ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES"

Transcripción

1 PLANEAR Y ORGANIZAR ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES PROCESOS PO1 Definir un Plan Estratégico de TI P S * * * * P Facilitador primario Definir un plan estrtágico para TI S Facilitador secundario Sostener los requerimientos de la empresa, manteniendo la transparencia en cuanto a beneficios, costos y riesgos. la incorporación de TI en la traducción de los requerimientos de la empresa a ofertas de servicio y el desarrollo de estrategias para entregarlos de una forma clara y transparente. El compromiso con los responsables de la empresa para alinear la planeación estratégica de TI con las necesidades. Entendimiento de las capacidades actuales de TI Un esquema priorisando los objetivos de la empresa con los requerimientos. Porcentaje de objetivos de TI en el plan estratégico. Porcentaje de proyectos TI en el portafolio de proyectos. PO1.1 Administracion del Valor de TI PO1.2 Alineacion de TI con el Negocio PO1.3 Evaluacion del Desempeño y la Capacidad Actual PO1.4 Plan Estrategico de TI PO1.5 Planes tacticos de TI PO1.6 Administracion del Portafolio de TI Relacionar las metas del negocio con las de TI Identificar dependencias críticas y desempeño actual Construir un plan estratégico para TI Construir planes tácticos para TI Analizar portafolios de programas y administrar portafolios de servicios y proyectos Dueno del proceso de negocio, auditoría, riesgo y seguridad C I A R C C C R A C C C C C C R A C C R I C C C C I C A C I A C C C C C C I C C I I A R R C R C R I I Responsable Quien debe ser consultado PO2 Definir la Arquitectura de la S P S P * * Definir la Arquitectura de la Poder dar respuesta a los requerimientos de manera rapida, dando una informacion confiable y consitente, para poder integrar dentro de los procesos del negocio de forma transparente Establecer un modelo de datos empresarial, el mismo que debe incluir un esquema de clasificación para que la información garantice la integridad y consistencia de los datos Aseguramiento de exactitud en la arquitectura de la información y del modelo de datos Asignación de propiedad de datos Clasificación de información usando un esquema de clasificación acordado Porcentaje de elementos de datos redundantes Porcentaje de aplicaciones que no cumplen con la metodología de arquitectura de la información Frecuencia de actividades de validación de datos PO2.1 Modelo de Arquitectura de Informacion Empresarial PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos PO2.3 Esquema de Clasificacion de Datos PO2.4 Administracion de Inicial/Ad Hoc Inicial/Ad Hoc Inicial/Ad Hoc

2 Crear y mantener modelo de información empresarial Crear y mantener un diccionario de datos coorporativo Establecer y mantener un esquema de clasificación de datos Brindar procedimientos y herramientas para los sistemas de información Usar modelo de información, diccionario de datos y esquema de clasificación Dueno del proceso de negocio, auditoría, riesgo y seguridad C I A C R C C C I C A R C R I C A C C I C C R A I C A C C I C C R C C C I A C R C I I Responsable Quien debe ser consultado PO3 Determinar la Dirección Tecnológica P P * * Determinar la Dirección Tecnológica Sistemas aplicativos estándares, bien integrados, rentables y estables. Definición e implementación de una arquitectura y estándares que tomen en cuenta y aprovechen las oportunidades tecnológicas El establecimiento de un plan de infraestructura tecnológica equilibrado versus costos, riesgos y requerimientos. Definición de estándares de infraestructura tecnológica basados en requerimientos de arquitectura de información Frecuencia de las revisiones /actualizaciones del plan de infraestructura tecnológica Número de plataformas de tecnología por función a través de toda la empresa PO3.1 Planeacion de la Direccion Tecnologica PO3.2 Plan de Infraestuctura Tecnologica PO3.3 Monitoreo de Tendencias y Regulaciones Futuras PO3.4 Estandares Tecnologicos PO3.5 Consejo de Arquitectura de TI No existente Inicial/Ad Hoc Inicial/Ad Hoc Crear y mantener un plan de infraestructura tecnológica Crear y mantener estándares tecnológicos Publicar estándares tecnológicos Monitorear la evolución tecnológica Definir el uso de la nueva tecnolgía Dueno de proceso del negocio, auditoría, riesgo y seguridad I I A C R C C C A C R C I I I R I I A I R I I I I A I I A C R C C C C C C A C R C C C I Responsable Quien debe ser consultado PO4 Definir los Procesos, Organización y Relaciones de TI P P * Definir los Procesos, Organización y Relaciones de TI Agilizar la respuesta a las estrategias del negocio Establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables Definición de un marco de trabajo de procesos de TI Establecimiento de un cuerpo y una estructura organizacional apropiada Definición de roles y responsabilidades Número de unidades/procesos de negocio que no reciben soporte de TI y que deberían recibirlo Número de actividades clave de TI fuera de la organización de TI que no son aprobadas y que no están sujetas a los estándares organizacionales de TI

3 PO4.1 Marco de Trabajo de Procesos de TI PO4.2 Comité Estratégico de TI PO4.3 Comité Directivo de TI PO4.4 Ubicación Organizacional de la Función de TI PO4.5 Estructura Organizacional PO4.6 Establecimiento de Roles y Responsabilidades PO4.7 Responsabilidad de Aseguramiento de Calidad de TI PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el PO4.9 Propiedad de Datos y de Sistemas PO4.10 Supervisión PO4.11 Segregación de Funciones PO4.12 Personal de TI PO4.13 Personal Clave de TI PO4.14 Políticas y Procedimientos para Personal Contratado PO4.15 Relaciones Relacionar las metas del negocio con las de TI Identificar dependencias críticas y desempeño actual Construir un plan estratégico para TI Construir planes tácticos para TI Analizar portafolios de programas y administrar portafolios de servicios y proyectos Dueno de proceso del negocio, auditoría, riesgo y seguridad C C C A C C C R C I C C C A C C C R C C R C C A C R I I I I I A I A C C I R I I I C C I I A I C C C R C C I Responsable Quien debe ser consultado PO5 Administrar la Inversión en TI P S * * * Administrar la Inversión en TI Mejorar la rentabilidad de TI y su contribución a la rentabilidad del negocio con servicios integrados y estandarizados. Decisiones de portafolio e inversión en TI efectivas y eficientes. El pronóstico y la asignación de presupuestos La medición y evaluación del valor del negocio en comparación con el pronóstico El porcentaje de reducción en el costo unitario del servicio de TI Porcentaje del valor de la desviación respecto al presupuesto en comparación con el presupuesto total PO5.1 Marco de Trabajo para la Administracion Financiera PO5.2 Prioridades dentro del presupuesto de TI PO5.3 Proceso presupuestal PO5.4 Administracion de los Costos de TI PO5.5 Administracion de Beneficios Inicial/Ad Hoc Inicial/Ad Hoc Inicial/Ad Hoc Dar mantenimiento al protafolio de programas de inversion Dar mantenimiento al protafolio de proyectos Dar mantenimiento al protafolio de servicios Establecer y mantener proceso presupuestal de TI Identificar, comunicar y monitorear la inversion, costo y valor de TI para el negocio Dueno de proceso del negocio, auditoría, riesgo y seguridad A R R R C I I I C A A C C C C I R I C A A C C C I A I C C A C C C R C C I C C A C C C R C C I Responsable Quien debe ser consultado PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia P S * * Comunicar las Aspiraciones y la Dirección de la Gerencia Informar oportunamente sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades Proporcionar políticas y procedimientos, de forma precisa y entendible; que se encuentre dentro del marco de trabajo de control de TI La definición de un marco de trabajo de control para TI La elaboración e implantación de políticas para TI

