Gerencia de Ti

ISACA
Reconocida mundialmente como Lder en el gobierno, control y aseguramiento de TI
Introduction - page 1
2005 ISACA All Rights Reserved
Curso CISA 2005
Captulo 2 Administracin, Planeacin y Organizacin de los Sistemas de Informacin

Lic. Rubn Quintero Ubando, CISA
Contenido
Estrategia de los Sistemas de Informacin
Planeacin Estratgica Comit de Seguimiento Polticas Procedimientos Poltica de seguridad de informacin Administracin de Personal
Contratacin Manual del Empleado / Manual de induccin Polticas de Promocin Entrenamiento Cronogramas y Reporte de Tiempo Evaluaciones del Desempeo de los Empleados Vacaciones Requeridas Polticas de Terminacin de Contrato Estrategias en Auditora de Outsourcing Capacidad y Planeacin del Crecimiento Satisfaccin del usuario Normas / Puntos de referencia de la Industria
Polticas y Procedimientos Prcticas de Gerencia de Sistemas de Informacin
Prcticas de Outsourcing (Acuerdos de Nivel de Servicio)

Contenido
Prcticas de Gerencia de Sistemas de Informacin
Gerenciamiento de Cambios de TI
Prcticas de Gerencia Financiera
Los presupuestos de SI Gerencia de la Calidad
Gerencia de Seguridad de Informacin Optimizacin del desemepeo
Estructura Organizacional y Responsabilidades de SI Roles y Responsabilidades de SI

Operaciones Cintotecario Ingreso de Datos Administracin de Sistemas Administracin de Seguridad Aseguramiento de Calidad Administracin de Bases de Datos Anlisis de Sistemas Arquitectura Seguridad Programacin de aplicaciones Programacin del Sistema Administracin de Red
Contenido
Estructura Organizativa y Responsabilidades de SI continuacin
Segregacin de Funciones dentro de SI Controles de Segregacin de Funciones
Autorizacin de transacciones Custodia de activos Acceso a los datos Formularios de autorizacin Tablas de autorizacin de usuario Controles compensatorios por falta de segregacin de funciones Estructura de la gerencia de proyectos
Administracin de proyectos organigrama ejemplo
Auditora de la Administracin, Planeacin y Organizacin de SI

Revisin de documentacin Entrevistar al personal y observar el desempeo de sus funciones Revisin de los compromisos contractuales
Objetivos del Captulo 2

Asegurar que el Auditor de SI entienda y pueda evaluar: Estrategias, Polticas, Normas, Procedimientos y Prcticas empleadas para la administracin, planeacin y organizacin de los Sistemas de Informacin (SI)
Aspectos que se cubrirn

