todos los interesados. 103
6.3 Gerencia de Cambios Organizacionales
-
7/23/2019 Auditoria de sistemas - MODII
104/135
Cuando tena 17 aos, le una cita que deca ms o menos losiguiente: Si vives cada da como si fuera el ltimo, algn daseguramente tendrs razn.Me impresion, y desde entonces, porlos ltimos 33 aos, me he mirado en el espejo cada maana y me
pregunto: Si hoy fuese el ltimo da de mi vida, querra hacer loque estoy por hacer hoy?Y cada vez que la respuesta ha sido Nodurante demasiados das seguidos, s que necesito cambiar algo.
Steve Jobs
104
6.3 Gerencia de Cambios Organizacionales
-
7/23/2019 Auditoria de sistemas - MODII
105/135
La Gerencia de Cambios Organizacionales administra los cambios mediante un procesodefinido y documentado para identificar y aplicar mejoras de tecnologa al nivel de
infraestructura y aplicaciones que son beneficiosos para la organizacin y que involucratodos los niveles de la organizacin impactados por los cambios. Este nivel de participaciny comunicacin asegurar que el departamento de SI entiende completamente lasexpectativas de los usuarios y que los cambios no sean resistidos o ignorados por losusuarios una vez sean implementados.
La retroalimentacindel usuario debeobtenerse a travs delproyecto, incluyendovalidacin de losrequerimientos del
negocio yentrenamiento ypruebas sobre lafuncionalidad nueva ocambiada.
105
6.4 Prcticas de Gerencia Financiera
-
7/23/2019 Auditoria de sistemas - MODII
106/135
El esquema de pagos del usuario, formaen la que se le imputo un costo a losusuarios por el uso de recursoinformticos, puede mejorar la aplicacin
y monitoreo de los gastos y recursoslimitados de SI. En este esquema, el cosode los servicios de SI, incluidos el tiempodel personal, el tiempo de uso de lacomputadora as como otros costosrelevantes, es cargado a los usuariosfinales, basado en una frmula o clculoestndar (uniforme).
La Gerencia financiera es un elemento crtico en todas las funciones del negocio. En unambiente de computacin intensivo en costos, es imperativo que haya prcticas
correctas de gerencia financiera.
La gerencia de SI debe desarrollar un presupuesto. Esto permite el pronstico,monitoreo y anlisis de la informacin financiera. Debe estar vinculado con los planesde TI de corto y mediano plazo.
106
6.5 Gerencia de Calidad
-
7/23/2019 Auditoria de sistemas - MODII
107/135
107
6.6 Gerencia de seguridad de la Informacin
-
7/23/2019 Auditoria de sistemas - MODII
108/135
Provee la funcin rectora para garantizarque la informacin y los recursos deprocesamiento de informacin de laorganizacin bajo su control estndebidamente protegidos. Esto incluirdirigir y facilitar la implementacin de unprograma de seguridad de TI a nivel de todala organizacin, que incluya el desarrollo deplanes de continuidad del negocio yrecuperacin de desastres relacionados confunciones del departamento de TI en apoyode los procesos crticos del negocio de laorganizacin.
Un componente importante es la aplicacin de principios de administracin deriesgos para evaluar los riesgos en los activos de TI, mitigarlos hasta un nivelapropiado y monitorear los riesgos residuales remanentes.
108
6.6 Gerencia de seguridad de la Informacin
-
7/23/2019 Auditoria de sistemas - MODII
109/135
109
Pregunta
-
7/23/2019 Auditoria de sistemas - MODII
110/135
La responsabilidad MAS importante de un oficial deseguridad en una organizacin es:
A. Recomendar y monitorear las polticas de seguridad de datos
B. Promover la conciencia de la seguridad dentro de laorganizacin.
C. Establecer procedimientos para las polticas de seguridad de TI
D. Administrar los controles de acceso fsico y lgico
110
Pregunta
-
7/23/2019 Auditoria de sistemas - MODII
111/135
Cul de lo siguiente es MAS probable que realice eladministrador de seguridad?
