View
33
Download
0
Embed Size (px)
Citation preview
COBITDominio: Planeación y
Organización
CRISTIAN CAMILO QUINTERO KEVIN LEONARDO BARRIONUEVO
CONCEPTOS BASICOS
¿QUÉ ES PLANEAR?
Planear es el hecho de establecer lo que voy a hacer. No sería nada más que contestarse siete preguntas:
Qué es lo que voy a
hacer?
Porqué lo voy a hacer?
Cómo lo voy a hacer?
Cuándo lo voy a hacer?
Dónde lo voy a hacer?
Quién lo va a hacer?
¿Cuánto me va a costar?
EL CUBO COBIT
• OBTENCIÓN DE UN ENTENDIMIENTO• EVALUACIÓN DE LOS CONTROLES• VALORACIÓN DEL CUMPLIMIENTO• JUSTIFICAR EL RIESGO
DIRECTRIZ DE LA AUDITORIA
• Entrevistar al personal administrativo y de staff indicado para lograr la comprensión de:
• Los requerimientos del negocio y los riesgos asociados
• La estructura organizacional• Los papeles y responsabilidades• Las medidas de control establecidas• La actividad de reporte a la administración
(estatus, desempeño, acciones)
OBTENCIÓN DE UN ENTENDIMIENTO
• Evaluar la conveniencia de las medidas de control para el proceso bajo revisión mediante la consideración de los criterios indentificados y las prácticas estándares de la industria, los Factores Críticos de Éxito (CSF) de las medidas de control y la aplicación del juicio profesional de auditor.
• Existen procesos documentados• Existen resultados apropiados• La responsabilidad y es clara y eficaz• Existen controles compensatorios, en donde es necesario• Concluir el grado en el que se cumple el objetivo de control.
EVALUACIÓN DE LOS CONTROLES
Obtener evidencia directa o indirecta de puntos/períodos seleccionados para asegurarse que se ha cumplido con los procedimientos durante el período de revisión, utilizando evidencia tanto directa como indirecta.
VALORACIÓN DEL CUMPLIMIENTO
• Documentar las debilidades del control y las amenazas y vulnerabilidades resultantes.
• Identifcar y documentar el impacto real y potencial; por ejemplo, mediante el análisis de causa-raíz.
• Brindar información comparativa
JUSTIFICAR EL RIESGO
Planeación y Organización
Se vincula con la identificación de la forma en que la tecnología de
información puede contribuir de la manera más adecuada con el logro de los
objetivos del negocio.
• ¿Están alineadas las estrategias de TI y del negocio? • ¿La empresa
está alcanzando un uso óptimo de sus recursos? • ¿Entienden todas
las personas dentro de la organización los objetivos de TI? • ¿Se
entienden y administran los riesgos de TI? • ¿Es apropiada la
calidad de los sistemas de TI para las necesidades del negocio?
DOMINIOS DE TI
PROCESOS DE TI
Planeación y Organización
Un Plan Estratégico de Tecnología de Información es un conjunto de definiciones tecnológicas e iniciativas de TI que deben soportar la visión, misión y estrategias que el negocio tiene para un horizonte de tiempo definido
PLAN ESTRATEGICO DE TI
PROCESOS DE TI
Planeación y Organización
Que satisface el requisito de negocio para
Hallar un balance óptimo de oportunidades de tecnología de la información y los requisitos de negocio así como también asegurar su realización adicional
Toma en consideración
• Definición de los objetivos de negocio y necesidades para las TI• Inventario de soluciones tecnológicas e infraestructura actual• Cambios organizativos• Estudio de viabilidad oportuno• Existencia de evaluaciones de sistemas
• 1 Tecnología de Información como parte del Plan a largo y corto plazo
• 2 Plan a largo plazo de Tecnología de Información• 3 Plan a largo plazo de Tecnología de Información -
Enfoque y Estructura• 4 Cambios al Plan a largo plazo de Tecnología de
Información• 5 Planeación a corto plazo para la Función de Servicios
de Información• 6 Evaluación de los sistemas existentes
1. Definir un plan estratégico de TI:
Objetivos de Control
LOS OBJETIVOS DE CONTROL DETALLADOS
Y DE ALTO NIVEL SE AUDITAN MEDIANTE:
Entrevistas:• Director General• Director de Operaciones• Director de Finanzas• Director de TI• Miembros del comité planeador de la función de
servicios de información.• Presidencia y personal de recursos humanos de la
función de servicios de información
LA OBTENCIÓN DE UN ENTENDIMIENTO A TRAVÉS DE :
Obteniendo:• Políticas y procedimientos inherentes al proceso de
planeación.• Tareas y responsabilidades de planeación de la
Presidencia.• Objetivos y planes a corto y largo plazo organizacionales.• Objetivos y planes a corto y largo plazo de tecnología de
información.• Reportes de estatus y minutas de las reuniones del
comité planeador.
Considerando sí:• Las políticas y procedimientos de negocios de
la función de servicios de información siguen un enfoque de planeación estructurado.