4 Número de interrupciones en la empresa debidas a interrupciones en el servicio de TI Porcentaje de interesados que entienden el control de TI Porcentaje de interesados que no cumple las políticas PO6.1 Ambiente de Politicas y de Control PO6.2 Riesgo Corporativo y Marco de referencia de control Interno de TI PO6.3 Administracion de Politicas para TI PO6.4 Implantacion de Politicas para TI PO6.5 Comunicacion de los Objetivos y la Direccion de TI Inicial/Ad Hoc No existente Inicial/Ad Hoc Elaborar y mantener un ambiente y marco de control de TI Elaborar y mantener politicas de TI Comunicar el marco de control, objetivos y direccion de TI Dueno de proceso del negocio, auditoría, riesgo y seguridad I C I A I C C C C R I I I A C C C R C A I I I A R C C I Responsable Quien debe ser consultado PO7 Administrar Recursos Humanos de TI P P * Administrar Recursos Humanos de TI Adquirir gente competente y motivada para crear y entregar servicios de TI Contratación y entrenamiento del personal, motivación, asignación de roles segun habilidades La revisión del desempeño del personal La contratación y entrenamiento de personal de TI para apoyar los planes tácticos de TI El nivel de satisfacción de los interesados respecto a la experiencia y habilidades del personal Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio PO7.1 Reclutamiento y retención del personal PO7.2 Competencias del personal PO7.3 Asignación de roles PO7.4 Entrenamiento del personal de TI PO7.5 Dependencias sobre los individuos PO7.6 Procedimientos de investigación del personal PO7.7 Evaluación del desempeño del empleado PO7.8 Cambios y terminación del trabajo Inicial Identificar habilidades de TI, rango de salarios y desempeno del personal Ejecutar las politicas y procedimientos relevantes de RH para TI PO8 Administrar la Calidad Dueno de proceso del negocio, auditoría, riesgo y seguridad C A C C C R C R A R R R R R C A C I Responsable Quien debe ser consultado P P S S * * * * Administrar la Calidad La mejora continua y medible de la calidad de los servicios prestados por TI La definición de un sistema de administración de calidad y monitoreo del desempeño. La definición de estándares y prácticas de calidad El monitoreo y revisión interna y externa del desempeño contra los estándares y prácticas de calidad La mejorara del QMS de manera continua Porcentaje de Interesados satisfechos con la calidad Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA)

5 PO8.1 Sistema de Administración de Calidad PO8.2 Estándares y Prácticas de Calidad PO8.3 Estándares de Desarrollo y de Adquisición PO8.4 Enfoque en el Cliente de TI PO8.5 Mejora Continua PO8.6 Medición, Monitoreo y Revisión de la Calidad Repetible pero intuitivo Repetible pero intuitivo Definir un sistema de administracion de calidad Establecer y mantener un sistema de administracion de calidad Crear y comunicar estandares de calidad a toda la organizacion Crear y administrar el plan de calidad para la mejora continua Medir, monitorear y revisar el cumplimiento de las metas de calidad Dueno de proceso del negocio, auditoría, riesgo y seguridad C C A I I I I I I C R I I I A I C C C C C C A I A I C C C C C C C A I C C C C C C I A I C C C C C C Responsable Quien debe ser consultado PO9 Evaluar y Administrar los Riesgos de TI S S P P P S S * * * * Evaluar y Administrar los Riesgos de TI Analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio La elaboración de un marco de trabajo de administración de riesgos, con marcos gerenciales de riesgo operacional, evaluación de riesgos y comunicación de riesgos residuales La garantía de que la administración de riesgos está incluida completamente en los procesos administrativos. La realización de evaluaciones de riesgo La recomendación y comunicación de planes de acción para remediar riesgos Porcentaje de objetivos críticos de TI cubiertos por la evaluación de riesgos Porcentaje de riesgos críticos de TI identificados con planes de acción elaborados PO9.1 Marco de Trabajo de Administración de Riesgos PO9.2 Establecimiento del Contexto del Riesgo PO9.3 Identificación de Eventos PO9.4 Evaluación de Riesgos de TI PO9.5 Respuesta a los Riesgos PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos Inicial Repetible pero intuitivo Inicial Inicial Repetible pero intuitivo Repetible pero intuitivo Dueno de proceso del negocio Determinar la alineacion de la administracion de riesgos A A C C A I I Entender los objetivos de negocio estrategicos y relevantes Entender los objetivos de los procesos de negocios relevantes Identificar los objetivos internos de TI y establecer el contexto del riesgo Identificar eventos asociados con objetivos; algunos estan orientados a TI Asesorar el riesgo con los eventos Evaluar y seleccionar respuestas a riesgos Priorizar y planear actividades de control Aprobar y asegurar fondos para planes de accion de riesgos Mantener y monitorear un plan de accion de riesgos, auditoría, riesgo y seguridad C C A C C I R C C A I A A C C C I C I A A R R R R C I A A R R R R C I I A A A R R R R C C C A A R R C C C C A A R I I I I I A C I R R C C C C C R Responsable Quien debe ser consultado PO10 Administrar Proyectos P P * * * Administrar Proyectos La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados Un programa y un enfoque de administración de proyectos definidos, el cual se aplica a todos los proyectos de TI La definición e implantación de marcos de trabajo y enfoques de programas y de proyectos La planeación de proyectos para todos los proyectos incluidos en el portafolio de proyectos

6 Porcentaje de proyectos que satisfacen las expectativas de los interesados Porcentaje de proyectos con revisión post-implantación Porcentaje de proyectos que siguen estándares y prácticas de administración de proyectos PO10.1 Marco de Trabajo para la Administración de Programas PO10.2 Marco de Trabajo para la Administración de Proyectos PO10.3 Enfoque de Administración de Proyectos PO10.4 Compromiso de los Interesados PO10.5 Declaración de Alcance del Proyecto PO10.6 Inicio de las Fases del Proyecto PO10.7 Plan Integrado del Proyecto PO10.8 Recursos del Proyecto PO10.9 Administración de Riesgos del Proyecto PO10.10 Plan de Calidad del Proyecto PO10.11 Control de Cambios del Proyecto No existe Repetible pero intuitivo Inicial Repetible pero intuitivo Repetible pero intuitivo No existe Inicial Repetible pero intuitivo Repetible pero intuitivo Inicial Dueno de proceso del negocio Definir un marco de administracion de programas para inversiones en TI C C A R C C Establecer y mantener un marco de trabajo para la administracion de proyectos de TI Establecer y mantener un sistema de monitoreo, medicion y administracion Elaborar planees de calidad, presupuestos y administracion de riesgos Asegurar la participacion y compromiso de los interesados del proyecto, auditoría, riesgo y seguridad I I I A I C C C C R C R I I I R C C C C A C A C C C C C C C A C C I A R C C I Asegurar el control efectivo de los proyectos y de los cambios a proyectos C C C C C A C Definir e implementar metodos de aseguramiento y revision de proyectos I C I A C Responsable Quien debe ser consultado PROCESOS AI1 Identificar soluciones automatizadas ADQUIRIR E IMPLEMENTAR P S Facilitador primario Facilitador secundario P S * * Identificar soluciones automatizadas Traducir los requerimientos funcionales y de control a un diseño efectivo y eficiente de soluciones automatizadas La identificación de soluciones técnicamente factibles y rentables La definición de los requerimientos técnicos y de negocio Realizar estudios de factibilidad como se define en los estándares de desarrollo Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad Número de proyectos donde los beneficios establecidos no se lograron debido a suposiciones de factibilidad incorrectas Porcentaje de estudios de factibilidad autorizados por el dueño del proceso Porcentaje de usuarios satisfechos con la funcionalidad entregada AI1.1 Definición y Mantenimiento de los Req Técnicos y Funcionales del Negocio AI1.2 Reporte de Análisis de Riesgos AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación Definir los requerimientos funcionales y tecnicos del negocio Establecer procesos para la integridad / validez de los requerimientos Identificar, documentar y analizar el riesgo del proceso del negocio Conducir un estudio de factibilidad / evaluacion de impacto con respecto a la implantacion Evaluar los beneficios operativos de TI para las soluciones propuestas Evaluar los beneficios de negocio de las soluciones propuestas Elaborar un proceso de aprobacion de requerimientos Aprobar y autorizar soluciones propuestas Dueño de proceso del negocio, auditoría, riesgo y seguridad C C C R C R R A/R I C C I A/R C R Responsable A/R R R R C R I A A R R I C C R C C Quien debe ser consultado R R I I I R I A/R R C C C I R C A C C C R C C A/R R R C C C R C AI2 Adquirir y mantener software aplicativo P P S S *

