Gobierno de TI Buenas Practicas

GOBIERNO DE TI
Buenas Practicas
Dr. Edwin Valencia Castillo
evalencia@unc.edu.pe
www.unc.edu.pe\~evalencia
© Edwin Valencia Castillo

Gobierno de Tecnologías de Información
Objetivos
En esta unidad, se aprenderá acerca de:
Gobierno corporativo y Practicas de monitoreo
y aseguramiento
Estrategia de sistemas de información
Políticas y procedimientos
Administración del riesgo
Practicas de gerencia de SI
Estructura organizacional y responsabilidad de
SI
Auditoria de la Estructura e implementación de
gobierno de TI
2 Tuesday, May 7, 2019 © Edwin Valencia Castillo

LECCION: GOBIERNO CORPORATIVO

Definición: Comportamiento corporativo ético
por parte de los directores u otros encargados
del gobierno, para la creación y entrega de los
beneficios para todas las partes interesadas.
“Distribución de derechos y responsabilidades
entre los diferentes participantes en la
corporación, tales como la junta, los gerentes,
los accionistas y otras partes interesadas, y
explica las reglas, procedimientos para tomar
decisiones sobre los asuntos corporativos”.
(Organización para la cooperación y el
desarrollo – OECD)
Elementos claves para el gobierno de

una empresa
La necesidad del aseguramiento del valor de TI
La administración de los riesgos asociados a TI
El incremento de requerimientos para controlar la información
La esencia • El valor
del gobierno • El riesgo
de TI es • El control

Rol del gobierno corporativo

Gobierno de TI (ITG)
TECNOLOGIA DE BUENAS Y
INFORMACION GOBERNADO MEJORES
PRACTICAS
ASEGURA
RECURSOS RIESGOS
USADOS DE INFORMACION
ADMINISTRADOS
MANERA YTECNOLOGIA
DE MANERA
RESPONSABLE RELACIONADA
APROPIADA
SOPORTA
OBJETIVOS
ESTRATEGICOS
DEL NEGOCIO
El gobierno de TI es responsabilidad de los
ejecutivos, del consejo de directores y consta de
liderazgo, estructuras y procesos organizacionales
que garantizan que la TI de la empresa sostiene y
extiende las estrategias y objetivos organizacionales.
El ITG es un conjunto de responsabilidades y
practicas usadas por la gerencia de una organización
para proveer dirección estratégica; de ese modo,
asegura que las metas sean alcanzadas, los riesgos
sean debidamente considerados y los recursos
organizacionales sean debidamente utilizados

Gobierno de IT tiene que ver con el uso eficaz
de IT para operar el Negocio y permitir su
evolución. IT debe tener vocación de servicio,
ser una herramienta más para el Negocio,
mantener una relación cliente-proveedor.
Es el Negocio el que determina si es eficaz o no
el uso de IT. La misión de IT debe ser responder
adecuadamente a las necesidades actuales y
futuras del Negocio, que ya no puede hacer
nada sin apoyarse en la Tecnología.
Mark Toomey


Mejores practicas para el ITG
GOBIERNO
TI
Administración
De Recursos
Ciclo del gobierno de TI

Framework para gestión corporativa

deTI


deTI
Planificación Estratégica
de IT: Establecer directrices
para el uso eficaz, eficiente
y aceptable de las IT.


deTI
Gestión de la Arquitectura
Corporativa: Planificación y
gestión del diseño y la
integración de los
componentes IT.


deTI
Gestión del Portfolio:

Selección de las
inversiones más
apropiadas.


deTI
Gestión de Programas:
Supervisión global de los
trabajos requeridos para
ejecutar las inversiones
acordadas.


deTI
Gestión de Proyectos:
Planificación e
implementación de cada
una de las iniciativas
aprobadas.


deTI
Gestión de Activos IT:

Aseguramiento de que los
sistemas de información e
infraestructuras
permanecen eficaces,
eficientes y aceptables, y
que son retirados
apropiadamente y/o
reemplazados cuando no
cumplen estos criterios.


