Professional Documents
Culture Documents
Introduction - page 1
2005 ISACA All Rights Reserved
Contenido
Estrategia de los Sistemas de Informacin
Planeacin Estratgica Comit de Seguimiento Polticas Procedimientos Poltica de seguridad de informacin Administracin de Personal
Contratacin Manual del Empleado / Manual de induccin Polticas de Promocin Entrenamiento Cronogramas y Reporte de Tiempo Evaluaciones del Desempeo de los Empleados Vacaciones Requeridas Polticas de Terminacin de Contrato Estrategias en Auditora de Outsourcing Capacidad y Planeacin del Crecimiento Satisfaccin del usuario Normas / Puntos de referencia de la Industria
Introduction - page 3
2005 ISACA All Rights Reserved
Contenido
Prcticas de Gerencia de Sistemas de Informacin
Gerenciamiento de Cambios de TI
Prcticas de Gerencia Financiera
Los presupuestos de SI Gerencia de la Calidad
Introduction - page 4
2005 ISACA All Rights Reserved
Contenido
Estructura Organizativa y Responsabilidades de SI continuacin
Segregacin de Funciones dentro de SI Controles de Segregacin de Funciones
Autorizacin de transacciones Custodia de activos Acceso a los datos Formularios de autorizacin Tablas de autorizacin de usuario Controles compensatorios por falta de segregacin de funciones Estructura de la gerencia de proyectos
Administracin de proyectos organigrama ejemplo
Introduction - page 5
2005 ISACA All Rights Reserved
Introduction - page 6
2005 ISACA All Rights Reserved
Planeacin Estratgica en SI
Planeacin a largo plazo (3 a 5 aos) para apalancar la mejora de los procesos de negocio, va la Tecnologa de la Informacin (TI) La alta gerencia debe identificar: Soluciones de TI eficientes en costo para resolver problemas de la organizacin Desarrollar planes de accin para identificar y adquirir los recursos necesarios Ser acorde a las metas y objetivos de la organizacin SI y Comit de Seguimiento funcin clave para su desarrollo e implementacin
8
Introduction - page 8
2005 ISACA All Rights Reserved
Comit de Seguimiento
Direccin General ... responsable de designarlo Mecanismo para asegurar que las funciones y actividades de SI, estn en armona con misin y objetivos corporativos Recomendable que el Presidente del Comit sea miembro del Consejo de Administracin, y que ste entienda los riesgos y problemas de TI Integrado por miembros de Dir. Gral., Sistemas y Usuarios Deberes y responsabilidades en documento formal Miembros deben conocer polticas, prcticas y procedimientos de SI
Introduction - page 9
2005 ISACA All Rights Reserved
Comit de Seguimiento
Miembros deben tener autoridad p/tomar decisiones p/reas respectivas Orientarse a revisar proyectos importantes No involucrarse en operaciones rutinarias Recibir informacin del Departamento SI, Usuarios y Auditora que le facilite llevar sus funciones con efectividad Mantener actas de reuniones para documentar actividades y decisiones, y para informar al Consejo de Admn.