A. Aprobar la poltica de seguridad
B. Probar el software de aplicacin
C. Asegurar la integridad de los datos
D. Mantener las reglas de acceso
111
6.7 Optimizacin del Desempeo
-
7/23/2019 Auditoria de sistemas - MODII
112/135
La optimizacin del desempeo es un proceso impulsado por indicadores del
desempeo. Estos indicadores estn definidos sobre la base de la complejidadde las operaciones y procesos del negocio de una organizacin, su solucinestratgica de TI y los objetivos estratgicos corporativos primarios deimplementacin de TI.
La optimizacin se refiere al proceso de mejorar la productividad de los
sistemas de informacin al mximo nivel posible sin inversin adicionalinnecesaria en infraestructura de TI.
Generalmente hay cinco formas de usar las medidas del desempeo:
1. Medir productos / servicios
2. Administrar productos / servicios
3. Asegurar la responsabilidad
4. Tomar decisiones de presupuesto
5. Optimizar el desempeo112
6.7 Optimizacin del Desempeo
-
7/23/2019 Auditoria de sistemas - MODII
113/135
Las directrices gerenciales de COBIT estn primordialmente diseadas para
satisfacer las necesidades de la gestin de TI de medicin del desempeo. Sesuministran metas, mtricas y modelos de madurez para cada uno de los 34procesos de TI.
Estn orientados para resolver las siguientes preocupaciones:
Medicin del desempeo - Cules son los indicadores de buendesempeo?
Creacin del perfil de control de TI - Qu es importante? Cules son losfactores crticos de xito para el control?
Concientizacin - Cules son los riesgos de no alcanzar nuestros objetivos?
Creacin de puntos de referencia - Qu hacen otros? Cmo se miden yse comparan?
113
Pregunta
-
7/23/2019 Auditoria de sistemas - MODII
114/135
Un auditor de SI debe asegurar que las medidas dedesempeo del gobierno de TI:
A. Evalen las actividades de los comits de supervisin de TI
B. Provean impulsadores estratgicos de TI
C. Acaten los estndares y definiciones de reporte regulatorio
D. Evalen el departamento de TI
114
-
7/23/2019 Auditoria de sistemas - MODII
115/135
ESTRUCTURA ORGANIZACIONAL YRESPONSABILIDADES DE SI
115
8. Estructura Organizacional y Responsabilidades de SI
-
7/23/2019 Auditoria de sistemas - MODII
116/135
CIO
Gestin deRiesgos
Admin Seguridad
CoordinadorRecuperacin de
Desastres
Aplicaciones
Desarrollo /Admin deSoporte
Programadores
Analistas deSistemas
Aseguramientode calidad
Datos
Admin Datos
Admin BD
Soporte Tcnico
Admin SoporteTcnico
Admin de Redes
Admin de SO
Programadoresde Sistemas
Analistas desistemas
Soporte alUsuario
Mesa de Servicio
Operaciones
Admin deOperaciones
Operador deComputadora
116
8.1 Roles y Responsabilidades de SI
-
7/23/2019 Auditoria de sistemas - MODII
117/135
GestinDesarrolloSistemas
Gestin deProyectos
Help Desk Usuario FinalGestin Soporte
Usuario Final
Gestin de Datos
Gestin
Aseguramientode la calidad
Gestin de
Seguridad de laInformacin
Gestin de
proveedores
Operaciones de
Mtto. eInfraestructura
Gestin deMedios
Ingreso de DatosAdministracin
de SistemasAdministracinde Seguridad
AseguramientoCalidad
AdministracinBD
Anlisis deSistemas
Desarrollo yMntto.
Aplicaciones
Desarrollo yMntto.