deTI
Gestión de la entrega
del servicio
(operaciones): Provisión
sostenible de un servicio
eficaz, eficiente y
aceptable para entregar
las capacidades
operativas de IT
requeridas por la
organización.


de TI
Gestión de la Seguridad:
Comprensión y
tratamiento de los riesgos
de la información
(disponibilidad, integridad,
privacidad y autenticidad)
entendiendo por
información aquella
creada y recopilada por la
organización como
consecuencia de las
actividades propias del
negocio.


deTI
Gestión de la Calidad:
Establecimiento,
aseguramiento y mejora de
los procesos, para
garantizar la mejora
continua de productos y
servicios alineada con los
objetivos de negocio.


deTI
Gestión de Proveedores:
Mejora de la gestión global
de servicios de IT
subcontratados a terceros,
que permita cubrir
plenamente todo el ciclo de
vida de las relaciones con
los proveedores, desde el
momento de la toma de la
decisión de externalizar,
hasta la finalización de
dichas relaciones, pasando
por la administración de los
contratos y seguimiento de
los niveles de servicio.

Comité de estrategia de TI
La creación de este comité es una mejor
practica.
Su radio de acción incluye asesoramiento sobre
estrategia para el gobierno de TI, el valor de la
TI, riesgos y su desempeño.
El medio mas efectivo de apoyo al comité de
estrategia de TI y la gerencia para lograr el
alineamiento de TI al negocio es la utilización de
un cuadro de mando de TI (BALANCED
SCORECARD)

Gobierno de seguridad de la información

Actividad orientada a:
–Garantizar la integridad de la información.
–Continuidad de servicios y
–Protección de activos de información.
En el mundo actual la seguridad se ha
convertido en una parte importante e integral del
gobierno de TI.
La negligencia reducirá la capacidad de una
organización para sacar provecho de las
oportunidades de TI para el mejoramiento del
proceso del negocio.
Panorama general del Gobierno de la seguridad de la

Información
Las organización dependen de la TI y la información que procesa.
Las organizaciones trabajaran con 30 veces la información actual
(Gardner)
El crimen y el vandalismo informático a crecido
Esto ha llevado a que las tareas de protección de la información sea
encargada a niveles mas altos de las organizaciones.
Se esta tomando conciencia de que la información debe ser tratada
con cuidado, precaución y prudencia.
No es suficiente la seguridad de TI, es necesario la seguridad de la
información.
La seguridad de TI se ocupa de la seguridad de la tecnología, la
seguridad de la información se ocupa del universo de riesgos,
beneficios y procesos involucrados con la información y debe ser
impulsada por la dirección ejecutiva y soportada por la junta
25 directiva.
Tuesday, May 7, 2019 © Edwin Valencia Castillo
Como la seguridad de la información agrega valor

significativo a la organización
Suministrando mayor confianza en
las interacciones con los socios
del negocio
Mejorando la confianza en las

relaciones con los clientes
Protegiendo la reputación de la
organización
Permitiendo nuevas y mejores

formas de procesar las
transacciones electrónicas
Resultados del gobierno de seguridad
• Requerimientos de seguridad
Alineación • Soluciones de seguridad adecuadas para los
estratégica procesos del negocio
• Inversión en seguridad de información
• Comprender el perfil de amenaza,

vulnerabilidad y riesgo
Administración • Comprender la exposición al riesgo y sus
del riesgo consecuencias.
• Priorización y mitigación de riesgos para
alcanzar riesgos residuales aceptables.

Resultados del gobierno de seguridad

• Optimizar las inversiones en seguridad y en
soporte de los objetivos del negocio.
Entrega de
valor • Promover una cultura de mejoramiento
continuo basada en el entendimiento de que
la seguridad es un proceso, no un evento.
• Asegurar que los conocimientos sean

captados y estén disponibles.
Administración
de recursos • Documentar los procesos y las practicas de
seguridad
• Desarrollar arquitecturas de seguridad
• Medir, monitorear y reportar sobre los

Medición del
desempeño
procesos de seguridad de información para
asegurar que se logren los objetivos.