7 Adquirir y dar mantenimiento a software aplicativo Construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a tiempo y a un costo razonable Garantizar que exista un proceso de desarrollo oportuno y confiable La traducción de requerimientos de negocio a especificaciones de diseño La adhesión a los estándares de desarrollo para todas las modificaciones La separación de las actividades de desarrollo, de pruebas y operativas Número de problemas en producción por aplicación, que causan tiempo perdido significativo Porcentaje de usuarios satisfechos con la funcionalidad entregada AI2.1 Diseño de Alto Nivel AI2.2 Diseño Detallado AI2.3 Control y Posibilidad de Auditar las AI2.4 Seguridad y de las AI2.5 Configuración e Implantación de Software Aplicativo Adquirido AI2.6 Actualizaciones Importantes en Sistemas Existentes AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidad del Software AI2.9 Administración de los Requerimientos de AI2.10 Mantenimiento de Software Aplicativo Inicial Inicial / Ad Hoc Dueño de proceso del negocio Traducir los requerimientos del negocio en especificaciones de diseño de alto nivel C C R A/R C Preparar diseño detallado y los requerimientos tecnicos del software aplicativo Especificar los controles de aplicación dentro del diseño Personalizar e implementar la funcionalidad automatizada adquirida Desarrollar las metodologias y procesos formales para administrar el proceso de desarrollo Crear un plan de aseguramiento de la calidad del software para el proyecto I A/R C Dar seguimineto y administrar los requerimientos de la aplicación A/R Desarrollar un plan para el mantenimento de aplicaciones de software C C A/R C, auditoría, riesgo y seguridad I C C C A/R R C R R C A/R R R A C C A/R R C C C C C A C R C I Responsable Quien debe ser consultado AI3 Adquirir y mantener infraestructura tecnológica S P S S * Adquirir y dar mantenimiento a la infraestructura tecnológica Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y los estándares de tecnología El establecimiento de un plan de adquisición de tecnología que se alinea con el plan de infraestructura tecnológica La planeación de mantenimiento de la infraestructura La implantación de medidas de control interno, seguridad y auditabilidad El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los estándares de tecnología El número de procesos de negocio críticos soportados por infraestructura obsoleta (o que pronto lo será) El número de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrán en el futuro cercano) AI3.1 Plan de Adquisición de Tecnológica AI3.2 Protección y del Recurso de AI3.3 Mantenimiento de la AI3.4 Ambiente de Prueba de Factibilidad Definir el procedimiento / proceso de adquisicion Negociar la compra y adquirir la infraestructura requerida con proveedores (aprobados) Definir estrategia y Planear el mantenimiento de infraestructura Configurar componentes de la infraestructura Dueño de proceso del negocio, auditoría, riesgo y seguridad C A C C C R I R C/I A I R C C R I A A R R R C I C A R C I Responsable Quien debe ser consultado

8 AI4 Facilitar la operación y el uso P P S S S S * * * Facilitar la operación y el uso Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio Proporcionar manuales efectivos de usuario y de operación y materiales de entrenamiento para transferir el conocimiento necesario para la operación y el uso exitosos del sistema. El desarrollo y la disponibilidad de documentación para transferir el conocimiento Comunicación y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al personal de operación La generación de materiales de entrenamiento El número de aplicaciones en que los procedimientos de TI se integran en forma transparente dentro de los procesos de negocio El porcentaje de dueños de negocios satisfechos con el entrenamiento De aplicación y los materiales de apoyo. El número de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operación AI4.1 Plan para Soluciones de Operación AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio AI4.3 Transferencia de Conocimiento a Usuarios Finales AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte Inicial / Ad Hoc Inicial / Ad Hoc Dueño de proceso del negocio Desarrollar estrategia para que la solucion sea operativa C C C A/R C Desarrollar metodologia de transferencia de conocimiento Desarrollar manuales de procedimineto del usuario final Desarrollar documentaion de soporte tecnico para operaciones y personal de soporte Desarrollar y dar entrenamiento Evaluar los resultados del entrenamiento y ampliar la documentacion como se requiera I A/R R R R AI5 Adquirir recursos de TI, auditoría, riesgo y seguridad I I C R C R I C/I R A/R I A I C R A/R C I R R I Responsable Quien debe ser consultado S P S * * * * Adquirir recursos de TI Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio Adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI integrada y estandarizada, y reducir el riesgo de adquisición de TI La obtención de asesoría profesional legal y contractual La definición de procedimientos y estándares de adquisición La adquisición de hardware, software y servicios requeridos de acuerdo con los procedimientos definidos El número de controversias en relación con los contratos de adquisición La reducción del costo de compra El porcentaje de interesados clave satisfechos con los proveedores AI5.1 Control de Adquisición AI5.2 Administración de Contratos con Proveedores AI5.3 Selección de Proveedores AI5.4 Adquisición de Recursos de TI No Existente Inicial / Ad Hoc Dueño de proceso del negocio Desarrollar politicas y procedimientos de adquisicion de TI de acuerdo con las politicas de C C C C A/R R Establecer / mantener una lista de proveedores acreditados Evaluar y seleccionar proveedores a traves de un proceso de solicitud de propuesta (RFP) Desarrollar contactos que protejan los intereses de la organizacion Realizar adquisiciones de conformidad con los procedimentos establecidos, auditoría, riesgo y seguridad C C R R C C R I I C A R R R I I I C I C R I I I Responsable Quien debe ser consultado