Infraestructura
Administracinde Red
117
8.2 Segregacin de Funciones de SI
-
7/23/2019 Auditoria de sistemas - MODII
118/135
La segregacin de funciones es un importantemedio por el cual se pueden prevenir y disuadir
actos fraudulentos o maliciosos.
Las funciones que deben ser segregadasincluyen:Custodia de activos
AutorizacinRegistro de Transacciones
De no existir segregacin adecuada defunciones, puede ocurrir:
Apropiacin indebida de activosEstados financieros falsosDocumentacin financiera inexacta (errores,irregularidades)Uso indebido de fondos o la modificacin dedatos podra pasar inadvertida 118
8.2 Segregacin de Funciones de SI
-
7/23/2019 Auditoria de sistemas - MODII
119/135
Grupo de Control Analista de
Sistemas
Programador de
Aplicaciones
Mesa de Ayuda y
Gerente de
Soporte
Usuario Final Ingreso de Datos O perador de
Computadoras
Administrador de
Bases de Datos
Administrador de
Redes
Administrador d
Sistemas
Administrador de
Seguridad Cintotecario
Programador de
Sistemas
Control d
Calidad
Grupo de Control x x x x x x x x x
Analista d
Sistemas x x x x x x
Programador d
Aplicaciones x x x x x x x x x x x
Mesa de Ayuda y
Gerente d
Soporte
x x x x x x x x x x
Usuario Final x x x x x x x x x
Ingreso de Datos x x x x x x x x x
Op era do r d
Computadoras x x x x x x x x x x
Administrador d
Bases de Datos x x x x x x x x x
Administrador d
Redes x x x x x x x x
Administrador d
Sistemas x x x x x x x
Administrador d
Seguridad x x x x x x
Cintotecario x x x x x x x x
Programador d
Sistemas x x x x x x x x x x
Control d
Calidad x x
119
Pregunta
-
7/23/2019 Auditoria de sistemas - MODII
120/135
Cul de las siguientes tareas pueden ser ejecutadaspor la misma persona en un centro de cmputo deprocesamiento de informacin bien controlado?
A. Administracin de seguridad y administracin de cambios
B. Operaciones de cmputo y desarrollo de sistemas
C. Desarrollo de sistemas y administracin de cambios
D. Desarrollo de Sistemas y mantenimiento de sistemas
120
Pregunta
-
7/23/2019 Auditoria de sistemas - MODII
121/135
Cul de lo siguiente es el control MAS crtico sobrela administracin de la base de datos?
A. Aprobacin de las actividades de DBA
B. Segregacin de funciones
C. Revisin de registros de acceso y actividades
D. Revisin del uso de las herramientas de la base de datos
121
8.3 Controles de Segregacin de Funciones
-
7/23/2019 Auditoria de sistemas - MODII
122/135
Autorizacin de Transacciones
Debe ser responsabilidad del Departamento de Usuarios Se delega en la medida que se relaciona con el nivel particular de responsabilidad La Gerencia y Auditora deben efectuar verificaciones peridicas para prevenir el ingreso de
transacciones no autorizadas.
Custodia de Activos
Debe existir una asignacin adecuada de la custodia de activos. El propietario de los datos debe determinar los niveles de autorizacin adecuados. El grupo de administracin implementa y ejecuta el sistema de seguridad.
Acceso a los datos
Es una combinacin de seguridad fsica, de sistemas y de aplicaciones (rea de usuarios yrea de procesamiento).
Las decisiones de control de acceso estn basadas en Separacin de funciones y el menorprivilegio.
Los datos y recursos deben categorizarse en niveles de sensibilidad tales como secretomximo, secreto, confidencial y no clasificado . 122
8.3 Controles de Segregacin de Funciones
-
7/23/2019 Auditoria de sistemas - MODII
123/135
Formularios de Autorizacin
Los gerentes deben definir quien tendr acceso a que, a travs de formularios deautorizacin (fsicos o electrnicos).