El marco de gobierno estará constituido

por:
1. Una estrategia comprensiva de seguridad intrínsecamente
vinculada con los objetivos del negocio
2. Políticas de seguridad vigentes que se ocupen de cada
aspecto de la estrategia, controles y regulación
3. Un conjunto completo de estándares para cada política
para asegurar que los procedimientos y lineamientos
cumplan con la política
4. Una estructura organizacional efectiva de seguridad libre de
conflictos de interés
5. Procesos institucionalizados de monitoreo para asegurar el
cumplimiento y proveer retroalimentación sobre la
efectividad.
Arquitectura Empresarial
Implica documentar los activos de TI de una
organización en una forma estructurada para facilitar la
comprensión, la administración y la planificación de las
inversiones de TI. Involucra tanto la representación del
estado actual como futuro de las TIs.
Estructura de Zachman para la Arquitectura
empresarial
Datos Funcional Red Personas Proceso Estrategia
(Aplicación) (Tecnología) (Organización) (Flujo trabajo)
Alcance
Modelo de
empresa
Modelo de
Sistemas
Modelo de
tecnología
Representación
detallada

Arquitectura Empresarial
Completar una EA, se puede hacer desde dos
perspectivas:
–La EA enfocada a la tecnología: trata de aclarar complejas
opciones de tecnología (uso de entornos técnicos
avanzados)
–La EA enfocada en el proceso de negocio: trata de
comprender la organización en términos de procesos
principales que generan valor y sus procesos de soporte.
Nota aclaratoria: en EEUU, por ley, una organización
federal esta obligada a desarrollar una EA y a establecer
una estructura de gobierno de EA que garantice que
esta referenciada y mantenida en todas las actividades
de planificación y presupuestaria de sistemas.

LECCION: ESTRATEGIA DE SI
Planeación estratégica: relacionado con la
dirección a largo plazo que una organización
quiere seguir para apalancar con TI la mejora de
sus procesos de negocio.
COMITES DE DIRECCION
A pesar de que no es una practica común, se considera
muy conveniente que un miembro de la junta directiva
que entienda de riesgos y los problemas sea el
responsable de dicho comité. El comité debe incluir
representantes de la alta gerencia, gerencia de usuarios
y del departamento de sistemas de información.

Estrategia de los SI
Las funciones primarias realizadas por este comité serian:
–Revisar los planes de largo plazo y corto plazo.
–Revisar y aprobar las adquisiciones importantes o
significativas de hardware y software dentro de los limites
aprobados por la junta directiva.
–Aprobar y monitorear los proyectos importantes o de alta
relevancia, establecer prioridades, aprobar las normas y los
procedimientos y monitorear el desempeño general de los SI.
–Revisar y aprobar los planes para outsourcing.
–Revisar si los recursos y su asignación son adecuados en
función del tiempo, personal y equipo.
–Decidir respecto a la centralización frente a la
descentralización y a la asignación de responsabilidades.
–Soportar el desarrollo e implementación de un programa de
administración de seguridad de información a nivel de la
organización.
–Reportar a la junta directiva sobre las actividades de SI.

LECCION: POLITICAS Y PROCEDIMIENTOS

Reflejan la guía y dirección de la gerencia
para desarrollar controles sobre los
sistemas de información y recursos
relacionados.
POLITICAS
–Las políticas son documentos de alto nivel.
–Representan la filosofía corporativa de una
organización y el pensamiento estratégico de la alta
gerencia y de los dueños del proceso del negocio.
–Deben ser claras y concisas para que sean efectivas.
–La gerencia debe crear un ambiente positivo de
control, asumiendo la responsabilidad de formular,
desarrollar, documentar y controlar las políticas que
abarcan las metas y directrices generales.