9 AI6 Administrar cambios P P P P S * * * * Administrar cambios Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y en la solución. Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantación de cambios no autorizados La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia La evaluación, la asignación de prioridad y autorización de cambios Seguimiento del estatus y reporte de los cambios El número de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluación de impacto incompleta La repetición de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas El porcentaje de cambios que siguen procesos de control de cambio formales AI6.1 Estándares y Procedimientos para Cambios AI6.2 Evaluación de Impacto, Priorización y Autorización AI6.3 Cambios de Emergencia AI6.4 Seguimiento y Reporte del Estatus de Cambio AI6.5 Cierre y Documentación del Cambio Repetible pero intuitivo Inicial / Ad Hoc Inicial / Ad Hoc Repetible pero intuitivo Dueño de proceso del negocio Desarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma C R C A/R C Evaluar impacto y dar prioridad a cambios en base a las necesidades del negocio Garantizar que cualquier cambio critico y de emergencia sigue el proceso aprobado Autorizar cambios Administrar y diseminar la informacion relevante referente a cambios AI7 Instalar y acreditar soluciones y cambios, auditoría, riesgo y seguridad I I I A/R I R I R I A/R A C R R C C I I A/R I Responsable Quien debe ser consultado P S S S * * * * Instalar y acreditar soluciones y cambios Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación Probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propósito deseado y estén libres de errores, y planear las liberaciones a producción El establecimiento de una metodología de prueba Realizar la planeación de la liberación (release) Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio Ejecutar revisiones posteriores a la implantación Tiempo perdido de la aplicación o problemas de datos provocados por pruebas inadecuadas Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso posterior a la implantación Porcentaje de proyectos con plan de prueba documentado y aprobado AI7.1 Entrenamiento AI7.2 Plan de Prueba AI7.3 Plan de Implantación AI7.4 Ambiente de Prueba AI7.5 Conversión de Sistemas y Datos AI7.6 Pruebas de Cambios AI7.7 Prueba de Aceptación Final. AI7.8 Promoción a Producción AI7.9 Revisión Posterior a la Implantación Optimizado

10 Dueño de proceso del negocio, auditoría, riesgo y seguridad Construir y revisar planes de investigacion C A R C C Definir y revisar una estratefia de prueba (criterio de entrada y salida) y una metodologia de C A R Construir y mantener un repositorio de requermimientos de negocio tecnicos y casos de R C R Ejecutar la conversion del sistema y las pruebas de integracion en ambiente de prueba I A/R A Establecer ambiente de prueba y conducir pruebas de aceptacion finales I A/R C C Recomendar la liberacion a produccion con base en los criterios de acreditacion convenidos R R I Responsable Quien debe ser consultado PROCESOS DS1 Definir y administrar los niveles de servicio ENTREGAR Y DAR SOPORTE P S Facilitador primario Facilitador secundario P P S S S S S * * * * Definir y manejar niveles de servicio Garantizar la alineación de los servicios de TI con la estrategia del negocio Identificación de requerimientos de servicio y el monitoreo del cumplimiento de los niveles de servicio Preacuerdos internos para captura de requerimientos y las capacidades de entrega Reuniones y reportes para verificar el cumplimiento de los niveles de servicio La identificación y comunicación de requerimientos de servicios actualizados y nuevos para la planeacion estratégia. EL procentaje de Interesados satisfechos de que los servicios cumplen con los niveles previamente acordados EL número de reuniones formales de revisión del Acuerdo de Niveles de Servicio DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio DS1.2 Definición de Servicios DS1.3 Acuerdos de Niveles de Servicio DS1.4 Acuerdos de Niveles de Operación DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos Inicial Repetible Administrado Dueño de proceso de negocio Crear un marco de trabajo para los servicios de TI C A C C I C C I C R Construir un catálogo de servicios de TI Definir los convenios de niveles de servicio SLAS para los servicios críticos de TI Definir los convenios de niveles de Operación OLAs para soportar los SLAs Monitorear y reportar el desempeño del servicio de punta a punta Revisar los SLAs y los contratos de apoyo Revisar y actualizar el catálogo de servicios de TI Crear un plan de mejoras de servicios, auditoría, riesgo y seguridad Administrador de servicio I A C C I C C I I R R Responsable I I C C R I R R C C A/R A I C R I R R C C A/R C Quien debe ser consultado I I R I I I A/R I I I C R R R C A/R I A C C I C C I I R I A I R I R C C I R DS2 Administrar los servicios de terceros P P S S S S S * * * * Administrar servicios del personal Brindar servicios satisfactorios con transparencia acerca de los beneficios, riesgos y costos El establecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios tercerizados y el monitoreo de la prestación del servicio para verificar y asegurar la adherencia a los convenios La identificación y categorización de los servicios del proveedor La identificación y mitigación de riesgos del proveedor El monitoreo y la medición del desempeño del proveedor

11 El número de quejas de los usuarios debidas a los servicios contratados El porcentaje de los principales proveedores sujetos a monitoreo DS2.1 Identificación de Todas las Relaciones con Proveedores DS2.2 Gestión de Relaciones con Proveedores DS2.3 Administración de Riesgos del Proveedor DS2.4 Monitoreo del Desempeño del Proveedor Repetible e intuitivo Repetible e intuitivo Dueño de proceso de negocio Identificar y categorizar las relaciones de los servicios de terceros I C R C R A/R C C Definir y documentar los procesos de administración del proveedor Establecer políticas y procedimientos de evaluación y suspensión de proveedores Identificar, valorar y mitigar los riesgos del proveedor Monitorear la prestación del servicio del proveedor Evaluar las metas de largo plazo de la relación del servicio para todos los interesados, auditoría, riesgo y seguridad C A I R I R R C C R Responsable C A C C C R C C A I A R R R C C C Quien debe ser consultado R A R R R C C I C C C A/R C C C C R C C DS3 Administrar el desempeño y la capacidad de los recursos de TI P P S * * Administrar el desempeño y la capacidad de los recursos de TI Optimiza el desempeño de la infraestructura, los recursos y las capacidades de TI Cumplir con los requerimientos de los niveles de servicio a travéz del monitoreo y la medición La planeación y la entrega del sistema Monitoreando y reportando el desempeño del sistema Modelando y pronosticando el desempeño del sistema Horas perdidas por los usuarios por mes por falta de palneación Porcentaje de picos donde se excede la meta de utilización Porcentaje de el timpo de respueste que no se satisface DS3.1 Planeación del Desempeño y la Capacidad de TI DS3.2 Capacidad y Desempeño Actual de TI DS3.3 Capacidad y Desempeño Futuros de TI DS3.4 de Recursos de TI DS3.5 Monitoreo y Reporte Inicial/Ad Hoc Repetitivo No Existente Inicial/Ad Hoc Establecer un proceso de Planeación para la revision del desempeño de recursos de TI Revisar el desempeño y la capacidad actual de los recursos de TI Realizar pronósticos de desempeño y capacida de los recursos de TI Realizar un plan de contingencia respecto a una falta de potencia de los recursos de TI Monitoriar continuamente la disponibilidad, desempeño y capacidad de recursos de TI Dueño de Proceso de Negocio, auditoría, riesgo y seguridad A R C C C C C I A/R C C C R Responsable C C A/R C C C C A C I A/R C C C C C Quien debe ser consultado I I A/R I I I I I DS4 Garantizar la continuidad del servicio P S P * * * * Garantizar la continuidad del servicio Asegurar un minimo impacto al negocio en caso de una interrupción de servicio de TI' Desarrollar resistencias enlas soluciones automatizadas y desarrollando, manteniendo y probando los planes de continuidad de TI Desarrollando y manteniendo los planes de contingencia de TI Con entrenamiento y pruebas de los planes de contingencia de TI Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones Número de horas perdidas por usuarios por mes, debidas a interrupciones no pleneadas Número de procesos críticos de negocio que dependen de TI, que no están cubiertos por un plan de continuidad