La solicitud debe ser formal.
Para empresas grandes, se recomienda el uso de registro de firmas.
Los privilegios de acceso deben ser revisados peridicamente.
Tablas de autorizacin de usuario
El Depto. de SI debe mantener tablas de autorizaciones de usuarios (ACL).
Las tablas deben ser protegidas contra el acceso no autorizado.Debe llevarse una bitcora sobre la actividad de los usuarios y revisarla.
123
8.3 Controles de Segregacin de Funciones
-
7/23/2019 Auditoria de sistemas - MODII
124/135
Controles compensatorios
Deben existir medidas de control compensatorio para mitigar el riesgo resultante deuna falta de segregacin de funciones. Estos incluyen:
Pistas de Auditora
Conciliacin Reportes de Excepcin
Registros de transacciones
Revisiones de supervisin
Revisiones independientes
124
Pregunta
-
7/23/2019 Auditoria de sistemas - MODII
125/135
125
Cuando una segregacin de funciones completa nopuede lograrse en un entorno de sistemas en lnea,cul de las siguientes funciones deben ser separadade las dems?
A. Originacin
B. Autorizacin
C. Registro
D. Correccin
Pregunta
-
7/23/2019 Auditoria de sistemas - MODII
126/135
En una organizacin pequea, donde la segregacin
de responsabilidades no es prctica, un empleadorealiza la funcin de operador de computadoras yprogramador de aplicaciones. Cul de los siguientescontroles debe recomendar el auditor de SI?
A. Registro automtico de cambios a las bibliotecas de desarrollo
B. Personal adicional para proveer la segregacin de tareas
C. Procedimientos que verifiquen que slo los cambios de
programa aprobados estn implementados
D. Controles de acceso para impedir que el operador hagamodificaciones a los programas
126
-
7/23/2019 Auditoria de sistemas - MODII
127/135
AUDITORIA DE LA ESTRUCTURA EIMPLEMENTACION DE GOBIERNO
DE TI
127
8. Auditora de la estructura e implementacin de gobierno de
TI
-
7/23/2019 Auditoria de sistemas - MODII
128/135
1. Actitudes desfavorables del usuario final
2. Costos excesivos
3. Presupuesto excesivo
4. Proyectos demorados
5. Rotacin elevada de personal
6. Personal inexperto
7. Errores frecuentes de Hardware / Software
8. Lista excesiva de solicitudes de usuarios en espera
9. Largo tiempo de respuesta de computadora
10. Numerosos proyectos de desarrollo abortados o
suspendidos
11. Compras de hardware / software sin soporte o sin
autorizacin
12. Frecuentes ampliaciones de capacidad de
hardware / software
13. Extensos reportes de excepciones
14. Reportes de excepciones a los que no se les dio
seguimiento
15. Poca motivacin
16. Ausencia de planes de reemplazo
17. Confianza en uno o dos miembros claves del
personal
18. Falta de entrenamiento adecuado.
128
Aunque son muchos los aspectos que preocupan al auditor de SI cuando audita el funcionamiento deSI, algunos de los indicadores mas significativos de los problemas potenciales, incluyen:
8.1 Revisin de la Documentacin
-
7/23/2019 Auditoria de sistemas - MODII
129/135
1. Las estrategias, planes y presupuestos de tecnologa de la informacin
2. La documentacin de polticas de seguridad
3. Las cuadros organizativos / funcionales (organigramas)
4. Las descripciones de los puestos de trabajo
5. Los reportes del comit de direccin
6. Los procedimientos de desarrollo de sistemas y de cambio de programas7. Los procedimientos de operaciones
8. Los manuales de recursos humanos
9. Procedimientos de aseguramiento de la calidad.
Adems, se deben estudiar los diferentes documentos revisados para determinar si:
Fueron creados como lo autoriz la gerencia y como sta quera que fueran creados.