1. Evaluar la estrategia y proceso para el desarrollo, implementacin y mantenimiento de los SI, para asegurar que apoyen los objetivos de negocio de la organizacin 2. Evaluar las polticas, normas y procedimientos de SI y los procesos para su desarrollo, empleo y mantenimiento para asegurar que los mismos den apoyo a la estrategia de SI 3. Evaluar las prcticas de administracin de SI para asegurar cumplimiento con las polticas, normas y procedimientos de SI 4. Evaluar la organizacin y estructura de SI para asegurar el debido y adecuado apoyo de los requerimientos de negocio de la organizacin en una forma controlada 5. Evaluar la seleccin y la administracin de servicios de terceros para asegurar que los mismos apoyen la estrategia de SI
Planeacin Estratgica en SI
Planeacin a largo plazo (3 a 5 aos) para apalancar la mejora de los procesos de negocio, va la Tecnologa de la Informacin (TI) La alta gerencia debe identificar: Soluciones de TI eficientes en costo para resolver problemas de la organizacin Desarrollar planes de accin para identificar y adquirir los recursos necesarios Ser acorde a las metas y objetivos de la organizacin SI y Comit de Seguimiento funcin clave para su desarrollo e implementacin
8
Comit de Seguimiento
Direccin General ... responsable de designarlo Mecanismo para asegurar que las funciones y actividades de SI, estn en armona con misin y objetivos corporativos Recomendable que el Presidente del Comit sea miembro del Consejo de Administracin, y que ste entienda los riesgos y problemas de TI Integrado por miembros de Dir. Gral., Sistemas y Usuarios Deberes y responsabilidades en documento formal Miembros deben conocer polticas, prcticas y procedimientos de SI
Miembros deben tener autoridad p/tomar decisiones p/reas respectivas Orientarse a revisar proyectos importantes No involucrarse en operaciones rutinarias Recibir informacin del Departamento SI, Usuarios y Auditora que le facilite llevar sus funciones con efectividad Mantener actas de reuniones para documentar actividades y decisiones, y para informar al Consejo de Admn.
10
Principales funciones:
Revisar planes largo y corto plazo acordes con objetivos corporativos Revisar/Aprobar adquisiciones importantes de Hw/Sw, dentro de lmites aprobados por Junta Directiva Aprobar/Monitorear proyectos de alta relevancia, establecer prioridades, aprobar normas y procedimientos Monitorear desempeo de SI y reportar sus actividades a la Junta Directiva Revisar y aprobar los planes de outsourcing (total o parcial) Servir de enlace entre rea de SI y usuarios Monitorear situacin de planes y proyectos anuales Revisar qu recursos y asignacin son adecuados en funcin de tiempo, personal y equipos Tomar decisiones sobre centralizacin vs descentralizacin y asignacin de responsabilidades Soportar el desarrollo e implementacin del programa de administracin de seguridad de la informacin
11
Polticas y Procedimientos
Polticas
Documentos de alto nivel Filosofa corporativa y pensamiento estratgico de Propietarios del Negocio y Alta Gerencia Para ser efectivas ... Claras y concisas La Administracin ... responsable de formular, desarrollar, documentar, promulgar y controlaras Gerencia ... Responsable de asegurarse de que empleados reciban explicacin de stas y las entiendan Actualizarlas para reflejar nueva tecnologa y cambios significativos en organizacin Adems de las corporativas, los departamentos deben definir otras a un nivel ms bajo, para aplicarse a los empleados y a nivel operativo
12
Procedimientos
Documentos detallados Derivados de la poltica correspondiente Escribirlos en forma clara y concisa ... para ser comprendidos fcil y correctamente Documentan procesos de negocio y controles integrados Ms dinmicos que las polticas ... reflejan cambios en enfoque de negocio y medio ambiente Revisarlos y actualizarlos frecuentemente Si se descuida esto, el auditor encontrar divergencia entre la prctica y el precepto
13
Procedimientos
Los procedimientos son revisados y sus controles evaluados para: Asegurarse que los procesos de negocio son tan eficientes y prcticos como es posible y Que estos han sido comprendidos y correctamente ejecutados Los controles no se podrn identificar fcilmente o asegurar que estn en operacin, cuando hay discrepancia entre la prctica y procedimientos o cuando no estn documentados
14
Prcticas de Gerencia de SI
Poltica de seguridad de informacin
Comunica un estndar de seguridad coherente a los usuarios, gerencia y personal tcnico Primer paso para construir una infraestructura de seguridad A menudo fijan las herramientas y procedimientos que necesita la organizacin Balancear nivel de control vs productividad La cultura organizativa jugara papel importante en su diseo e implementacin Debe ser aprobada por la alta gerencia Documentarla y comunicarla a todos los empleados y proveedores Debe ser usada por lo auditores de Ti como un marco de referencia para su trabajo, as como revisar si esta es adecuada y correcta
15
Administracin de Personal
Polticas y Procedimientos para: Contratacin Promocin Retencin Terminacin de contratos Estas impactan la calidad del personal y su desempeo
16
Contratacin Importante para asegurar eleccin del personal ms eficiente y efectivo y para respetar requisitos legales. Incluir:
Verificacin de antecedente Acuerdos de confidencialidad Fianzas Acuerdos para conflicto de intereses Acuerdos no-competencia y exclusividad
Riesgos
Personal no adecuado para la posicin que fue reclutado No se verifican referencias Personal temporal o externo introduce riesgos difciles de controlar Falta de conciencia de requerimientos de confidencialidad comprometan ambiente de seguridad general
17
Manual del Empleado (Induccin) Distribuirlo cuando se contrata. Incluir:
Polticas y procedimientos de seguridad Expectativas de la compaa Beneficios para empleados Polticas de vacaciones y das feriados Reglas de tiempo extra / horarios Contratacin externa Evaluaciones del desempeo Acciones disciplinarias (ausencias excesivas, violacin de confidencialidad o seguridad, incumplimiento de polticas) Cdigo de conducta (tica)
18
De Promocin Ser justas y comprendidas por empleados Basada en criterios objetivos y considerar desempeo, entrenamiento, experiencia y nivel de responsabilidad Asegurarnos de que existan y que se ajusten a stas
19
Entrenamiento Recibirlo sobre bases justas y regulares Para cubrir experiencia y conocimientos En SI ... Indispensable por ritmo de cambios Promueve uso ms efectivo y eficiente de recursos Fortalece moral del empleado Abarcar Alta Direccin, Administracin y Tcnicos Entrenamiento cruzado (back-up personal clave, disminuir dependencia, plan de sucesin) Evaluar riesgo de que un empleado conozca varias partes de un sistema/proceso
20
Cronogramas Promueven mejor uso de los recursos de TI Reporte de Tiempos Permite a la Gerencia monitorear desarrollo del proceso Indicador que ayude a determinar si el personal es el adecuado
21
Evaluacin del Desempeo de los Empleados Debe ser norma habitual para personal de SI Gerente y empleados ... fijar metas de comn acuerdo Proceso Objetivo y Neutral ... si evaluacin es vs metas acordadas Base para aumentos, bonificaciones, promociones Aprovechar p/calibrar aspiraciones, satisfaccin del empleado e identificar problemas
22
Vacaciones Requeridas
Una vez al ao, alguien har una funcin de trabajo que normalmente no hace (visin de control) Reduce posibilidades de actos indebidos o ilegales Posibilidad de descubrir actividad irregular (si no hay colusin)
Rotacin del Trabajo