Introduction - page 10
2005 ISACA All Rights Reserved
10
Comit de Seguimiento
Principales funciones:
Revisar planes largo y corto plazo acordes con objetivos corporativos Revisar/Aprobar adquisiciones importantes de Hw/Sw, dentro de lmites aprobados por Junta Directiva Aprobar/Monitorear proyectos de alta relevancia, establecer prioridades, aprobar normas y procedimientos Monitorear desempeo de SI y reportar sus actividades a la Junta Directiva Revisar y aprobar los planes de outsourcing (total o parcial) Servir de enlace entre rea de SI y usuarios Monitorear situacin de planes y proyectos anuales Revisar qu recursos y asignacin son adecuados en funcin de tiempo, personal y equipos Tomar decisiones sobre centralizacin vs descentralizacin y asignacin de responsabilidades Soportar el desarrollo e implementacin del programa de administracin de seguridad de la informacin
11
Introduction - page 11
2005 ISACA All Rights Reserved
Polticas y Procedimientos
Polticas
Documentos de alto nivel Filosofa corporativa y pensamiento estratgico de Propietarios del Negocio y Alta Gerencia Para ser efectivas ... Claras y concisas La Administracin ... responsable de formular, desarrollar, documentar, promulgar y controlaras Gerencia ... Responsable de asegurarse de que empleados reciban explicacin de stas y las entiendan Actualizarlas para reflejar nueva tecnologa y cambios significativos en organizacin Adems de las corporativas, los departamentos deben definir otras a un nivel ms bajo, para aplicarse a los empleados y a nivel operativo
Introduction - page 12
2005 ISACA All Rights Reserved
12
Polticas y Procedimientos
Procedimientos
Documentos detallados Derivados de la poltica correspondiente Escribirlos en forma clara y concisa ... para ser comprendidos fcil y correctamente Documentan procesos de negocio y controles integrados Ms dinmicos que las polticas ... reflejan cambios en enfoque de negocio y medio ambiente Revisarlos y actualizarlos frecuentemente Si se descuida esto, el auditor encontrar divergencia entre la prctica y el precepto
Introduction - page 13
2005 ISACA All Rights Reserved
13
Polticas y Procedimientos
Procedimientos
Los procedimientos son revisados y sus controles evaluados para: Asegurarse que los procesos de negocio son tan eficientes y prcticos como es posible y Que estos han sido comprendidos y correctamente ejecutados Los controles no se podrn identificar fcilmente o asegurar que estn en operacin, cuando hay discrepancia entre la prctica y procedimientos o cuando no estn documentados
Introduction - page 14
2005 ISACA All Rights Reserved
14
Prcticas de Gerencia de SI
Poltica de seguridad de informacin
Comunica un estndar de seguridad coherente a los usuarios, gerencia y personal tcnico Primer paso para construir una infraestructura de seguridad A menudo fijan las herramientas y procedimientos que necesita la organizacin Balancear nivel de control vs productividad La cultura organizativa jugara papel importante en su diseo e implementacin Debe ser aprobada por la alta gerencia Documentarla y comunicarla a todos los empleados y proveedores Debe ser usada por lo auditores de Ti como un marco de referencia para su trabajo, as como revisar si esta es adecuada y correcta
Introduction - page 15
2005 ISACA All Rights Reserved
15
Prcticas de Gerencia de SI
Administracin de Personal
Polticas y Procedimientos para: Contratacin Promocin Retencin Terminacin de contratos Estas impactan la calidad del personal y su desempeo
Introduction - page 16
2005 ISACA All Rights Reserved
16
Prcticas de Gerencia de SI
Administracin de Personal
Contratacin Importante para asegurar eleccin del personal ms eficiente y efectivo y para respetar requisitos legales. Incluir:
Verificacin de antecedente Acuerdos de confidencialidad Fianzas Acuerdos para conflicto de intereses Acuerdos no-competencia y exclusividad
Riesgos
Personal no adecuado para la posicin que fue reclutado No se verifican referencias Personal temporal o externo introduce riesgos difciles de controlar Falta de conciencia de requerimientos de confidencialidad comprometan ambiente de seguridad general
Introduction - page 17
2005 ISACA All Rights Reserved
