ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES"

Transcripción

1 PLANEAR Y ORGANIZAR ANALISIS DE DOMINIOS COBIT PARA ISSOLUCIONES PROCESOS PO1 Definir un Plan Estratégico de TI P S * * * * P Facilitador primario Definir un plan estrtágico para TI S Facilitador secundario Sostener los requerimientos de la empresa, manteniendo la transparencia en cuanto a beneficios, costos y riesgos. la incorporación de TI en la traducción de los requerimientos de la empresa a ofertas de servicio y el desarrollo de estrategias para entregarlos de una forma clara y transparente. El compromiso con los responsables de la empresa para alinear la planeación estratégica de TI con las necesidades. Entendimiento de las capacidades actuales de TI Un esquema priorisando los objetivos de la empresa con los requerimientos. Porcentaje de objetivos de TI en el plan estratégico. Porcentaje de proyectos TI en el portafolio de proyectos. PO1.1 Administracion del Valor de TI PO1.2 Alineacion de TI con el Negocio PO1.3 Evaluacion del Desempeño y la Capacidad Actual PO1.4 Plan Estrategico de TI PO1.5 Planes tacticos de TI PO1.6 Administracion del Portafolio de TI Relacionar las metas del negocio con las de TI Identificar dependencias críticas y desempeño actual Construir un plan estratégico para TI Construir planes tácticos para TI Analizar portafolios de programas y administrar portafolios de servicios y proyectos Dueno del proceso de negocio, auditoría, riesgo y seguridad C I A R C C C R A C C C C C C R A C C R I C C C C I C A C I A C C C C C C I C C I I A R R C R C R I I Responsable Quien debe ser consultado PO2 Definir la Arquitectura de la S P S P * * Definir la Arquitectura de la Poder dar respuesta a los requerimientos de manera rapida, dando una informacion confiable y consitente, para poder integrar dentro de los procesos del negocio de forma transparente Establecer un modelo de datos empresarial, el mismo que debe incluir un esquema de clasificación para que la información garantice la integridad y consistencia de los datos Aseguramiento de exactitud en la arquitectura de la información y del modelo de datos Asignación de propiedad de datos Clasificación de información usando un esquema de clasificación acordado Porcentaje de elementos de datos redundantes Porcentaje de aplicaciones que no cumplen con la metodología de arquitectura de la información Frecuencia de actividades de validación de datos PO2.1 Modelo de Arquitectura de Informacion Empresarial PO2.2 Diccionario de Datos Empresarial y Reglas de Sintaxis de Datos PO2.3 Esquema de Clasificacion de Datos PO2.4 Administracion de Inicial/Ad Hoc Inicial/Ad Hoc Inicial/Ad Hoc

2 Crear y mantener modelo de información empresarial Crear y mantener un diccionario de datos coorporativo Establecer y mantener un esquema de clasificación de datos Brindar procedimientos y herramientas para los sistemas de información Usar modelo de información, diccionario de datos y esquema de clasificación Dueno del proceso de negocio, auditoría, riesgo y seguridad C I A C R C C C I C A R C R I C A C C I C C R A I C A C C I C C R C C C I A C R C I I Responsable Quien debe ser consultado PO3 Determinar la Dirección Tecnológica P P * * Determinar la Dirección Tecnológica Sistemas aplicativos estándares, bien integrados, rentables y estables. Definición e implementación de una arquitectura y estándares que tomen en cuenta y aprovechen las oportunidades tecnológicas El establecimiento de un plan de infraestructura tecnológica equilibrado versus costos, riesgos y requerimientos. Definición de estándares de infraestructura tecnológica basados en requerimientos de arquitectura de información Frecuencia de las revisiones /actualizaciones del plan de infraestructura tecnológica Número de plataformas de tecnología por función a través de toda la empresa PO3.1 Planeacion de la Direccion Tecnologica PO3.2 Plan de Infraestuctura Tecnologica PO3.3 Monitoreo de Tendencias y Regulaciones Futuras PO3.4 Estandares Tecnologicos PO3.5 Consejo de Arquitectura de TI No existente Inicial/Ad Hoc Inicial/Ad Hoc Crear y mantener un plan de infraestructura tecnológica Crear y mantener estándares tecnológicos Publicar estándares tecnológicos Monitorear la evolución tecnológica Definir el uso de la nueva tecnolgía Dueno de proceso del negocio, auditoría, riesgo y seguridad I I A C R C C C A C R C I I I R I I A I R I I I I A I I A C R C C C C C C A C R C C C I Responsable Quien debe ser consultado PO4 Definir los Procesos, Organización y Relaciones de TI P P * Definir los Procesos, Organización y Relaciones de TI Agilizar la respuesta a las estrategias del negocio Establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables Definición de un marco de trabajo de procesos de TI Establecimiento de un cuerpo y una estructura organizacional apropiada Definición de roles y responsabilidades Número de unidades/procesos de negocio que no reciben soporte de TI y que deberían recibirlo Número de actividades clave de TI fuera de la organización de TI que no son aprobadas y que no están sujetas a los estándares organizacionales de TI