Control para que alguien, que no realiza regularmente un trabajo, detecte irregularidades (actos indebidos, maliciosos o fraudulentos)
23
Polticas de Terminacin
Pasos para la separacin de empleados y proteccin adecuada de activos, sobre todo: informacin Incluir:
Terminacin voluntaria e involuntaria (despidos inmediatos) Escoltar al empleado Devolucin de llaves/tarjetas de acceso fsico Eliminar logon IDs y contraseas Notificar al resto del personal y a Seguridad Pagos finales p/eliminarlo de plantilla vigente Entrevista de terminacin Devolucin de bienes de la empresa
24
Prcticas de Outsourcing
Acuerdo contractual para entregar a un tercero, parte o todas las funciones Indispensable administracin efectiva de acuerdos contractuales Honorarios y nivel de servicios definidos en contrato El tercero proporciona recursos, experiencia y conocimientos p/realizar el servicio acordado Estar conscientes de los riesgos asociados Meta principal ... Mejora duradera y significativa en SI, sacando provecho de las capacidades del externo
25
Principales razones:
Enfocarse a las actividades centrales Mrgenes de ganancia Aumentar competencia reduciendo costos Flexibilidad respecto organizacin y estructura Captura datos Diseo y desarrollo Mantenimiento de aplicaciones Conversin de aplicaciones Help Desk Call Center Centro de proceso de datos
Servicios contratados pueden incluir:
26
Ventajas:
Economas de escala va sw reutilizable Outsourcer se dedica ms tiempo y concentrarse efectiva y eficientemente en un proyecto vs personal de planta Outsourcer tienen ms experiencia con un conjunto ms amplio de problemas, aspectos y tcnicas vs personal de planta La existencia de un contrato, puede generar mejores especificaciones vs desarrollada internamente Errores sustancialmente menores porque los outsourcer son ms sensibles a los cambios/modificaciones que absorben tiempo
27
Desventajas:
Costos exceden expectativas del cliente Se pierde experiencia interna en el rea de SI Se pierde control sobre el rea de SI Falla del proveedor Acceso limitado al producto Dificultad para cambiar acuerdos/contratos Deficiente cumplimiento de requerimientos legales
28
Contratar un Outsourcing exige que la Gerencia revise el marco de control en el que puede confiar No es slo una decisin de costo, tambin estratgica Tiene muchas implicaciones de control
Calidad en el servicio Garantas de continuidad del servicio Procedimientos de control Ventaja competitiva Conocimientos tcnicos Estrategia a Largo Plazo ? Compatibilidad con cultura
29
Acuerdos de nivel de servicio (SLA) importante para calidad y cooperacin futura
Medios contractual para administrar recursos de informacin bajo control de un proveedor Estipulan y comprometen al proveedor Garantizar un nivel mnimo de desempeo y un nivel especfico de soporte Reglamentan penas y sanciones Instrumento de control Outsourcer de otro pas ? conciente de la legislacin transfronteriza
30
Riesgos de negocio asociados al Outsourcing:
Costos ocultos Incumplimiento de acuerdos Costo del servicio no competitivo a lo largo del contrato Sistemas del proveedor obsoletos
Que el poder se site en el proveedor
31
Cmo se puede reducir los riesgos de negocio asociados al Outsourcing?:
Establecer metas y retribuciones de sociedad compartida medibles Utilizar ms de un proveedor Retener una parte del negocio como un incentivo Formar un equipo de funciones cruzadas de administracin del contrato Establecer mtricas o indicadores de desempeo Revisiones peridicas Establecer tendencias de carcter competitivo Implementar contratos de corta duracin Tratar la propiedad de los datos en el contrato Clusulas de confidencialidad Exigir medidas y cumplimiento legal del nivel de seguridad
32
Los contratos deben incluir la descripcin de negociacin del medio, mtodos, procesos, estructura y control de calidad Algunas de las preocupaciones de Auditoria:
El contrato debe proteger a la compaa Derecho de auditar las operaciones del proveedor Ofrecer continuidad del servicio en caso de desastre Integridad, confidencialidad y disponibilidad de datos de empresa Falta de lealtad con el cliente / descontento con el arreglo Control acceso/Admn. seguridad controlado por proveedor Control de cambios y pruebas controlado por el proveedor Reportes de violacin y seguimiento controlado por proveedor Red controlada por el proveedor Administracin del desempeo controlado por proveedor
33
Estrategias en Auditora de Outsourcing
Solicitar peridicamente un reporte de auditora de un tercero
Garanta sobre los controles implementados Abarque problemas relacionados con confidencialidad, disponibilidad e integridad de datos
Revisin peridica por un auditor interno
34
Capacidad y Planeacin del crecimiento
Dada la importancia estratgica de la TI y sus constantes cambios:
Planear la capacidad y el crecimiento en TI es esencial Refleja planes a corto y largo plazo Considerar esto al elaborar el presupuesto de SI
35
Satisfaccin del Usuario
Satisfacer requerimientos del usuario ... Indispensable para asegurar una operacin efectiva de procesamiento de informacin SI ... acordar un nivel de servicio con usuarios (disponibilidad o tiempo de distribucin del producto) Auditar peridicamente cumplimiento del nivel de servicio
36
Normas / Puntos de referencia de la Industria
Referencias que ayudan a determinar el nivel de desempeo en ambientes similares de TI Pueden ser obtenidas de los proveedores, publicaciones de la industria y asociaciones profesionales
37
Gerenciamiento de cambios de TI
Administrarlos mediante un proceso definido y documentado Identificar y aplicar mejoras en infraestructura y aplicaciones Mantenerse a la vanguardia para introducir mejoras significativas en los procesos de negocio
38
Prcticas de Gerencia Financiera
Elemento crtico en todas las funciones del negocio Un esquema de pagos del usuario (Chargeback) ayuda a mejorar la aplicacin y monitoreo de recursos limitados Los costos de personal, tiempo mquina y otros se cargan a los usuarios, de acuerdo a una frmula Herramienta para medir efectividad y eficiencia del servicio brindado El presupuesto permite pronosticar, monitorear y analizar la informacin financiera, y asignar recursos adecuadamente
39
Gerenciamiento de la Calidad
Medio para controlar los procesos (conjunto de tareas que cuando son realizadas debidamente, producen resultados deseados) Areas de SI que pueden requerir administrar su calidad:
Desarrollo, mantenimiento e implementacin de SW Adquisicin de HW y SW Operacin diaria Seguridad Administracin de recursos humanos Administracin general
40
Desarrollar y mantener procedimientos definidos y documentados es evidencia de un gobierno efectivo de los recursos de TI Las normas de calidad se estn usando cada vez ms para asistir a las empresas para lograr un entorno operativo predecible, mesurable, repetible y certificado La Organizacin Internacional para la Estandarizacin proporciona los estndares ms reconocidos y aceptados:
ISO 9001:2000 ISO 9126 (calidad de productos de sw)
41
Las reas cuyas funciones deben ser pueden ser revisadas son:
Operaciones Software del sistema Adquisicin y mantenimiento de hw y sw Software de aplicacin Reporte de Gerencia Seguridad fsica y lgica Planeacin a corto y largo plazo Reporte de tiempos Administracin de recursos humanos
42
ISO 9001:2000
Manual de Calidad: Clusula 4.2.2. Establecer y mantener un manual de calidad, con procedimientos documentados Recursos Humanos: Clusula 6.2. El personal que realiza los trabajos que afecten la calidad, deben ser competentes sobre bases de educacin, entrenamiento, habilidades y experiencia Compras: Clusula 7.4. Fuerte control sobre las compras, evaluando al proveedor, usando procesos definidos y documentados
43
Gerencia de Seguridad de Informacin
Funcin rectora para garantizar que la informacin y los recursos de procesamiento estn debidamente protegidos Implementar un programa de seguridad de TI a nivel organizacin que incluya un Plan de Continuidad del Negocio y Plan de Recuperacin de Desastres
Optimizacin del desempeo