17
Prcticas de Gerencia de SI
Administracin de Personal
Manual del Empleado (Induccin) Distribuirlo cuando se contrata. Incluir:
Polticas y procedimientos de seguridad Expectativas de la compaa Beneficios para empleados Polticas de vacaciones y das feriados Reglas de tiempo extra / horarios Contratacin externa Evaluaciones del desempeo Acciones disciplinarias (ausencias excesivas, violacin de confidencialidad o seguridad, incumplimiento de polticas) Cdigo de conducta (tica)
Introduction - page 18
2005 ISACA All Rights Reserved
18
Prcticas de Gerencia de SI
Administracin de Personal
De Promocin Ser justas y comprendidas por empleados Basada en criterios objetivos y considerar desempeo, entrenamiento, experiencia y nivel de responsabilidad Asegurarnos de que existan y que se ajusten a stas
Introduction - page 19
2005 ISACA All Rights Reserved
19
Prcticas de Gerencia de SI
Administracin de Personal
Entrenamiento Recibirlo sobre bases justas y regulares Para cubrir experiencia y conocimientos En SI ... Indispensable por ritmo de cambios Promueve uso ms efectivo y eficiente de recursos Fortalece moral del empleado Abarcar Alta Direccin, Administracin y Tcnicos Entrenamiento cruzado (back-up personal clave, disminuir dependencia, plan de sucesin) Evaluar riesgo de que un empleado conozca varias partes de un sistema/proceso
Introduction - page 20
2005 ISACA All Rights Reserved
20
Prcticas de Gerencia de SI
Administracin de Personal
Cronogramas Promueven mejor uso de los recursos de TI Reporte de Tiempos Permite a la Gerencia monitorear desarrollo del proceso Indicador que ayude a determinar si el personal es el adecuado
Introduction - page 21
2005 ISACA All Rights Reserved
21
Prcticas de Gerencia de SI
Administracin de Personal
Evaluacin del Desempeo de los Empleados Debe ser norma habitual para personal de SI Gerente y empleados ... fijar metas de comn acuerdo Proceso Objetivo y Neutral ... si evaluacin es vs metas acordadas Base para aumentos, bonificaciones, promociones Aprovechar p/calibrar aspiraciones, satisfaccin del empleado e identificar problemas
Introduction - page 22
2005 ISACA All Rights Reserved
22
Prcticas de Gerencia de SI
Administracin de Personal
Vacaciones Requeridas
Una vez al ao, alguien har una funcin de trabajo que normalmente no hace (visin de control) Reduce posibilidades de actos indebidos o ilegales Posibilidad de descubrir actividad irregular (si no hay colusin)
Introduction - page 23
2005 ISACA All Rights Reserved
23
Prcticas de Gerencia de SI
Administracin de Personal
Polticas de Terminacin
Pasos para la separacin de empleados y proteccin adecuada de activos, sobre todo: informacin Incluir:
Terminacin voluntaria e involuntaria (despidos inmediatos) Escoltar al empleado Devolucin de llaves/tarjetas de acceso fsico Eliminar logon IDs y contraseas Notificar al resto del personal y a Seguridad Pagos finales p/eliminarlo de plantilla vigente Entrevista de terminacin Devolucin de bienes de la empresa
Introduction - page 24
2005 ISACA All Rights Reserved
24
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Acuerdo contractual para entregar a un tercero, parte o todas las funciones Indispensable administracin efectiva de acuerdos contractuales Honorarios y nivel de servicios definidos en contrato El tercero proporciona recursos, experiencia y conocimientos p/realizar el servicio acordado Estar conscientes de los riesgos asociados Meta principal ... Mejora duradera y significativa en SI, sacando provecho de las capacidades del externo
Introduction - page 25
2005 ISACA All Rights Reserved
25
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Principales razones:
Enfocarse a las actividades centrales Mrgenes de ganancia Aumentar competencia reduciendo costos Flexibilidad respecto organizacin y estructura Captura datos Diseo y desarrollo Mantenimiento de aplicaciones Conversin de aplicaciones Help Desk Call Center Centro de proceso de datos
Introduction - page 26
2005 ISACA All Rights Reserved
26
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Ventajas:
Economas de escala va sw reutilizable Outsourcer se dedica ms tiempo y concentrarse efectiva y eficientemente en un proyecto vs personal de planta Outsourcer tienen ms experiencia con un conjunto ms amplio de problemas, aspectos y tcnicas vs personal de planta La existencia de un contrato, puede generar mejores especificaciones vs desarrollada internamente Errores sustancialmente menores porque los outsourcer son ms sensibles a los cambios/modificaciones que absorben tiempo
Introduction - page 27
2005 ISACA All Rights Reserved
27
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Desventajas:
Costos exceden expectativas del cliente Se pierde experiencia interna en el rea de SI Se pierde control sobre el rea de SI Falla del proveedor Acceso limitado al producto Dificultad para cambiar acuerdos/contratos Deficiente cumplimiento de requerimientos legales
Introduction - page 28
2005 ISACA All Rights Reserved
28
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Contratar un Outsourcing exige que la Gerencia revise el marco de control en el que puede confiar No es slo una decisin de costo, tambin estratgica Tiene muchas implicaciones de control
Calidad en el servicio Garantas de continuidad del servicio Procedimientos de control Ventaja competitiva Conocimientos tcnicos Estrategia a Largo Plazo ? Compatibilidad con cultura
Introduction - page 29
2005 ISACA All Rights Reserved
29
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Acuerdos de nivel de servicio (SLA) importante para calidad y cooperacin futura
Medios contractual para administrar recursos de informacin bajo control de un proveedor Estipulan y comprometen al proveedor Garantizar un nivel mnimo de desempeo y un nivel especfico de soporte Reglamentan penas y sanciones Instrumento de control Outsourcer de otro pas ? conciente de la legislacin transfronteriza
Introduction - page 30
2005 ISACA All Rights Reserved
30
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Riesgos de negocio asociados al Outsourcing:
Costos ocultos Incumplimiento de acuerdos Costo del servicio no competitivo a lo largo del contrato Sistemas del proveedor obsoletos
Introduction - page 31
2005 ISACA All Rights Reserved
31
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Cmo se puede reducir los riesgos de negocio asociados al Outsourcing?:
Establecer metas y retribuciones de sociedad compartida medibles Utilizar ms de un proveedor Retener una parte del negocio como un incentivo Formar un equipo de funciones cruzadas de administracin del contrato Establecer mtricas o indicadores de desempeo Revisiones peridicas Establecer tendencias de carcter competitivo Implementar contratos de corta duracin Tratar la propiedad de los datos en el contrato Clusulas de confidencialidad Exigir medidas y cumplimiento legal del nivel de seguridad
Introduction - page 32
2005 ISACA All Rights Reserved
32
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Los contratos deben incluir la descripcin de negociacin del medio, mtodos, procesos, estructura y control de calidad Algunas de las preocupaciones de Auditoria:
El contrato debe proteger a la compaa Derecho de auditar las operaciones del proveedor Ofrecer continuidad del servicio en caso de desastre Integridad, confidencialidad y disponibilidad de datos de empresa Falta de lealtad con el cliente / descontento con el arreglo Control acceso/Admn. seguridad controlado por proveedor Control de cambios y pruebas controlado por el proveedor Reportes de violacin y seguimiento controlado por proveedor Red controlada por el proveedor Administracin del desempeo controlado por proveedor
33
Introduction - page 33
2005 ISACA All Rights Reserved
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Estrategias en Auditora de Outsourcing
Solicitar peridicamente un reporte de auditora de un tercero
Garanta sobre los controles implementados Abarque problemas relacionados con confidencialidad, disponibilidad e integridad de datos
Introduction - page 34
2005 ISACA All Rights Reserved
34
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Capacidad y Planeacin del crecimiento
Dada la importancia estratgica de la TI y sus constantes cambios:
Planear la capacidad y el crecimiento en TI es esencial Refleja planes a corto y largo plazo Considerar esto al elaborar el presupuesto de SI