3 PO4.1 Marco de Trabajo de Procesos de TI PO4.2 Comité Estratégico de TI PO4.3 Comité Directivo de TI PO4.4 Ubicación Organizacional de la Función de TI PO4.5 Estructura Organizacional PO4.6 Establecimiento de Roles y Responsabilidades PO4.7 Responsabilidad de Aseguramiento de Calidad de TI PO4.8 Responsabilidad sobre el Riesgo, la Seguridad y el PO4.9 Propiedad de Datos y de Sistemas PO4.10 Supervisión PO4.11 Segregación de Funciones PO4.12 Personal de TI PO4.13 Personal Clave de TI PO4.14 Políticas y Procedimientos para Personal Contratado PO4.15 Relaciones Relacionar las metas del negocio con las de TI Identificar dependencias críticas y desempeño actual Construir un plan estratégico para TI Construir planes tácticos para TI Analizar portafolios de programas y administrar portafolios de servicios y proyectos Dueno de proceso del negocio, auditoría, riesgo y seguridad C C C A C C C R C I C C C A C C C R C C R C C A C R I I I I I A I A C C I R I I I C C I I A I C C C R C C I Responsable Quien debe ser consultado PO5 Administrar la Inversión en TI P S * * * Administrar la Inversión en TI Mejorar la rentabilidad de TI y su contribución a la rentabilidad del negocio con servicios integrados y estandarizados. Decisiones de portafolio e inversión en TI efectivas y eficientes. El pronóstico y la asignación de presupuestos La medición y evaluación del valor del negocio en comparación con el pronóstico El porcentaje de reducción en el costo unitario del servicio de TI Porcentaje del valor de la desviación respecto al presupuesto en comparación con el presupuesto total PO5.1 Marco de Trabajo para la Administracion Financiera PO5.2 Prioridades dentro del presupuesto de TI PO5.3 Proceso presupuestal PO5.4 Administracion de los Costos de TI PO5.5 Administracion de Beneficios Inicial/Ad Hoc Inicial/Ad Hoc Inicial/Ad Hoc Dar mantenimiento al protafolio de programas de inversion Dar mantenimiento al protafolio de proyectos Dar mantenimiento al protafolio de servicios Establecer y mantener proceso presupuestal de TI Identificar, comunicar y monitorear la inversion, costo y valor de TI para el negocio Dueno de proceso del negocio, auditoría, riesgo y seguridad A R R R C I I I C A A C C C C I R I C A A C C C I A I C C A C C C R C C I C C A C C C R C C I Responsable Quien debe ser consultado PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia P S * * Comunicar las Aspiraciones y la Dirección de la Gerencia Informar oportunamente sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades Proporcionar políticas y procedimientos, de forma precisa y entendible; que se encuentre dentro del marco de trabajo de control de TI La definición de un marco de trabajo de control para TI La elaboración e implantación de políticas para TI