12 DS4.1 Marco de Trabajo de Continuidad de TI DS4.2 Planes de Continuidad de TI DS4.3 Recursos Críticos de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.5 Pruebas del Plan de Continuidad de TI DS4.6 Entrenamiento del Plan de Continuidad de TI DS4.7 Distribución del Plan de Continuidad de TI DS4.8 Recuperación y Reanudación de los Servicios de TI DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 Revisión Post Reanudación Inicial / Ad Hoc No Existente No Existente No Existente No Existente No Existente Repetible Intuitivo Dueño de Proceso de Negocio, auditoría, riesgo y seguridad Desarrollar un marco de trabajo de continuidad de TI C C A C R R R C C R Responsable Realizar un análisis del impacto al negocio y valoración de riesgo C C C C A/R C C C C A Desarrollar y mantener planes de continuidad de TI I C C C C A/R C C C C Quien debe ser consultado Identificar y categorizar los recursos de TI C I A/R C I C I Definir y ejecutar procedimientos de control de cambios I I A/R R R R Simular una falla en el sistema para probar el plan de contingencia C I A/R C C C I Generar un plan de acción a seguir en base a los resultados de la simulación I R A/R R R R Planear y llevar a cabo una capacitación sobre los planes de continuidad de TI I I C C A/R C C R I Planear e implementar el alamcenamiento y la protección de respaldos I A/R R R R Realizar un procedimiento para llevar a cabo un revisión post reanudación C I A/R C C I DS5 Garantizar la seguridad de los sistemas P P S S S * * * * Garantizar la seguridad de los sistemas Mantener la integridad de la información y la infraestructura para minimizar vulnerabilidades e incidentes de seguridad Definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo, detección y reporte de vulnerabilidades del sistema Entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. La administración de identidades y autorizaciones de los usuarios de forma estandarizada. Porbar y evaluar la seguridad de forma regular Incidentes que dañan la reputación con el público Numero de sistemas que no cumplen los requerimientos de seguridad Violaciones en la segregacion de tareas DS5.1 Administración de la Seguridad de TI DS5.2 Plan de Seguridad de TI DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 Definición de Incidente de Seguridad DS5.7 Protección de la Tecnología de Seguridad DS5.8 Administración de Llaves Criptográficas DS5.9 Prevención, Detección y Corrección de Software Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos Definir y mantener un plan de seguridad Definir y establecer la administración de cuentas de usuarios Monitorear incidentes de seguridad, reales y potenciales Revisar y validar periódicamente los privilegios y derechos de acceso de los usuarios Mantener y salvaguardar las llaves criptográficas. Implementar controles técnicos para proteger el flujo de información en la red Realizar evaluaciones de vulnerabilidad de manera regular. Dueño de Proceso del negocio Definir y mantener un plan de seguridad I C C A C C C C I I R DS6 Identificar y asignar costos, auditoría, riesgo y seguridad I A C R R I C R Responsable A I R C C R A I A C R C Quien debe ser consultado A R I C I A C C R R C I A I C C C R P P * * * * Identificar y asignar costos Transparentar y entender los costos de TI y mejorar la rentabilidad a travéz del uso de servicios de TI

13 El registro completo y preciso de los costos de TI Aliniación de cargos con la calidad y cantidad de los servicios brindados Construccón y aceptación de un modelo de costos completo La aplicación de cargos con base a la política acordada. Facturas de servicios de TI pagadas por la gerencia del negocio Variaciones entre los presupuestos, pronósticos y costos actuales. Costos totales de TI de acuerdo con los modelos acordados DS6.1 Definicion de Servicios DS6.2 Contabilizacion de TI DS6.3 Modelacion de Costos y Cargos DS6.4 Mantenimiento del Modelo de Costos Inicial / Ad Hoc Repetitivo pero Intuitivo Repetitivo pero Intuitivo Repetitivo pero Intuitivo Dueño de Proceso del negocio, auditoría, riesgo y seguridad Mapear la infraestructura con los servicios brindados C C A C C C C R C R Responsable Identificar todos los costos de TI C A C C C R C A Establecer y mantener un proceso de control de contabilización de TI y de costos C C A C C C C R C C Quien debe ser consultado Establecer y mantener procedimientos y políticas de facturación C C A C C C C R C I DS7 Educar y entrenar a los usuarios P S * Educar y entrenar a los usuarios El uso efectivo y eficiente de soluciones y aplicaciones tecnológicas y el cumplimiento del usuario con las políticas y procedimientos Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecución de una efectiva estrategia de entrenamiento y la medición de resultados Establecer un programa de entrenamiento Organizar e impartir entrenamiento Monitorear y reportar la efectividad del entrenamiento Número de llamadas de soporte debido a problemas de entrenamiento Porcentaje de satisfacción de los Interesados con el entrenamiento recibido Lapso de tiempo entre la identificación de la necesidad de entrenamiento y la impartición del mismo DS7.1 Identificacion de Necesidades de Entrenamiento y Educacion DS7.2 Imparticion de Entrenamiento y Educacion DS7.3 Evaluacion de Entrenamiento Recibido Inicial/ Ad Hoc Repetible e Intuitivo Dueño de Proceso de Negocio, auditoría, riesgo y seguridad Departamento de capacitación Identificar y categorizar las necesidades de capacitación de los usuarios C R C C C C C C C R R Responsable Construir un programa de capacitación C R C C I C C C I R A Realizar actividades de capacitación, instrusión y concienciación I C C C I C C C I R C Quien debe ser consultado Llevar a cabo evaluaciones de la capacitación I R C C I C C C I R I Identificar y evaluar los mejores métodos y herramientas para la capacitación I R C C C C C C C R DS8 Administrar la configuración P S S S * * * Administrar la configuración Optimizar la infraestructura, recursos y capacidades de TI Establecer y mantener un repositorio completo y preciso de atributos de la configuración de los activos. El establecimiento de un repositorio central de todos los elementos de la configuración La identificación de los elementos de configuración y su mantenimiento Revisión de la integridad de los datos de configuración