Estn vigentes y actualizados.129
8.2 Revisin de los compromisos contractuales
-
7/23/2019 Auditoria de sistemas - MODII
130/135
Existen diferentes etapas de un contrato de hardware, software o servicio:1. Desarrollo de los requerimientos de contratacin2. Proceso de licitacin del contrato3. Proceso de seleccin del contrato4. Aceptacin del contrato5. Mantenimiento del contrato6. Cumplimiento del contrato.
Al revisar una muestra de contratos, el auditor de SI debe evaluar la adecuacinde los siguientes trminos y condiciones: Niveles de servicio Derecho a auditar o reporte de auditora de tercero Escrow de software
Penalizaciones por incumplimento Acatamiento de las polticas y procedimientos de seguridad Proteccin de informacin de cliente Proceso de cambio de contrato Terminacin de contrato y cualquier penalizacin apropiada.
130
-
7/23/2019 Auditoria de sistemas - MODII
131/135
CASO DE ESTUDIO
131
9. Caso de Estudio
-
7/23/2019 Auditoria de sistemas - MODII
132/135
A un auditor de Si se le ha pedido que revise el borrador de un contrato deoutsourcing y SLA y que recomiende cualquier cambio o seale cualquier
preocupacin antes de que stos sean presentados a la alta gerencia para suaprobacin final. El contrato incluye soporte de Windows y de la administracinde servidor UNIX y la administracin de redes a un tercero. Los servidores sernreubicados a la instalacin del outsourcer que est ubicada en otro pas, y seestablecer la conectividad usando Internet. Se aumentar la capacidad delsoftware del sistema operativo dos veces por ao, pero stos no sern entregadoen custodia. Todas las solicitudes de adicin o de eliminacin de cuentas deusuario sern procesadas dentro de 3 das hbiles. El software de deteccin deintrusos ser monitoreado continuamente por el outsourcer y el cliente notificarpor e-mail si se detectara cualquier anomala. Los nuevos empleados contratadosdentro de los ltimos tres aos estuvieron sujetos a verificaciones deantecedentes. Antes de eso, no haba polticas establecidas. Est establecida unaclusula de derecho a auditora, pero se requiere un aviso de 24 horas antes deuna visita al establecimiento. Si se encontrara que el outsourcer est en violacinde cualquiera de los trminos o condiciones del contrato, ste tendr 10 dashbiles para corregir la deficiencia. El outsourcer no tiene un auditor de SI, peroes auditado por una firma regional de contadores pblicos.
132
Pregunta
-
7/23/2019 Auditoria de sistemas - MODII
133/135
Cul de lo siguiente sera la MAYOR preocupacinpara el auditor de SI?
A. Los cambios de cuenta de usuario son procesados dentro de tres
das hbiles.
B. Se requiere un aviso con 24 horas de anticipacin para unavisita al establecimiento.
C. El outsourcer no tiene una funcin de auditora de SI.
D. El escrow (puesta en custodia) no est incluido en el contrato.
133
Pregunta
-
7/23/2019 Auditoria de sistemas - MODII
134/135
Cul de lo siguiente sera el problema MSsignificativo para resolver si los servidorescontuvieran informacin de cliente identificablepersonalmente que es accesado regularmente yactualizado por los usuarios finales?
A. El pas en el que el tercerizador o outsourcer est establecidoprohbe el uso de encripcin fuerte para los datos transmitidos.
B. El outsourcer limita su responsabilidad si toma medidasrazonables para proteger los datos de clientes.
C. El outsourcer no efectu verificaciones de antecedentes para losempleados contratados hace ms de tres aos.
D. El software de sistema slo actualiza una vez cada seis meses.
134
-
7/23/2019 Auditoria de sistemas - MODII
135/135
Universidad Don Bosco
Calle Plan del Pino ,km 1 Ciudadela Don Bosco, Soyapango
San Salvador, El Salvador, Centro Amrica(503) 2251-8200 Ext. 1722