EVALUAR LOS CONTROLES
Probando que:Los elementos entregables y liberables de la metodología de planeación existen según lo indicado.• Se incluyen iniciativas de tecnología de información en los
planes a corto y largo plazos de la función de servicios de información (por ejemplo, cambios de hardware, planeación de capacidad, arquitectura de información, desarrollo u obtención de nuevos sistemas, planeación de recuperación en caso de desastre, instalación de plataformas para
• nuevos procesamientos, etc.).
EVALUAR LA SUFICIENCIA
• Llevando a cabo:• Mediciones ("Benchmarking") de planes estratégicos de tecnología de
información contra organizaciones similares o• buenas prácticas industriales reconocidas/estándares internacionales
apropiados.• Una revisión detallada de los planes de TI para asegurar que las
iniciativas de tecnología de información reflejen la• misión y las metas de la organización.• Una revisión detallada de los planes de TI para determinar si, como
parte de las soluciones de tecnología de información• contenidas en los planes, se han identificado áreas de debilidad
dentro de la organización que requieren ser• mejoradas.
EVALUAR EL RIESGO DE LOS OBJETIVOS DE CONTROL NO
CUMPLIDOS
Identificando:• Fallas en la tecnología de información para satisfacer la misión
y las metas de la organización.• Fallas en la tecnología de información para concordar los
planes a corto y largo plazo.• Fallas en la tecnología de información para satisfacer planes a
corto plazo.• Fallas en la tecnología de información para satisfacer
lineamientos de costos y tiempos.• Oportunidades de negocios no aprovechadas.• Oportunidades de tecnología de información no aprovechadas.
PROCESOS DE TI
Planeación y Organización
Que satisface el requisito de negocio para
Una mejor organización de los sistemas de información
Toma en consideración
• Documentación• Diccionario de datos• Reglas sintácticas de datos• Propiedad de datos y clasificación crítica
PROCESOS DE TI
Planeación y Organización
Que satisface el requisito de negocio para
Tomar ventaja de la tecnología disponible y emergente
Toma en consideración
• Adecuación y evolución de la capacidad de la infraestructura actual• Monitorización de los desarrollos tecnológicos• Contingencias• Planes de adquisición
PROCESOS DE TI
Planeación y Organización
Que satisface el requisito de negocio para
Entregar los servicios de las TI
Toma en consideración
• Comité de dirección• Consejo de nivel de responsabilidad• Propiedad, custodia• Supervisión• Segregación de obligaciones• Roles y responsabilidades• Descripciones del trabajo• Provisión de niveles• Clave personal
PROCESOS DE TI
Planeación y Organización
Que satisface el requisito de negocio para
Garantizar la consolidación y controlar el gasto de los recursos financieros
Toma en consideración
• Consolidación de alternativas• Control del gasto efectivo• Justificación de los costes• Justificación de los beneficios
PROCESOS DE TI
Planeación y Organización
Que satisface el requisito de negocio para
Garantizar el conocimiento del usuario y entendimiento de esos fines
Toma en consideración
• Código de conducta/ética• Directrices de tecnología• Conformidad• Comisión de calidad• Políticas de seguridad• Políticas de control interno
PROCESOS DE TI
Planeación y Organización
Que satisface el requisito de negocio para
Maximizar las contribuciones del personal a los procesos de TI
Toma en consideración
• Refuerzo y promoción• Requisitos de calidad• Entrenamiento• Construcción del conocimiento• Evaluación de la ejecución objetiva y medible
PROCESOS DE TI
Planeación y Organización
Que satisface el requisito de negocio para
La mejora continua y medible de la calidad de los servicios prestados por TI
Toma en consideración
• Plan de estructura de la calidad• Estándares y prácticas de calidad • Metodología del ciclo de vida del desarrollo del sistemas• Estándares de desarrollo y de adquisición • Medición, monitoreo y revisión de la calidad
PROCESOS DE TI
Planeación y Organización
Que satisface el requisito de negocio para
De asegurar la realización de los objetivos de TI, respondiendo a las amenazas para el suministro de los servicios de TI
Toma en consideración• Diferentes tipos de riesgos de TI (tecnología, seguridad, continuidad, etc.)• Alcance: global o sistemas específicos• Evaluación de riesgos hasta la fecha• Metodología de análisis de riesgos• Medidas de riesgo cuantitativas y/o cualitativas• Plan de acción de riesgos
P L A N E A R Y O R G A N I Z A R
PO9 Evaluar y administrar los riesgos de TI
BS 7799 Security Standard
"BS 7799-3:2005 sistemas de gestión seguridad de la información. Directrices para la gestión de riesgos de seguridad de la información "
Abarca las siguientes:# Evaluación de riesgos# Tratamiento del riesgo# Gestión de la toma de decisiones# Nueva evaluación de riesgo# La vigilancia y el examen de perfil de riesgo# Riesgo de la seguridad de la información en el contexto de la gobernanza empresarial# El cumplimiento de otras normas basadas en los riesgos y los reglamentos
PROCESOS DE TI
PROCESOS DE TI
Planeación y Organización
Que satisface el requisito de negocio para
La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados.
Toma en consideración· la propiedad de los proyectos· el involucramiento de los usuarios· la estructuración jerárquica de tareas y los puntosde revisión· asignación de responsabilidades· aprobación de fases y proyecto· presupuestos de costos y horas hombre· planes y metodología de aseguramiento de calidad