–La gerencia debe emprender las acciones necesarias
para asegurar que los empleados afectados por una
política especifica reciban una explicación completa de
la política y que entiendan cual es su intención y
propósito.
–Es deseable un enfoque top-down (enfoque integral de
arriba hacia abajo) para el desarrollo de las políticas de
mas bajo nivel.
–La administración debe revisar todas las políticas
periódicamente. Es necesario que las políticas sean
actualizadas para que reflejen lo nuevo de la
tecnología y los cambios significativos en los procesos
del negocio que hacen uso de tecnología de
información para obtener eficiencia en productividad o
logros competitivos.


Política de seguridad de la información
–Comunica un estándar coherente de seguridad a los
usuarios, la gerencia y el personal técnico.
–Es un primer paso para construir la infraestructura de
seguridad para las organizaciones impulsadas por
tecnología
–Fija la etapa en términos de que herramientas y
procedimientos se necesitaran para la organización
–Balancean el nivel de control con el nivel de
productividad
–Debe ser aprobada por la alta dirección
–Debe ser documentada y comunicada según sea
pertinente
–Debe ser usada por los auditores de SI como un marco
de referencia.


Que debe contener el documento Políticas
de seguridad de la información:
–Una definición de seguridad de información, objetivos generales,
alcance e importancia.
–Declaración de la intensión de la gerencia soportando metas y
principios de seguridad de información en línea con los objetivos y
estrategias del negocio
–Un marco para fijar los objetivos de control, incluyendo la
estructura de la evaluación y administración del riesgo
–Breve explicación de las políticas de seguridad, principios,
estándares y requisitos de cumplimiento, que incluya:
• Cumplimiento de requisitos legislativos, regulatorios y contractuales
• Requisitos de educación (entrenamiento / conocimiento de seguridad)
• Administración de la continuidad del negocio
• Consecuencias de las violaciones de la política de seguridad
–Una definición de las responsabilidades generales y especificas,
incluyendo el reporte de incidentes de seguridad.
–Referencias a la documentación


PROCEDIMIENTOS
–Los procedimientos son documentos detallados,
deben ser derivados de la política madre y deben
implementar el espíritu (intención) del lineamiento de
política.
–Deben ser escritos en una forma clara y concisa de
modo que sea comprendido fácil y correctamente por
todos los que se deben regir por ellos.
–Documentan procesos de negocios (administrativos y
operativos) y los controles integrados en los mismos.
–Los auditores revisan los procedimientos para
identificar, evaluar y después de ello probar los
controles sobre los procesos de negocio.

LECCION: GESTION DE RIESGOS

Proceso de identificar las debilidades y las amenazas
para los recursos de información utilizados por una
organización para lograr los objetivos del negocio y
decidir que contramedidas tomar, si la hubiera alguna,
para reducir el nivel de riesgo hasta un nivel
aceptable basado en el valor del recurso de información
para la organización.
Toda organización debe desarrollar un programa de
administración del riesgo:
–Estableciendo el propósito del programa.
–Asignando responsabilidad para el plan, una
persona o un equipo responsable de conducir el
desarrollo del plan.
Proceso de gestión de riesgos

1. Identificar y clasificar recursos de información o
activos que necesiten protección.
– Ejemplos de activos: Información y datos, HW,
SW, Servicios, documentos, personal, etc.
2. Estudiar las amenazas y vulnerabilidades asociadas
con el recurso de información y la probabilidad de
ocurrencia.
– Amenaza: cualquier circunstancia o evento con
el potencial de dañar un recurso de información,
tales como: destrucción, divulgación,
modificación de datos y/o negación del servicio.
Las clases comunes de amenazas son: Errores,
daño/ataque intencional, fraude, robo, falla del
equipamiento/software.

Las amenazas ocurren por causa de las
vulnerabilidades (factores de riesgo) asociadas al uso de
recursos de información. Las vulnerabilidades son
características de los recursos de información que
pueden ser explotadas por una amenaza para causar
daño.
–Ejemplos de vulnerabilidades:
• Falta de conocimiento del usuario
• Falta de funcionalidad de la seguridad
• Elección deficiente de contraseñas
• Tecnología no probada
• Transmisión por comunicaciones no protegidas.