14 El número de problemas de cumplimiento del negocio debido a inadecuada configuración Porcentaje de licencias compradas y no registradas en el repositorio DS8.1 Repositorio y Linea Base de Configuracion DS8.2 Identificacion y Mantenimiento de Elementos de Configuracion DS8.3 Revision de de la Configuracion Dueño del proceso de negocio, auditoría, riesgo y seguridad Desarrollar procedimientos de planeación de administración de la configuración C A C I C C R R Responsable Recopilar información sobre la configuración inicial y establece líneas base C C C I A/R A Verificar y auditar la información de la configuración. I A I I A/R C Quien debe ser consultado Actualizar el repositorio de la configuración R R R I A/R I PROCESOS ME1. Monitorear y Evaluar el Desempeño de TI MONITOREAR Y EVALUAR P S Facilitador primario Facilitador secundario P P S S S P S * * * * Monitorear y Evaluar el Desempeño de TI. Asegurar el logro de los objetivos establecidos para los procesos de Ti; proporcionar reportes e indicadores de desempeño gerenciales. Método de monitoreo de los procesos del negocio; realizar una evaluación del desempeño laboral e implementar acciones correctivas para corregir las debilidades identificadas en el negocio. Traducir los indicadores de las claves de desempeño y de factores criticos de éxito a Reportes Gerenciales. Comparar los indicadores de desempeño con los objetivos propuestos para evaluar el desempeño de los procesos de la organización. El grado de satisfacción tanto de la gerencia como de los clientes, con respecto a los servicios de información para identificar deficiencias del servicio. El número de acciones correctivas que aplico la gerencia para mejorar el desempeño. ME1.1 Enfoque del Monitoreo ME1.2 Definición y Recolección de Datos de Monitoreo ME1.3 Método de Monitoreo ME1.4 Evaluación del Desempeño ME1.5 Reportes al Consejo Directivo y a Ejecutivos ME1.6 Acciones Correctivas MODELO DE MADUREZ Inicial / Ad hoc Inicial / Ad hoc Inicial / Ad hoc Inicial / Ad hoc Gerente General Socio Monitorear y medir los procesos de TI. I I R Evaluar el desempeño de los procesos de TI. Determinación de acciones correctivas Identificar mejoras y planes de acción Revisar las necesidades de actualización de los procesos de TIC Establecer objetivos de mejoramiento para garantizar el avance de la organización. ME2. Monitorear y Evaluar el Control Interno Presidente Asistencia Técnica Jefe de Comercialización Diseñador Contador Programador C I R R Responsable I I R A C I R A C Quien debe ser consultado R I C C R A P S S S * * * * Monitorear y Evaluar el Control Interno

15 Garantizar el alcance de los objetivos de los procesos de TI, cumplir con las politicas y procedimientos establecidos para el desarrollo de las actividades. Monitorear el marco de trabajo del control interno, e identificar las acciones de mejoramiento que garanticen el el éxito de la seguridad operacional y del control interno La monitorización de la efectividad de los controles internos según las actividades administrativas y de supervisión. Evaluación de la efectividad y la correspondiente emisión del reporte. Evaluación del desempeño organizacional en comparación con las metas establecidas en la organización. El número de acciones correctivas aplicadas sobre problemas de control interno. El resultado de la autoevaluación de control realizada. El grado de cumplimiento de las metas de control interno e iniciativas de mejoramiento. La recolección de datos de monitoreo del control interno ME2.1 Monitoreo del Marco de trabajo de Control Interno ME2.2 Revisiones de Auditoria ME2.3 Excepciones de Control ME2.4 Control de Auto-evaluación ME2.5 Aseguramiento del Control Interno ME2.6 Control Interno para terceros ME2.7 Acciones Correctivas MODELO DE MADUREZ Inicial / Ad hoc Inicial / Ad hoc No existe No existe Gerente General Socio Presidente Monitorear las actividades de control interno de TI I R A A Realizar auditoria de la gerencia de TI. Reporte de auditoria interna y externa. Reporte de las actividades de la función de servicios de información Reportes de las acciones administrativas sobre problemas de control interno. Evaluar el control de gerencia sobre los procesos, políticas y contratos de TI. Identificar acciones correctivas y de mejoramiento. Revisión del control interno real contra lo planeado en todas las áreas de función. Revisar la existencia de puntos vulnerables y problemas de seguridad. Asegurar que TI cumple con la legislación, regulación y contratos. Asistencia Técnica Jefe de Comercialización Diseñador Contador Programador A I R A I R R Responsable I I R A I I R A C Quien debe ser consultado R A A I I I R C R A A R R R R R R ME3. Garantizar el Regulatorio P P S * * * * Garantizar el Regulatorio Incrementar niveles de confianza entre la organización y clientes, aplicando las leyes y regulaciones de la organización. Optimizar la respuesta a requerimientos regulatorios. La certificación o acreditación independiente de seguridad evitando aplicar medidas que resulten críticas. Asegurar el cumplimiento ajustandose a los requerimientos regulatorios y legales. La evaluación sobre la efectiviadad de los servicios de TI. El cumplimiento de los compromisos contractuales de los servicios de TI. Un monitoreo de TI del cumplimiento de las acciones regulatorias. Aseguramiento positivo del cumplimiento. Número de acciones correctivas para resolver incumplimiento de leyes/requerimientos regulatorios. Tiempo máximo entre la identificación del problema de incumplimiento regulatorio hasta su absoluta solución. Número de revisiones de cumplimiento de leyes. Reestructuración de procesos, procedimientos y estandares para el cumplimiento regulatorio. ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y cumplimientos Contraactuales ME3.2 Optimizar la Respuesta a Requerimientos Externos ME3.3 Evaluación del con Requerimientos Expertos ME3.4 Aseguramiento Positivo del ME3.5 Reportes Integrados MODELO DE MADUREZ Inicial / Ad hoc Inicial / Ad hoc Inicial / Ad hoc No existe Inicial / Ad hoc Gerente General Socio Presidente Asistencia Técnica Jefe de Comercialización Diseñador Contador Definir procesos, procedimientos y estándares para el cumplimiento regulatorio. C C R C A R Responsable Aprobar y comunicar procesos, procedimientos y estandares. R I C A A Verificar el cumplumiento legal y regulatorio de las actividades de TI. I I R A R C Quien debe ser consultado Generar reportes de cumplimientos con regulaciones y leyes. I I R R I Programador

16 ME4. Proporcionar Gobierno de TI P S P S * * * * Proporcionar Gobierno de TI Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en las mejores prácticas de implementación, para cumplir con los objetivos de un gobierto de TI,cumpliendo con las leyes, regulaciones, ética y estandares profesionales. Establecer un alineamiento estratégico, administración de los riesgos de TI, y la medición del desempeño. Definir un marco de trabajo en un adecuado proceso de TI para asegurar el cumplimiento de la leyes. Definir organismos de gobierno, tal que guien a gerencia hacie una orientación estratégica sobre las TI. Introducción de responsabilidades de administración de posibles riesgos, minimizando los desastres en el negocio. Revisar las acciones correctivas de la empresa. Número de reportes provenientes de TI el nivel gerencial de la organización. Evaluación periódica de las iniciativas y operaciones de TI. Frecuencia de evaluación de riesgos y su respectivo impacto en la organización. ME4.1 Establecimiento de un Marco de Gobierno de TI ME4.2 Alineamiento Estratégico ME4.3 Entrega de Valor ME4.4 Administración de Recursos ME4.5 Administración de Riesgos ME4.6 Medición de Desempeño ME4.7 Aseguramiento Independiente MODELO DE MADUREZ No existe Inicial / Ad hoc Inicial / Ad hoc No existe Generar un informe para dar una visión completa del Entorno de Control y Gobierno Corporativo. Responder los requerimientos de gobierno en linea con la dirección ejecutiva Asegurar la transparencia y comprensión de costes de TI, beneficios, estrategias y políticas. Asegurar que TI demuestra la eficiencia de costes de la calidad de servicios, mejora continua y cambios futuros. Garantizar la conformidad de TI con la legislacion, regulación, estándares y políticas. Revisar las acciones correctivas de Gerencia Revisar el progreso de la empresa hacia las metas identificadas Evaluar y reportar riesgos relacionados con TI y su impacto. Gerente General Socio I I A Presidente Asistencia Técnica C Programador Jefe de Comercialización Diseñador Contador R R R I I R R Responsable A I I R C Quien debe ser consultado I I R R R I I R I I R I A A I I R A

17

18

19

20

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Sistemas de Información para la Gestión

Sistemas de Información para la Gestión Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2013 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.