Proceso dinmico Ambiente complejo y cambiante Los sistemas tradicionales pueden dar seales equivocadas Hay muchas variables que afectan el desempeo Fases genricas de medicin del desempeo:
1. 2. 3. 4. Establecer y actualizar las medidas Establecer responsabilidades de las medidas Recolectar y analizar los datos del desempeo Reportar y usar la informacin
44
Optimizacin del desempeo
Las advertencias sobre las medidas de desempeo incluyen:
Error de medicin. Las medidas convencionales no dan cuenta de los datos y resultados Retrasos. Tiempo entre la ejecucin del gasto y el reconocimiento del beneficio, no debidamente reportados en las medidas corrientes Redistribucin. La TI se utiliza para redistribuir la fuente de los costos en las empresas; no hay diferencia en el producto total, slo en el medio de obtenerlo Mala administracin. La falta de medidas explcitas del valor de la informacin, lo hacen vulnerable a una asignacin equivocada y a consumo excesivo de los gerentes
Hay 5 usos de las medidas de desempeo:

Medir productos y servicios Administrar productos y servicios Asegurar la responsabilidad Tomar decisiones de presupuesto Optimizar el desempeo
45
Estructura Organizacional y Responsabilidades de SI

Gerente de TI o CIO
Seguridad y Control
Aplicaciones
Datos
Soporte Tcnico
Operaciones
Administrador de Seguridad y Control de Calidad
Desarrollo / Administracin de Soporte
Administrador de Datos / Administrador De B.D.
Administrador de Soporte Tcnico
Administrador de Operaciones
Programadores y Analistas de Aplicaciones
Administrador de Redes Administrador de Sistemas
Programadores y Analistas de Sistemas
Cintotecario Operador de Computadora / Captura de datos

46
Roles y Responsabilidades de SI Organigramas elementos importantes Empleados deben conocerlos Describen la jerarqua y autoridad del departamento La descripcin de puestos brindan orientacin sobre roles y responsabilidades Determinar si la descripcin de tareas y estructura son adecuadas
47

Operaciones
Instalacin de Procesamiento de Informacin Personal para operar equipos eficiente y efectivamente C omputadora, perifricos, medios magnticos y datos almacenados Impacta en la capacidad de la empresa para funcionar eficazmente Acceso slo a personal autorizado Controles administrativos
Seguridad Fsica Seguridad de datos Controles de procesamiento
Grupo de Control
Recolecta, convierte y controla ingreso de datos Balance y distribucin de resultados a usuarios rea restringida ya que se manejan datos sensitivos
48
Cintotecario
Registrar, emitir, recibir y custodiar programas y datos mantenidos en dispositivos de almacenamiento (cartuchos, cintas, discos) Pueden usar sw de ayuda para inventario y manejo de dispositivos Controla versiones de programas y administra la configuracin de programas
49
Ingreso de Datos
Esquema menos frecuente:
Recibir documentos fuente y asegurar su custodia hasta terminar el procesamiento, para devolverlos juntos con resultados Preparar lotes de documentos con cifras control Preparar cronogramas y trabajos para procesar datos Verificar, registrar y distribuir resultados, cuidando los confidenciales
Ahora los usuarios ingresan sus datos; en ambientes en lnea stos se generan desde la fuente original Gerente responsable de que los datos estn autorizados, sean correctos y estn completos
50
Soporte Tcnico
Responsable de los programadores de sistemas que mantienen el software del sistema
51
Administracin de Sistemas
Responsable de mantener los sistemas de cmputo de ambientes multiusuario, incluyendo LANs Sus deberes incluyen:
Agregar y configurar nuevas estaciones de trabajo Establecer cuentas de usuarios Instalar sw general del sistema Prevenir, detectar y corregir divulgacin de virus Asignar espacio de almacenamiento masivo
52
Administracin de Seguridad
Comienza con el compromiso de la alta gerencia Esta debe entender y evaluar los riesgos y desarrollar y ejecutar una poltica escrita que establezca con claridad las normas y procedimientos Asegurar que los usuarios cumplan las polticas corporativas de seguridad y que los controles son adecuados para prevenir accesos no autorizados
53
Administracin de Seguridad
Funciones principales:
Mantener reglas de acceso a datos y dems recursos de TI Mantener seguridad y confidencialidad sobre el otorgamiento y mantenimiento de las claves de usuario y contraseas Monitorear violaciones de seguridad y tomar acciones correctivas Revisar y evaluar peridicamente polticas y sugerir cambios Preparar y monitorear el programa de conciencia de seguridad para empleados Probar arquitectura de seguridad para evaluar fortalezas y detectar amenazas
54
Aseguramiento de Calidad
Aseguramiento de Calidad (QA) Asegurar que personal de SI sigue procesos de calidad establecidos Programas y documentacin se adhieran a estndares y convenciones de nombres Control de Calidad (QC) Pruebas y revisiones para verificar que el sw est libre de defectos y cubre expectativas del usuario Hacerse durante las etapas del desarrollo y forzosamente antes de liberarlo a produccin Grupo independiente para cumplir con funcin efectivamente No depender del rea de desarrollo
55
Administracin de Base de Datos

Custodia informacin de la organizacin Define y mantiene la estructura de los datos en el sistema corporativo de BD Debe comprender a la empresa, datos de usuario y las relaciones de estos Responsable de la seguridad y clasificacin de la informacin de los datos compartidos, almacenados en los sistemas de BD Responsable del diseo real, definicin y mantenimiento de las BD corporativas
56