El resultado de cualquiera de estas
amenazas se denomina impacto, y puede
tener como consecuencia una perdida
financiera (en el corto o largo plazo).
–Ejemplos de perdidas:
• Perdida directa de dinero (efectivo o crédito)
• Violación de la legislación
• Perdida de reputación / plusvalia
• Peligro potencial para el personal o los clientes
• Violación de la confianza.
• Perdida de oportunidades de negocio
• Reducción en la eficiencia/desempeño operativo
• Interrupción de la actividad del negocio

Establecidos los elementos del riesgo, estos se
combinan para formar una visión general del riesgo.
Identificar los riesgos, calculando la vulnerabilidad del
impacto (probabilidad) para cada amenaza.
Luego evaluar los controles existentes o diseñar nuevos
para reducir las vulnerabilidades hasta un nivel
aceptable de riesgo (contramedidas).
El nivel remanente del riesgo (riesgo residual) es el
resultado de aplicar los controles.
La administración de riesgos opera a tres niveles:
–Nivel operativo, nivel de proyecto y nivel
estratégico.

• Riesgos que comprometen la efectividad de los
sistemas e infraestructura, capacidad de evadir
Nivel
controles, perdida o no disponibilidad de
Operativo recursos clave, falta de cumplimiento de leyes y
regulaciones.
• Capacidad de entender y manejar la complejidad

Nivel de de un proyecto y el riesgo de que los objetivos
Proyecto del proyecto no sean cumplidos.
Nivel • Se enfoca en el grado en que la TI esta alineada

Estratégico con la estrategia del negocio.
Una guía practica recomendada para la gestión de

riesgos es ISO 27005, NIST SP-800, MAGERIT
LECCION: PRACTICAS DE GERENCIA

DE SI
Las practicas de gerencia de sistemas de información
reflejan la implementación de políticas y procedimientos
desarrollados para diversas actividades gerenciales
relacionadas con SI.
Los auditores de SI deben entender y apreciar el grado al
que un departamento bien administrado de SI es crucial
para lograr los objetivos de la organización.
Las actividades de la gerencia para revisar las
formulaciones de políticas y procedimientos y su efectividad
dentro del departamento de SI incluiría las siguientes
practicas:
PRACTICAS DE GERENCIA DE SI - cont

ADMINISTRACION DEL PERSONAL
Se refiere a las políticas y procedimientos de la
organización para contratación, promoción, retención y
terminación de contratos.
CONTRATACION
Practica importante que permite asegurar que se escoja
el personal mas eficiente y efectivo y que la compañía
cumpla con los requisitos legales de reclutamiento,
algunos controles comunes: verificar antecedentes,
acuerdos de confidencialidad, fianza para empleados,
acuerdos sobre conflictos de intereses, acuerdos de no-
competencia y exclusividad.
Cuales serian los riesgos asociados?????

MANUAL DEL EMPLEADO / MANUAL DE INDUCCION
En general debe existir un código de conducta publicado
donde se especifiquen las responsabilidades de todos los
empleados para con la organización.
POLITICAS DE PROMOCION
Deben estar basados en criterios objetivos y deben tomar
en consideración el desempeño, la educación, la
experiencia y el nivel de responsabilidad individual.
ENTRENAMIENTO
Los empleados deben recibir entrenamiento sobre una base
justa y regular basado en las áreas en las que les falte
experiencia y conocimiento.

CRONOGRAMAS Y REPORTE DE TIEMPO
La preparación adecuada de un cronograma permite una
operación y uso eficiente de los recursos de computación.
El reporte del tiempo permite a la administración monitorear
el desarrollo del proceso.
EVALUACIONDES DEL DESEMPEÑO DE LOS
EMPLEADOS
La evaluación debe ser una norma y una característica
habitual para todo el personal de SI. Se deben fijar
metas/resultados esperados, acordados mutuamente. La
evaluación solo puede ser aplicado a los empleados si el
proceso es objetivo y neutral.