Más detalles

Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A.

Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A. Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A. Utiles en los procesos iniciales para impulsar proyectos de implementación de gobierno Nota: Cobit posee más indicadores, estos se

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS

RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS Mónica Beatriz Rela Responsable de la Unidad Auditoría de Sistemas Banco de la Nación Argentina mrela@bna.com.ar Representante por

Más detalles

LAS TIC S COMO HERRAMIENTA ALINEADA A LA ESTRATEGIA DE LA EMPRESA Prof. Franco Di Biase De Lillo

LAS TIC S COMO HERRAMIENTA ALINEADA A LA ESTRATEGIA DE LA EMPRESA Prof. Franco Di Biase De Lillo LAS TIC S COMO HERRAMIENTA ALINEADA A LA ESTRATEGIA DE LA EMPRESA Prof. Franco Di Biase De Lillo Cualquier administrador de empresa, sabe que su negocio está inserto en una economía mundial cada vez más

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Este dominio consta de 7 procesos que se describen a continuación.

Este dominio consta de 7 procesos que se describen a continuación. Dominio: Adquirir e Implementar. Este dominio consta de 7 procesos que se describen a continuación. AI1 Identificar soluciones automatizadas La necesidad de una nueva aplicación o función requiere de análisis

Más detalles

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa.

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa. UNIDAD 1: GESTION DE SISTEMAS Y TECNOLOGÍA DE INFORMACIÓN 1. Gobierno de TI: Alineamiento estratégico. Entrega de Valor. Administración de riesgos. Administración de Recursos. de desempeño. Aseguramiento

Más detalles

[Guía de auditoría AudiLacteos]

[Guía de auditoría AudiLacteos] [Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO PROPUESTA DE IMPLEMENTACION DEL MARCO DE GESTION COBIT por

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de:

SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de: SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS Tesis previa a la obtención del título de: Ingeniero en Sistemas con mención en Informática para la Gestión Tema: Diagnóstico para

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

La Gestión de TI-Normativa 14-09 Consideraciones desde una Perspectiva Gerencial. Ing. Carlos Barrientos A. CISA, CRISC

La Gestión de TI-Normativa 14-09 Consideraciones desde una Perspectiva Gerencial. Ing. Carlos Barrientos A. CISA, CRISC La Gestión de TI-Normativa 14-09 Consideraciones desde una Perspectiva Gerencial Ing. Carlos Barrientos A. CISA, CRISC Gestión de TI, una intención Estratégica Necesaria Page 2 Indice Temático 1. Antecedentes

Más detalles

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

5a. Academia de Actualización

5a. Academia de Actualización 5a. Academia de Actualización Profesional 2008 Modelos de Madurez para la mejora de la Gestión de IT PwC Agenda / Contenido Qué implica la Gestión de IT? Características generales de un Modelo de Madurez

Más detalles

Manual de Alineación, Regulación y Control de Tecnologías de Información (MARCO de TI)

Manual de Alineación, Regulación y Control de Tecnologías de Información (MARCO de TI) Manual de Alineación, Regulación y Control de Tecnologías de Información (MARCO de TI) SECRETARIA DE ADMINISTRACIÓN FECHA FECHA ACTUALIZACION: V. 01 V. 01 VERSIÓN: 01 2 DE 110 Bitácora de Revisiones: No.

Más detalles

CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS

CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS Una vez realizada la auditoría a los directivos y a los gerentes de la Agencia de Conferencistas Divulga, se encontró una serie

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

Solicitada a Solicitada por Fechas Nombre Cargo Nombre Cargo De solicitud De entrega

Solicitada a Solicitada por Fechas Nombre Cargo Nombre Cargo De solicitud De entrega Contenido 1. Presentación de la empresa 2. Objetivo de la auditoria Verificación de Control sobre el proceso de TI Definición de la organización y de las relaciones de TI que satisface los requerimientos

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados ANEXO 3: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación

Más detalles

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN LAS ENTIDADES DEL SECTOR PÚBLICO CAPÍTULO I

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN LAS ENTIDADES DEL SECTOR PÚBLICO CAPÍTULO I DECRETO No. 24 EL PRESIDENTE DE LA CORTE DE CUENTAS DE LA REPÚBLICA, CONSIDERANDO: I. El acelerado incremento y desarrollo de las Tecnologías de Información y Comunicación (TIC), en las entidades gubernamentales

Más detalles

IT Performance Management. Resumen Ejecutivo. IT Performance Management

IT Performance Management. Resumen Ejecutivo. IT Performance Management * IT Performance Management Resumen Ejecutivo Soluciones probadas para optimizar el desempeño de la organización de TI 1. IT Performance Management (ITPM) es...... la planeación, alineación y gobernabilidad

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

seguridad de la Información. Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL

seguridad de la Información. Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL CobiT como promotor de la seguridad de la Información. H i l G bi d TI Hacia el Gobierno de TI Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando

Más detalles

Taller Familia de Normas ISO 9000 Modelo ISO 9001:2000

Taller Familia de Normas ISO 9000 Modelo ISO 9001:2000 Taller Familia de Normas ISO 9000 Modelo ISO 9001:2000 Sistema de Gestión de Calidad Definición Sistema de Gestión de Calidad Sistema de administración y trabajo cuya metodología y atributos permitan incrementar

Más detalles

Curso Práctico Administración, Organización y Control de Recursos Humanos. Atrévete a hacer crecer tu negocio

Curso Práctico Administración, Organización y Control de Recursos Humanos. Atrévete a hacer crecer tu negocio Curso Práctico Administración, Organización y Control de Recursos Humanos Atrévete a hacer crecer tu negocio Contenido Objetivo y Enfoque del Curso Análisis de la Situación Actual Modelo de Solución Propuesto

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICA DE CALIDAD Petrobras Chile asume el compromiso de suministrar productos y servicios de calidad, con un estilo innovador

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

El aporte del Mantenimiento Productivo Total (TPM) a la Gestión de Activos (PAS 55) Ing. Julio Carvajal Brenes, MSc. jucarvajal@itcr.ac.

El aporte del Mantenimiento Productivo Total (TPM) a la Gestión de Activos (PAS 55) Ing. Julio Carvajal Brenes, MSc. jucarvajal@itcr.ac. El aporte del Mantenimiento Productivo Total (TPM) a la Gestión de Activos (PAS 55) Ing. Julio Carvajal Brenes, MSc. jucarvajal@itcr.ac.cr Mejorar la eficiencia global del equipo Gestión temprana de equipos

Más detalles

Hernán Morales Muñoz. 1 hora. Visión Global COBIT. Power by UGC

Hernán Morales Muñoz. 1 hora. Visión Global COBIT. Power by UGC Hernán Morales Muñoz Visión Global COBIT 1 hora Power by UGC Modelos de Referencia COBIT Modelos de Gobernabilidad de TI ITIL ISO CMM Operaciones ISO 27001 PMI Estrategia de SI TSO Power by UGC Las Organizaciones

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento?