Funciones principales:
Especificar la definicin fsica de los datos y cambiarla para su mejor desempeo Seleccionar e implementar herramientas de optimizacin de la BD Probar y evaluar las herramientas de programadores Dar soporte tcnico a programadores sobre estructura de la BD Implementar controles de definicin, acceso, actualizacin y concurrencia Monitorear el uso, recopilar estadsticas de desempeo y ajustar la BD Definir e iniciar los procedimientos de respaldo y recuperacin
57

Debido a que el DBA tiene:
Herramientas para establecer controles sobre la DB Capacidad de ignorarlos Capacidad de accesar todos los datos
Se debe establecer un control estricto sobre su funcin, mediante:

Separacin de funciones Aprobacin de Gerencia de sus actividades Revisin de registros de acceso por un supervisor Controles de deteccin sobre el uso de las herramientas de la BD
No es conveniente limitarles el acceso por eso se usan controles compensatorios
58
Analista de Sistemas
Disean sistemas basados en las necesidades del usuario Participan durante la fase inicial del proceso de desarrollo Interpretan las necesidades del usuario y desarrollan los requerimientos y especificaciones funcionales y documentos de alto nivel base para los programadores
59
Arquitectura de Seguridad
Evalan la tecnologa de seguridad Disean permetro, control de accesos, administracin de usuarios y otros sistemas Establecen polticas y requerimientos de seguridad Aunque pudiera tener el mismo rol que el analista de sistemas, las habilidades y conocimientos son totalmente diferentes
60
Programadores de Aplicaciones
Desarrollar nuevos sistemas y mantenerlos en produccin Trabajar slo en ambientes de prueba, no pueden tener acceso al ambiente productivo Entregar su trabajo a otra rea para que los implante
61
Programadores de Sistemas
Mantener el software del sistema, incluyendo el S.O. Tienen acceso irrestricto a todo el sistema Monitorear de cerca sus actividades Deben llevar registro de su trabajo Slo deben tener acceso a las bibliotecas del sw del sistema que mantienen
62
Estructura Organizacional y Responsabilidades de SI Administracin de Red

Hay empresa que adems de su Instalacin de Procesamiento de Datos (IPF), hacen un uso extensivo de LANs, WANs e INALAMBRICAS Crecimiento de Internet ha intensificado esta tendencia Los IPF deben manejar ahora activos de TI adicionales (servidores, firewalls, servidores proxy, routers, switches y amplia gama de sw) Las redes dispersas geogrficamente, pueden tener administradores especficos y depender del Gerente de SI o de alguna rea usuaria (depende del esquema de control) Responsable de:
Control tcnico y administrativo Correcto funcionamiento de enlaces Copias de seguridad del sistema Compras autorizadas del Sw y Hw, as como de su correcta instalacin Y en algunos caso, tambin de la seguridad
63
Segregacin de Funciones dentro de TI

Puestos y organigrama pueden variar entre empresas El auditor deber determinar la relacin entre las funciones, responsabilidad y autoridad Evita que una sola persona pueda ser responsable de funciones diversas y crticas Evita que se cometan errores o apropiaciones indebidas difciles de detectar Prevenir y disuadir actos fraudulentos o maliciosos Se puede restringir acceso a: La computadora, Biblioteca de datos de produccin, Programas de produccin, Documentacin de programas, Sistema Operativo y utileras Reduce el dao potencial por acciones de personas En empresas pequeas, debe haber controles compensatorios, para mitigar el riesgo de no tener esta segregacin
Control Compensatorio = Controles Internos que reducen el riesgo de

una debilidad de control
64
Matriz de Control de Segregacin de Funciones
Gpo Cnt Ana Sis Prog Apl Help Desk Usua Fin Ing Dat Oper Com Adm BD Adm Red Adm Sis Adm Seg Gpo Cnt Ana Sis Prog Apl Help Desk Usua Fin Ing Dat Oper Com Adm BD Adm Red Adm Sis Adm Seg Cint Prog Sis Cnt Cal X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
Cint Prog Sis Cnt Cal X X X X X X X X X X X
X X X
X X X
X X X X X X X X X X
X X X X X X
X X X
X X X X
X = Combinacin de estas funciones puede crear una debilidad potencial de control

Esta matriz de control es slo una gua
65

Controles
Autorizacin de Transacciones
Responsabilidad del usuario Relacionada con el nivel particular de responsabilidad
Custodia de Activos
Determinar y asignar debidamente Propiedad de datos asignada a un usuario El propietario asignar niveles de autorizacin
Acceso a los Datos Ambiente fsico para impedir acceso no autorizado a equipos y datos Seguridad de sistema y aplicaciones son capas adicionales para impedir acceso a datos Conexiones externas es preocupacin creciente desde Internet
66