VACACIONES REQUERIDAS
El disfrute de las vacaciones legales y días feriados
asegura que una vez en el año, como mínimo, alguien
que no sea el empleado titular realice una función de
trabajo. Esto reduce la oportunidad de cometer actos
indebidos o ilegales.
La rotación del trabajo provee un control adicional.
POLITICAS DE TERMINACION DE CONTRATO
Se deben establecer políticas escritas para la
terminación de contratos, que indiquen claramente los
pasos para el retiro de un empleado, es necesario tener
en cuenta los siguientes procedimientos de control:

–Devolución de todas las llaves de acceso, tarjetas
distintivos de identificación.
–Eliminación de la identificación para iniciar sesión (logon
ID) y las contraseñas para prohibir el acceso al sistema.
–Notificación al personal apropiado y al personal de
seguridad respecto al cambio de situación de empleado
retirado.
–Arreglo para eliminar al empleado de los archivos de
nomina vigente.
–Realización de una entrevista de terminación para recoger
una opinión sobre la percepción que tiene el empleado
sobre la administración.
–Devolución de todos los bienes de la compañía a cargo
del empleado retirado.


PRACTICAS DE OUTSOURCING
Son acuerdos contractuales por los cuales una
organización entrega el control de parte o la totalidad de las
funciones del departamento de SI a un tercero externo.
Razones para decidirse por el outsourcing
–Enfocarse en las actividades centrales
–Presión sobre los márgenes de ganancia
–Aumentar la competencia que exige ahorro en los costos
–Flexibilidad tanto en la organización como en la
estructura.


Los servicios brindados por un tercero puede
incluir:
–Captura de datos
–Diseño y desarrollo de nuevos sistemas
–Mantenimiento de aplicaciones existentes
–Conversión de aplicaciones antiguas a nuevas
plataformas
–Operar la mesa de ayuda (help desk) o el centro de
llamadas (call center)


Ventajas del outsourcing:
–Las compañías de outsourcing pueden lograr economías de
escala por medio del empleo de componentes de SW reutilizable.
–Los proveedores de outosourcing tienen la posibilidad de
dedicarse mas tiempo y concentrarse con mayor efectividad y
eficiencia en un proyecto dado, que el personal de planta.
–Los proveedores de outosourcing tienen probablemente mas
experiencia con un conjunto mas amplio de problemas, aspectos y
técnicas que el personal de planta.
–El acto de desarrollar especificaciones y acuerdos contractuales
para servicios de outsourcing probablemente tenga como
resultado una mejor especificación que si fueran desarrollados
únicamente por y para el personal de planta.
–Como los proveedores de outosourcing son altamente sensitivos
al control de tiempos, las distracciones y cambios que absorben
tiempo permiten minimizar los errores de funcionalidad.


Posibles desventajas del outsourcing
–Costos que excedan las expectativas del
cliente
–Perdida de la experiencia interna de SI
–Perdida del control sobre SI
–Falla del proveedor (e interrupción del servicio)
–Acceso limitado al producto
–Dificultad para revertir o cambiar los acuerdos
o contratos del outsourcing
–Deficiente cumplimiento de los requerimientos
legales


El auditor de SI debe estar consciente de las diversas
formas que puede tomar el outosourcing y de los riesgos
asociados, HAY QUE PREOCUPARSE DE:
–Protección del contrato
–Derechos de auditoria
–Continuidad de las operaciones
–Integridad, confidencialidad y disponibilidad de los
datos
–Personal
–Control de acceso / administración de seguridad
–Reporte de violación y seguimiento
–Control de cambios y pruebas
–Control de red
–Administración del desempeño


CAPACIDAD Y PLANEACION DEL CRECIMIENTO
Que se debe reflejar en los planes de largo y corto
plazo y debe ser considerado dentro del proceso de
evaluación del presupuesto
SATISFACCION DEL USUARIO
Una de las medidas para asegurar una operación
efectiva de procesamiento de la información es
satisfacer los requerimientos de usuario. El
cumplimiento del acuerdo sobre el nivel del servicio
debe ser auditado periódicamente. Este debe
alcanzarse por medio de entrevistas e inspecciones a
los usuarios.