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? RESUMEN DE LA SOLUCIÓN CA SERVICE MANAGEMENT: ADMINISTRACIÓN DE ACTIVOS DE SOFTWARE Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? CA Service

Más detalles

Norma ISO9000 y Material de Orientación Regional CAR/SAM para Programas de Garantía de Calidad en Servicios de Tránsito Aéreo

Norma ISO9000 y Material de Orientación Regional CAR/SAM para Programas de Garantía de Calidad en Servicios de Tránsito Aéreo Norma ISO9000 y Material de Orientación Regional CAR/SAM para Programas de Garantía de Calidad en Servicios de Tránsito Aéreo OFICINA REGIONAL SUDAMERICANA DE LA OACI Octubre 2002 Definición de la Calidad

Más detalles

LINEAMIENTOS DE MONITOREO Y CONTROL

LINEAMIENTOS DE MONITOREO Y CONTROL Bogotá D.C., Agosto de 2014 TABLA DE CONTENIDO INTRODUCCIÓN ------------------------------------------------------------------------------------------- --3 1. OBJETIVO --------------------------------------------------------------------------------------------

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Diseño de la Arquitectura de Procesos para la gestión eficiente de las TIC en ELECTRO UCAYALI S.A.

Diseño de la Arquitectura de Procesos para la gestión eficiente de las TIC en ELECTRO UCAYALI S.A. 2013 Diseño de la Arquitectura de Procesos para la gestión eficiente de las TIC en ELECTRO UCAYALI S.A. Metodología de Integral de Gestión de Proyectos - MIGP V2.0 Proyecto: Elaboración del Plan Estratégico

Más detalles

INTRODUCCIÓN. El presente proyecto se ha elaborado como propuesta apara el Programa de Gestión de Calidad SISO 9000:2000

INTRODUCCIÓN. El presente proyecto se ha elaborado como propuesta apara el Programa de Gestión de Calidad SISO 9000:2000 INTRODUCCIÓN El presente proyecto se ha elaborado como propuesta apara el Programa de Gestión de Calidad SISO 9000:2000 Este documento muestra los objetivos del proyecto, la metodología de trabajo para

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

Curso. Introducción a la Administracion de Proyectos

Curso. Introducción a la Administracion de Proyectos Curso Introducción a la Administracion de Proyectos Tema 5 Procesos del área de Integración INICIAR PLANEAR EJECUTAR CONTROL CERRAR Desarrollar el Acta de Proyecto Desarrollar el Plan de Proyecto Dirigir

Más detalles

Boletín de Asesoría Gerencial*

Boletín de Asesoría Gerencial* Espiñeira, Sheldon y Asociados No. 6-2008 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1 TABLA DE CONTENIDO 1. OBJETIVO... 3 2. PRESENTACIÓN DE LA EMPRESA... 3 3. ALCANCE... 4 4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 5 4.1

Más detalles

agility made possible

agility made possible RESUMEN DE LA SOLUCIÓN Administración de activos de software con CA IT Asset Manager cómo puedo administrar mejor mis activos de software y mitigar el riesgo de las auditorías de cumplimiento? agility

Más detalles

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC.

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC. 5.9 OPERACIÓN DE SERVICIOS 5.9.1 Operación de la mesa de servicios 5.9.1.1 Objetivos del proceso General: Establecer y operar un punto único de contacto para que los usuarios de los servicios hagan llegar

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Entendiendo mi ambiente de Control

Entendiendo mi ambiente de Control Riesgos y controles de TI, Entendiendo mi ambiente de Control Victor Vasquez AGENDA Agenda Retos de TI Gobierno de TI Concepto riesgo Control Cobit 3 Objetivo Objetivo Lograr que los participantes entiendan

Más detalles

NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN

NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN INTRODUCCIÓN NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información),

Más detalles

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO OFICINA ASESORA DE PLANEACIÓN, Junio 2013 Elaborado por : Carlos Fernando Campos Sosa CONTENIDO QUÉ ES EL SISTEMA INTEGRADO DE GESTIÓN?... 1 POR QUÉ ES ÚTIL EL SIG?... 3 CÓMO CONTRIBUIMOS A IMPLEMENTAR

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Manuel Ballester, CISA, CISM

Manuel Ballester, CISA, CISM Conferencia Latin America CACS 2007 #333 Lecciones aprendidas sobre la certificación en el estándar ISO 27001 y su relación con Cobit. Preparada por Manuel Ballester, CISA, CISM Reflexión Inicial Cuanto

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

GOBIERNO Y GESTIÓN TIC. Marcos de Referencia: COBIT, PMBOK, ITIL

GOBIERNO Y GESTIÓN TIC. Marcos de Referencia: COBIT, PMBOK, ITIL GOBIERNO Y GESTIÓN TIC Marcos de Referencia: COBIT, PMBOK, ITIL Marcos de Referencia Existe una creciente preocupación en la alta dirección de las empresas acerca de las actividades de la función TI. Esto

Más detalles

A P R O B A D O Nombre Puesto OK Jesus Maya VP de Administracion 23/12/2009 01:24:55 p.m.

A P R O B A D O Nombre Puesto OK Jesus Maya VP de Administracion 23/12/2009 01:24:55 p.m. Estado del Documento Liberado Tipo: Dirección: Área: Política: General Vicepresidencia de Administración Adquisiciones y Servicios Corporativa de Adquisiciones y Contrataciones Clave Estado de Revisión

Más detalles

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT) EVALUACION FINAL Grupal Entre las semanas 17 y 18 se sarrolla la evaluación final que con base en el (trabajo realizado, resultados obtenidos y bilidas intificadas en la auditoría) dar recomendación y

Más detalles

POLÍTICA DE GESTIÓN DEL SERVICIO

POLÍTICA DE GESTIÓN DEL SERVICIO OBJETIVO DE LA POLÍTICA DEL SISTEMA DE GESTIÓN DEL SERVICIO (SGS) El presente documento tiene por objeto establecer la Política de Gestión del Servicio para FIBRATEL en base a los requisitos dispuestos

Más detalles

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006 INTERNATIONAL STANDARD SAFETY AND SECURITY CAB Spanish Version SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA NO COPYING WITHOUT PERMISSION OF AMERICAN CERTIFICATION

Más detalles

Encuesta de Control Interno

Encuesta de Control Interno Encuesta de Control Interno MUNICIPIO: APULO ENTIDAD: ALCALDIA MUNICIPAL NOMBRE DEL RESPONSIBLE O JEFE DE CONTROL INTERNO: ISAIAS GONZALEZ.V. FIRMA: FECHA: 1 En la identificación de los valores existe

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

PLANEAMIENTO ESTRATÉGICO E INDICADORES

PLANEAMIENTO ESTRATÉGICO E INDICADORES PLANEAMIENTO ESTRATÉGICO E INDICADORES CASO CORPORACIÓN JOSE R. LINDLEY La Corporación José R. Lindley constituye uno de los casos más interesantes de planeamiento estratégico e implementación de indicadores

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

Anexo Q. Procesos y Procedimientos

Anexo Q. Procesos y Procedimientos Anexo Q Procesos y Procedimientos ÌNDICE. 1. Introducción... 3 2. Proceso de Directorio Activo... 4 3. Proceso de Correo Electrónico... 5 4. Proceso de Mensajería Instantánea... 6 5. Proceso de Sharepoint

Más detalles

Presentación de COBIT 5. Alfredo Zayas. ISACA Capítulo Cd. de México

Presentación de COBIT 5. Alfredo Zayas. ISACA Capítulo Cd. de México Presentación de COBIT 5 Alfredo Zayas ISACA Capítulo Cd. de México Legal Notice This product includes COBIT 5, used by permission of ISACA. 2012 ISACA. All rights reserved. COBIT is a registered trademark

Más detalles