Controles
Formularios de Autorizacin
Formularios de autorizacin para definir derechos de acceso de los empleados Papel o Electrnicos Ser debidamente evidenciados con aprobacin de Gerencia Usar catlogo de firmas para cotejarlas Privilegios de acceso revisados periodicamente (actualizados y apropiados) Con base en los formularios de autorizacin, definir quin est autorizado para actualizar, modificar, eliminar y revisar datos A nivel sistema, transaccin o campo Protegerlas contra acceso no autorizado, va contraseas o encripcin Registrar la actividad de todos los usuarios e investigar lasa excepciones
Tablas de Autorizacin de Usuario

67

Controles compensatorios
Pistas de Auditoria Ayudan a SI y Auditoria a trazar el flujo de una transaccin, desde originen hasta actualizacin Pueden ser un control compensatorio aceptable en caso de ausencia de separacin de funciones Permitir identificar quin inici la transaccin, hora, fecha, tipo de ingreso, campos de informacin contenida y archivos que actualiz Conciliacin Tambin responsabilidad del usuario A veces, el Grupo de Control puede realizarlas de manera limitada va cifras control Aumenta nivel de confianza sobre el proceso exitoso de una aplicacin y el correcto balance de los datos
68

Controles compensatorios
Reporte de Excepcin Supervisarlo y dejar evidencia de su revisin Asegurarse de que fue tratada debidamente y corregida oportunamente Registros de transacciones (logs) Manual o automtico Revisiones de supervisin Atravs de observacin, investigacin o a distancia Revisiones independientes Para compensar errores o fallas en los procedimientos prescritos Cuando las funciones no pueden ser segregadas debidamente
69
Estructura de la Gerencia de Proyectos

Un proyecto puede ser iniciado desde cualquier parte de la organizacin Es un esfuerzo de una sola vez Con objetivo o producto y fechas especficas Clasificados segn su prioridad El gerente no necesitar ser de TI Debe tener control total y asignarle los recursos apropiados Los auditores de TI pueden ser asesores en control. Pueden hacer revisin independiente y objetiva para asegurar nivel de dedicacin de los involucrados
70
Estructura de la Gerencia de Proyectos

Gerente Patrocinador del Proyecto
Comit
Gerencia del Usuario Gerente del Proyecto
Control de Calidad
Desarrollo de Sistemas
Usuarios
Infraestructura Tcnica
Oficial de Seguridad
Aplicacin / Anlisis de Sistemas
Programadores
Usuarios Claves
Soporte de Software
Soporte de Hardware
Soporte de Red
71
Auditoria de la Administracin, Planeacin y Organizacin de SI

Algunos indicadores de problemas potenciales en la Instalacin de Procesamiento de Informacin Actitudes desfavorables del usuario final Costos excesivos Proyectos demorados Rotacin elevada Personal inexperto Errores frecuentes en Hw y Sw Lista excesiva de espera de solicitudes de usuarios Tiempo de respuesta del computador demorado
72

Problemas potenciales continuacin Numerosos proyectos de desarrollo abortados o suspendidos Compras de Hw/Sw sin soporte o no autorizadas Frecuentes ampliaciones de capacidad de Hw/Sw Reportes de excepciones extensos Reportes de excepciones a los que no se le dio seguimiento Poca motivacin Ausencia de planes de reemplazo Confianza de uno o dos miembros claves del personal Falta de entrenamiento adecuado
73

Revisin de Documentacin
Las Estratgias, Planes y Presupuestos de TI son evidencia de PLANEACION Y CONTROL sobre ambiente de SI Las Polticas de Seguridad provee la norma para cumplir Establece la posicin de la empresa respecto a los riesgos de seguridad Debe identificar quin es el responsable de la salvaguarda de todos los activos de TI Establecer medidas preventivas para protegerlos y las acciones contra los transgresores Es un documento confidencial El Organigrama (cuadros organizativos de funcionamiento) Proveen entendimiento de lneas de subordinacin Ilustran la divisin de responsabilidades y el grado de segregacin de funciones
74
Auditoria de la Administracin, Planeacin y Organizacin de SI Revisin de Documentacin

La Descripcin de Puestos Definen funciones y responsabilidades de cada cargo Proveen la capacidad de agrupar los puestos similares en categora para comprender las cargas de trabajo Indican el grado segregacin de funciones y ayudan a identificar funciones de posible conflicto Evaluar que la subordinacin est basada en conceptos correctos del negocio y no afecten la segregacin de funciones Los Reportes del Comit de Seguimiento dan informacin sobre los nuevos proyectos. Son revisados por la alta gerencia y divulgados entre las unidades de negocio
75