NORMAS/PUNTOS DE REFERENCIA DE LA
INDUSTRIA
Proveen un medio para determinar el nivel de
desempeño dado por ambientes similares de
información-procesamiento-instalación.
Estas normas o estadísticas de referencia pueden
ser obtenidas de los grupos de usuarios de los
proveedores, de las publicaciones de la industria y
de las asociaciones profesionales.


GERENCIAMIENTO DE CAMBIOS DE TI
Consiste en administrar los cambios de TI para la
organización, mediante un proceso definido y
documentado para identificar y aplicar mejoras de
tecnología a nivel de infraestructura y aplicaciones que
son beneficiosos para la organización.
PRACTICAS DE GERENCIAMIENTO FINANCIERO
Es un elemento critico en todas las funciones del
negocio. En un ambiente de computación intensivo en
costos, es imperativo que haya practicas correctas de
gerenciamiento financiero.


LOS PRESUPUESTOS DE SI
Permiten el pronostico, monitoreo y análisis de la
información financiera, permiten una asignación adecuada
de recursos, en particular en un ambiente de sistemas de
información en que los gastos pueden ser intensivos en
costos.
GERENCIAMIENTO DE LA CALIDAD
La administración de la calidad es el medio por el cual se
controlan los procesos que se realizan en el departamento
de SI. Las áreas de control para la administración de la
calidad pueden incluir lo siguiente:


–El desarrollo, mantenimiento e implementación del SW.
–La adquisición de hardware y software.
–Operación día a día
–Seguridad
–Administración de recursos
–Administración general
Los estándares pertinentes que reciben amplio
reconocimiento y aceptación son la Organización
Internacional para la Estandarización (ISO) 9001
Sistemas de administración de calidad, específicamente
9001:2000 Sistemas de administración de calidad, que
reemplaza al ISO 9000,9001, 9002 Y 9003.


GERENCIAMIENTO DE LA SEGURIDAD DE
INFORMACION.
Provee la función rectora para garantizar que la información
y los recursos de procesamiento de la organización bajo su
control estén debidamente protegidos.
OPTIMIZACION DEL DESEMPEÑO
La medición del desempeño de TI es un proceso dinámico.
Es impulsado por indicadores de desempeño. La
optimización se refiere al proceso de mejorar la
productividad de los sistemas de información al máximo
nivel posible sin inversión adicional innecesaria en
infraestructura de tecnología de la información.

LECCION: ESTRUCTURA ORGANIZACIONAL Y

RESPONSABILIDAD DE SI
Un departamento de SI esta generalmente estructura

como se muestra a continuación:
Gerente de TI o CIO
Seguridad y Soporte Operaciones

control Aplicaciones Data Técnico
Administrador de Desarrollo / Administrador de Administrador de Administrador de

Seguridad Administrado de Datos/ Administrador Soporte Técnico Operaciones
Control de Calidad Soporte De Base de datos
Programadores Administrador de Programadores de Cintotecario

(Aplicaciones) Redes (LAN/WAN) Sistemas (Sistema Operador de
Analista de Administrador de Operativo) Computadora
Sistemas Sistemas Analista Sistemas Operador de
(Aplicaciones) (Sistema Operativo) (Sistema Operativo) Captura de Datos

ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDAD

DE SI - cont
SEGREGACION DE FUNCIONES DENTRO DE TI

Los títulos de puestos de trabajo reales y estructuras
organizacionales pueden variar mucho de una organización
a otra, dependiendo del tamaño y de la naturaleza del
negocio.
Es importante determinar la relación entre las funciones,
responsabilidad y autoridad de los puestos de trabajo, para
determinar la adecuada segregación de funciones.
La segregación de funciones es un importante medio por el
cual se pueden prevenir y disuadir actos fraudulentos o
maliciosos.
Tuesday, May 7, 2019 ©

63Edwin Valencia Castillo

DE SI - cont
• Autorización de transacción
CONTROLES • Custodia de activos
DE • Acceso a los datos
SEGREGACION • Formularios de actualización
DE FUNCIONES • Tablas de autorización de
usuario