Introduction - page 35
2005 ISACA All Rights Reserved
35
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Satisfaccin del Usuario
Satisfacer requerimientos del usuario ... Indispensable para asegurar una operacin efectiva de procesamiento de informacin SI ... acordar un nivel de servicio con usuarios (disponibilidad o tiempo de distribucin del producto) Auditar peridicamente cumplimiento del nivel de servicio
Introduction - page 36
2005 ISACA All Rights Reserved
36
Prcticas de Gerencia de SI
Prcticas de Outsourcing
Normas / Puntos de referencia de la Industria
Referencias que ayudan a determinar el nivel de desempeo en ambientes similares de TI Pueden ser obtenidas de los proveedores, publicaciones de la industria y asociaciones profesionales
Introduction - page 37
2005 ISACA All Rights Reserved
37
Prcticas de Gerencia de SI
Gerenciamiento de cambios de TI
Administrarlos mediante un proceso definido y documentado Identificar y aplicar mejoras en infraestructura y aplicaciones Mantenerse a la vanguardia para introducir mejoras significativas en los procesos de negocio
Introduction - page 38
2005 ISACA All Rights Reserved
38
Prcticas de Gerencia de SI
Prcticas de Gerencia Financiera
Elemento crtico en todas las funciones del negocio Un esquema de pagos del usuario (Chargeback) ayuda a mejorar la aplicacin y monitoreo de recursos limitados Los costos de personal, tiempo mquina y otros se cargan a los usuarios, de acuerdo a una frmula Herramienta para medir efectividad y eficiencia del servicio brindado El presupuesto permite pronosticar, monitorear y analizar la informacin financiera, y asignar recursos adecuadamente
Introduction - page 39
2005 ISACA All Rights Reserved
39
Prcticas de Gerencia de SI
Gerenciamiento de la Calidad
Medio para controlar los procesos (conjunto de tareas que cuando son realizadas debidamente, producen resultados deseados) Areas de SI que pueden requerir administrar su calidad:
Desarrollo, mantenimiento e implementacin de SW Adquisicin de HW y SW Operacin diaria Seguridad Administracin de recursos humanos Administracin general
Introduction - page 40
2005 ISACA All Rights Reserved
40
Prcticas de Gerencia de SI
Gerenciamiento de la Calidad
Desarrollar y mantener procedimientos definidos y documentados es evidencia de un gobierno efectivo de los recursos de TI Las normas de calidad se estn usando cada vez ms para asistir a las empresas para lograr un entorno operativo predecible, mesurable, repetible y certificado La Organizacin Internacional para la Estandarizacin proporciona los estndares ms reconocidos y aceptados:
ISO 9001:2000 ISO 9126 (calidad de productos de sw)
Introduction - page 41
2005 ISACA All Rights Reserved
41
Prcticas de Gerencia de SI
Gerenciamiento de la Calidad
Las reas cuyas funciones deben ser pueden ser revisadas son:
Operaciones Software del sistema Adquisicin y mantenimiento de hw y sw Software de aplicacin Reporte de Gerencia Seguridad fsica y lgica Planeacin a corto y largo plazo Reporte de tiempos Administracin de recursos humanos
42
Introduction - page 42
2005 ISACA All Rights Reserved
Prcticas de Gerencia de SI
Gerenciamiento de la Calidad
ISO 9001:2000
Manual de Calidad: Clusula 4.2.2. Establecer y mantener un manual de calidad, con procedimientos documentados Recursos Humanos: Clusula 6.2. El personal que realiza los trabajos que afecten la calidad, deben ser competentes sobre bases de educacin, entrenamiento, habilidades y experiencia Compras: Clusula 7.4. Fuerte control sobre las compras, evaluando al proveedor, usando procesos definidos y documentados
Introduction - page 43
2005 ISACA All Rights Reserved
43
Prcticas de Gerencia de SI
Gerencia de Seguridad de Informacin
Funcin rectora para garantizar que la informacin y los recursos de procesamiento estn debidamente protegidos Implementar un programa de seguridad de TI a nivel organizacin que incluya un Plan de Continuidad del Negocio y Plan de Recuperacin de Desastres
Introduction - page 44
2005 ISACA All Rights Reserved
44
Prcticas de Gerencia de SI
Optimizacin del desempeo
Las advertencias sobre las medidas de desempeo incluyen:
Error de medicin. Las medidas convencionales no dan cuenta de los datos y resultados Retrasos. Tiempo entre la ejecucin del gasto y el reconocimiento del beneficio, no debidamente reportados en las medidas corrientes Redistribucin. La TI se utiliza para redistribuir la fuente de los costos en las empresas; no hay diferencia en el producto total, slo en el medio de obtenerlo Mala administracin. La falta de medidas explcitas del valor de la informacin, lo hacen vulnerable a una asignacin equivocada y a consumo excesivo de los gerentes
45
Seguridad y Control
Aplicaciones
Datos
Soporte Tcnico
Operaciones
Administrador de Operaciones
Introduction - page 46
2005 ISACA All Rights Reserved
Roles y Responsabilidades de SI Organigramas elementos importantes Empleados deben conocerlos Describen la jerarqua y autoridad del departamento La descripcin de puestos brindan orientacin sobre roles y responsabilidades Determinar si la descripcin de tareas y estructura son adecuadas
Introduction - page 47
2005 ISACA All Rights Reserved
47
Grupo de Control
Recolecta, convierte y controla ingreso de datos Balance y distribucin de resultados a usuarios rea restringida ya que se manejan datos sensitivos
Introduction - page 48
2005 ISACA All Rights Reserved
48
Cintotecario
Registrar, emitir, recibir y custodiar programas y datos mantenidos en dispositivos de almacenamiento (cartuchos, cintas, discos) Pueden usar sw de ayuda para inventario y manejo de dispositivos Controla versiones de programas y administra la configuracin de programas
Introduction - page 49
2005 ISACA All Rights Reserved
49
Ingreso de Datos
Esquema menos frecuente:
Recibir documentos fuente y asegurar su custodia hasta terminar el procesamiento, para devolverlos juntos con resultados Preparar lotes de documentos con cifras control Preparar cronogramas y trabajos para procesar datos Verificar, registrar y distribuir resultados, cuidando los confidenciales
Ahora los usuarios ingresan sus datos; en ambientes en lnea stos se generan desde la fuente original Gerente responsable de que los datos estn autorizados, sean correctos y estn completos
Introduction - page 50
2005 ISACA All Rights Reserved
50
Soporte Tcnico
Responsable de los programadores de sistemas que mantienen el software del sistema
Introduction - page 51
2005 ISACA All Rights Reserved
51
Administracin de Sistemas
Responsable de mantener los sistemas de cmputo de ambientes multiusuario, incluyendo LANs Sus deberes incluyen:
Agregar y configurar nuevas estaciones de trabajo Establecer cuentas de usuarios Instalar sw general del sistema Prevenir, detectar y corregir divulgacin de virus Asignar espacio de almacenamiento masivo
Introduction - page 52
2005 ISACA All Rights Reserved
52
Administracin de Seguridad
Comienza con el compromiso de la alta gerencia Esta debe entender y evaluar los riesgos y desarrollar y ejecutar una poltica escrita que establezca con claridad las normas y procedimientos Asegurar que los usuarios cumplan las polticas corporativas de seguridad y que los controles son adecuados para prevenir accesos no autorizados
Introduction - page 53
2005 ISACA All Rights Reserved
53
Administracin de Seguridad
Funciones principales:
Mantener reglas de acceso a datos y dems recursos de TI Mantener seguridad y confidencialidad sobre el otorgamiento y mantenimiento de las claves de usuario y contraseas Monitorear violaciones de seguridad y tomar acciones correctivas Revisar y evaluar peridicamente polticas y sugerir cambios Preparar y monitorear el programa de conciencia de seguridad para empleados Probar arquitectura de seguridad para evaluar fortalezas y detectar amenazas
Introduction - page 54
2005 ISACA All Rights Reserved
54
Aseguramiento de Calidad
Aseguramiento de Calidad (QA) Asegurar que personal de SI sigue procesos de calidad establecidos Programas y documentacin se adhieran a estndares y convenciones de nombres Control de Calidad (QC) Pruebas y revisiones para verificar que el sw est libre de defectos y cubre expectativas del usuario Hacerse durante las etapas del desarrollo y forzosamente antes de liberarlo a produccin Grupo independiente para cumplir con funcin efectivamente No depender del rea de desarrollo