Revisin de Documentacin
Los Procedimientos de Desarrollo de Sistemas y De Cambio de Programas, proveen un marco de cmo se deben estar realizando Los Procedimientos de Operaciones describen sus responsabilidades Los Manuales de Recursos Humanos proveen la reglamentacin de cmo se espera que se conduzcan Procedimientos de aseguramiento de calidad, proveen marco y estndares que pueden ser seguidos por TI De los documentos revisados, determinar: Creados como lo solicit y autoriz la Gerencia? Vigentes y actualizados?
76
Auditoria de la Administracin, Planeacin y Organizacin de SI Entrevistar y Observar al Personal en el Desempeo de sus Funciones
Hacerlo ayuda a identificar: Verdaderas Funciones La persona que en realidad hace el trabajo, es la responsable y autorizada Oportunidad de ser testigo de cmo se entienden y prcticas las polticas y procedimientos
Procesos / Procedimientos reales

Permite obtener evidencia de cumplimiento y observar desviaciones Conciencia de la Seguridad Para verificar el entendimiento y la prctica de las medidas preventivas y de deteccin para salvaguardar activos y datos Relaciones de Subordinados Para asegurar que las responsabilidades y separacin de funciones son adecuadas y puestas en prctica
Y en general, para saber si el personal cuenta con habilidades requeridas para su trabajo; factor importante para una operacin efectiva y eficiente.
77
Auditoria de la Administracin, Planeacin y Organizacin de SI Revisin de los Compromisos Contractuales

Las etapas para los contratos de Hw y Sw incluyen:
Desarrollo de los requerimientos de contratacin Proceso de licitacin Proceso de seleccin Aceptacin Mantenimiento Cumplimiento
Cada etapa respaldada por documentacin legal Sujeto a autorizacin de la Gerencia, quin debe estar involucrado en el proceso Revisin oportuna de una muestra de contratos para comprobar su cumplimiento
78
Captulo 2 = 11% del Examen

15% 16% 10% 11%
13% 10% 25%
(Aproximadamente 22 preguntas - 26 minutos del examen)

79
Lic. Rubn Quintero Ubando, CISA

Subdirector en el rea de TI Bansefi PMO Proyecto Integra-T Tels. 5481-3333, 5270-5163, 04455-1952-2001 rquintero@bansefi.gob.mx
80

Gerencia de Ti

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gerencia de Ti

Uploaded by

Copyright:

Available Formats

ISACA

Reconocida mundialmente como Lder en el gobierno, control y aseguramiento de TI

Curso CISA 2005

Captulo 2 Administracin, Planeacin y Organizacin de los Sistemas de Informacin

Polticas y Procedimientos Prcticas de Gerencia de Sistemas de Informacin

Prcticas de Outsourcing (Acuerdos de Nivel de Servicio)

Gerencia de Seguridad de Informacin Optimizacin del desemepeo

Estructura Organizacional y Responsabilidades de SI Roles y Responsabilidades de SI

Auditora de la Administracin, Planeacin y Organizacin de SI

Objetivos del Captulo 2

Aspectos que se cubrirn

Rotacin del Trabajo

Servicios contratados pueden incluir:

Que el poder se site en el proveedor

Revisin peridica por un auditor interno

Optimizacin del desempeo

Hay 5 usos de las medidas de desempeo:

Estructura Organizacional y Responsabilidades de SI

Administrador de Seguridad y Control de Calidad

Desarrollo / Administracin de Soporte

Administrador de Datos / Administrador De B.D.

Administrador de Soporte Tcnico

Programadores y Analistas de Aplicaciones

Administrador de Redes Administrador de Sistemas

Programadores y Analistas de Sistemas

Cintotecario Operador de Computadora / Captura de datos

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Administracin de Base de Datos

Estructura Organizacional y Responsabilidades de SI

Administracin de Base de Datos

Estructura Organizacional y Responsabilidades de SI

Administracin de Base de Datos

Se debe establecer un control estricto sobre su funcin, mediante:

No es conveniente limitarles el acceso por eso se usan controles compensatorios

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI

Estructura Organizacional y Responsabilidades de SI Administracin de Red

Segregacin de Funciones dentro de TI

Control Compensatorio = Controles Internos que reducen el riesgo de

Matriz de Control de Segregacin de Funciones

Cint Prog Sis Cnt Cal X X X X X X X X X X X

X = Combinacin de estas funciones puede crear una debilidad potencial de control

Segregacin de Funciones dentro de TI

Segregacin de Funciones dentro de TI

Tablas de Autorizacin de Usuario

Segregacin de Funciones dentro de TI

Segregacin de Funciones dentro de TI

Estructura de la Gerencia de Proyectos

Estructura de la Gerencia de Proyectos

Aplicacin / Anlisis de Sistemas

Auditoria de la Administracin, Planeacin y Organizacin de SI

Auditoria de la Administracin, Planeacin y Organizacin de SI

Auditoria de la Administracin, Planeacin y Organizacin de SI