DE SI - cont
CONTROLES COMPENSATORIOS POR FALTA DE
SEGREGACION DE FUNCIONES
En una empresa pequeña donde el departamento de TI puede estar
constituido por cuatro o cinco personas, deben existir medidas de
control compensatorio para mitigar el riesgo resultante de una falta
de segregación de funciones, estos serian:
–Pistas de auditoria
–Conciliación
–Reportes de excepción
–Registros (logs) de transacciones
–Revisiones de supervisión
–Revisiones independientes

CONTROL DE SEGREGACION DE FUNCIONES
Mesa de ayuda y gerente
Programador de sistemas
Administrador de redes
Analista de sistemas
Control de calidad
Administrador de
Administrador de
Grupo de control
Programador de
Ingreso de datos
computadores
Operador de
Usuario final
Cintotecario
aplicaciones
de soporte
seguridad
sistemas
DBA
Grupo de control X X X X X X X X X
Analista de sistemas X X X X X X
Programador de
aplicaciones X X X X X X X X X X X
Mesa de ayuda y
gerente de soporte X X X X X X X X X X
Usuario final X X X X X X X X X
Ingreso de datos X X X X X X X X X
Operador de
computadores X X X X X X X X X X
DBA X X X X X X X X X
Administrador de redes X X X X X X X X
Administrador de
sistemas X X X X X X X
Administrador de
seguridad X X X X X X
Cintotecario X X X X X X X X
Programador de
sistemas X X X X X X X X X X
Control de calidad X X
Preguntas?
© Edwin Valencia Castillo

Gobierno de TI Buenas Practicas

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Gobierno de TI Buenas Practicas

Uploaded by

Copyright:

Available Formats

GOBIERNO DE TI

© Edwin Valencia Castillo

2 Tuesday, May 7, 2019 © Edwin Valencia Castillo

LECCION: GOBIERNO CORPORATIVO

Elementos claves para el gobierno de

La necesidad del aseguramiento del valor de TI

La administración de los riesgos asociados a TI

El incremento de requerimientos para controlar la información

4 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Rol del gobierno corporativo

5 Tuesday, May 7, 2019 © Edwin Valencia Castillo

7 Tuesday, May 7, 2019 © Edwin Valencia Castillo

8 Tuesday, May 7, 2019 © Edwin Valencia Castillo

9 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Mejores practicas para el ITG

Ciclo del gobierno de TI

11 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

12 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

13 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

14 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

Gestión del Portfolio:

15 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

16 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

17 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

Gestión de Activos IT:

18 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

19 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

20 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

21 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Framework para gestión corporativa

22 Tuesday, May 7, 2019 © Edwin Valencia Castillo

23 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Gobierno de seguridad de la información

Panorama general del Gobierno de la seguridad de la

Como la seguridad de la información agrega valor

Mejorando la confianza en las

Permitiendo nuevas y mejores

Resultados del gobierno de seguridad

• Comprender el perfil de amenaza,

27 Tuesday, May 7, 2019 © Edwin Valencia Castillo

Resultados del gobierno de seguridad

• Asegurar que los conocimientos sean

• Medir, monitorear y reportar sobre los

28 Tuesday, May 7, 2019 © Edwin Valencia Castillo

El marco de gobierno estará constituido

30 Tuesday, May 7, 2019 © Edwin Valencia Castillo

31 Tuesday, May 7, 2019 © Edwin Valencia Castillo

32 Tuesday, May 7, 2019 © Edwin Valencia Castillo

33 Tuesday, May 7, 2019 © Edwin Valencia Castillo

LECCION: POLITICAS Y PROCEDIMIENTOS

34 Tuesday, May 7, 2019 © Edwin Valencia Castillo

LECCION: POLITICAS Y PROCEDIMIENTOS

35 Tuesday, May 7, 2019 © Edwin Valencia Castillo

LECCION: POLITICAS Y PROCEDIMIENTOS