Introduction - page 55
2005 ISACA All Rights Reserved
55
Introduction - page 56
2005 ISACA All Rights Reserved
56
Introduction - page 57
2005 ISACA All Rights Reserved
57
Introduction - page 58
2005 ISACA All Rights Reserved
58
Analista de Sistemas
Disean sistemas basados en las necesidades del usuario Participan durante la fase inicial del proceso de desarrollo Interpretan las necesidades del usuario y desarrollan los requerimientos y especificaciones funcionales y documentos de alto nivel base para los programadores
Introduction - page 59
2005 ISACA All Rights Reserved
59
Arquitectura de Seguridad
Evalan la tecnologa de seguridad Disean permetro, control de accesos, administracin de usuarios y otros sistemas Establecen polticas y requerimientos de seguridad Aunque pudiera tener el mismo rol que el analista de sistemas, las habilidades y conocimientos son totalmente diferentes
Introduction - page 60
2005 ISACA All Rights Reserved
60
Programadores de Aplicaciones
Desarrollar nuevos sistemas y mantenerlos en produccin Trabajar slo en ambientes de prueba, no pueden tener acceso al ambiente productivo Entregar su trabajo a otra rea para que los implante
Introduction - page 61
2005 ISACA All Rights Reserved
61
Programadores de Sistemas
Mantener el software del sistema, incluyendo el S.O. Tienen acceso irrestricto a todo el sistema Monitorear de cerca sus actividades Deben llevar registro de su trabajo Slo deben tener acceso a las bibliotecas del sw del sistema que mantienen
Introduction - page 62
2005 ISACA All Rights Reserved
62
Introduction - page 63
2005 ISACA All Rights Reserved
63
Introduction - page 64
2005 ISACA All Rights Reserved
64
Gpo Cnt Ana Sis Prog Apl Help Desk Usua Fin Ing Dat Oper Com Adm BD Adm Red Adm Sis Adm Seg Gpo Cnt Ana Sis Prog Apl Help Desk Usua Fin Ing Dat Oper Com Adm BD Adm Red Adm Sis Adm Seg Cint Prog Sis Cnt Cal X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X
X X X
X X X
X X X X X X X X X X
X X X X X X
X X X
X X X X
65
Custodia de Activos
Determinar y asignar debidamente Propiedad de datos asignada a un usuario El propietario asignar niveles de autorizacin
Acceso a los Datos Ambiente fsico para impedir acceso no autorizado a equipos y datos Seguridad de sistema y aplicaciones son capas adicionales para impedir acceso a datos Conexiones externas es preocupacin creciente desde Internet
Introduction - page 66
2005 ISACA All Rights Reserved
66
Introduction - page 67
2005 ISACA All Rights Reserved
67
Introduction - page 68
2005 ISACA All Rights Reserved
68
Introduction - page 69
2005 ISACA All Rights Reserved
69
Introduction - page 70
2005 ISACA All Rights Reserved
70
Comit
Gerencia del Usuario Gerente del Proyecto
Control de Calidad
Desarrollo de Sistemas
Usuarios
Infraestructura Tcnica
Oficial de Seguridad
Programadores
Usuarios Claves
Soporte de Software
Soporte de Hardware
Soporte de Red
Introduction - page 71
2005 ISACA All Rights Reserved
71
Introduction - page 72
2005 ISACA All Rights Reserved
72
Introduction - page 73
2005 ISACA All Rights Reserved
73
Introduction - page 74
2005 ISACA All Rights Reserved
74
Introduction - page 75
2005 ISACA All Rights Reserved
75
Introduction - page 76
2005 ISACA All Rights Reserved
76
Auditoria de la Administracin, Planeacin y Organizacin de SI Entrevistar y Observar al Personal en el Desempeo de sus Funciones
Hacerlo ayuda a identificar: Verdaderas Funciones La persona que en realidad hace el trabajo, es la responsable y autorizada Oportunidad de ser testigo de cmo se entienden y prcticas las polticas y procedimientos
Y en general, para saber si el personal cuenta con habilidades requeridas para su trabajo; factor importante para una operacin efectiva y eficiente.
Introduction - page 77
2005 ISACA All Rights Reserved
77
Cada etapa respaldada por documentacin legal Sujeto a autorizacin de la Gerencia, quin debe estar involucrado en el proceso Revisin oportuna de una muestra de contratos para comprobar su cumplimiento
Introduction - page 78
2005 ISACA All Rights Reserved
78
79
Introduction - page 80
2005 ISACA All Rights Reserved
80