4 Número de interrupciones en la empresa debidas a interrupciones en el servicio de TI Porcentaje de interesados que entienden el control de TI Porcentaje de interesados que no cumple las políticas PO6.1 Ambiente de Politicas y de Control PO6.2 Riesgo Corporativo y Marco de referencia de control Interno de TI PO6.3 Administracion de Politicas para TI PO6.4 Implantacion de Politicas para TI PO6.5 Comunicacion de los Objetivos y la Direccion de TI Inicial/Ad Hoc No existente Inicial/Ad Hoc Elaborar y mantener un ambiente y marco de control de TI Elaborar y mantener politicas de TI Comunicar el marco de control, objetivos y direccion de TI Dueno de proceso del negocio, auditoría, riesgo y seguridad I C I A I C C C C R I I I A C C C R C A I I I A R C C I Responsable Quien debe ser consultado PO7 Administrar Recursos Humanos de TI P P * Administrar Recursos Humanos de TI Adquirir gente competente y motivada para crear y entregar servicios de TI Contratación y entrenamiento del personal, motivación, asignación de roles segun habilidades La revisión del desempeño del personal La contratación y entrenamiento de personal de TI para apoyar los planes tácticos de TI El nivel de satisfacción de los interesados respecto a la experiencia y habilidades del personal Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio PO7.1 Reclutamiento y retención del personal PO7.2 Competencias del personal PO7.3 Asignación de roles PO7.4 Entrenamiento del personal de TI PO7.5 Dependencias sobre los individuos PO7.6 Procedimientos de investigación del personal PO7.7 Evaluación del desempeño del empleado PO7.8 Cambios y terminación del trabajo Inicial Identificar habilidades de TI, rango de salarios y desempeno del personal Ejecutar las politicas y procedimientos relevantes de RH para TI PO8 Administrar la Calidad Dueno de proceso del negocio, auditoría, riesgo y seguridad C A C C C R C R A R R R R R C A C I Responsable Quien debe ser consultado P P S S * * * * Administrar la Calidad La mejora continua y medible de la calidad de los servicios prestados por TI La definición de un sistema de administración de calidad y monitoreo del desempeño. La definición de estándares y prácticas de calidad El monitoreo y revisión interna y externa del desempeño contra los estándares y prácticas de calidad La mejorara del QMS de manera continua Porcentaje de Interesados satisfechos con la calidad Porcentaje de procesos que reciben revisiones de aseguramiento de calidad (QA)

5 PO8.1 Sistema de Administración de Calidad PO8.2 Estándares y Prácticas de Calidad PO8.3 Estándares de Desarrollo y de Adquisición PO8.4 Enfoque en el Cliente de TI PO8.5 Mejora Continua PO8.6 Medición, Monitoreo y Revisión de la Calidad Repetible pero intuitivo Repetible pero intuitivo Definir un sistema de administracion de calidad Establecer y mantener un sistema de administracion de calidad Crear y comunicar estandares de calidad a toda la organizacion Crear y administrar el plan de calidad para la mejora continua Medir, monitorear y revisar el cumplimiento de las metas de calidad Dueno de proceso del negocio, auditoría, riesgo y seguridad C C A I I I I I I C R I I I A I C C C C C C A I A I C C C C C C C A I C C C C C C I A I C C C C C C Responsable Quien debe ser consultado PO9 Evaluar y Administrar los Riesgos de TI S S P P P S S * * * * Evaluar y Administrar los Riesgos de TI Analizar y comunicar los riesgos de TI y su impacto potencial sobre los procesos y metas de negocio La elaboración de un marco de trabajo de administración de riesgos, con marcos gerenciales de riesgo operacional, evaluación de riesgos y comunicación de riesgos residuales La garantía de que la administración de riesgos está incluida completamente en los procesos administrativos. La realización de evaluaciones de riesgo La recomendación y comunicación de planes de acción para remediar riesgos Porcentaje de objetivos críticos de TI cubiertos por la evaluación de riesgos Porcentaje de riesgos críticos de TI identificados con planes de acción elaborados PO9.1 Marco de Trabajo de Administración de Riesgos PO9.2 Establecimiento del Contexto del Riesgo PO9.3 Identificación de Eventos PO9.4 Evaluación de Riesgos de TI PO9.5 Respuesta a los Riesgos PO9.6 Mantenimiento y Monitoreo de un Plan de Acción de Riesgos Inicial Repetible pero intuitivo Inicial Inicial Repetible pero intuitivo Repetible pero intuitivo Dueno de proceso del negocio Determinar la alineacion de la administracion de riesgos A A C C A I I Entender los objetivos de negocio estrategicos y relevantes Entender los objetivos de los procesos de negocios relevantes Identificar los objetivos internos de TI y establecer el contexto del riesgo Identificar eventos asociados con objetivos; algunos estan orientados a TI Asesorar el riesgo con los eventos Evaluar y seleccionar respuestas a riesgos Priorizar y planear actividades de control Aprobar y asegurar fondos para planes de accion de riesgos Mantener y monitorear un plan de accion de riesgos, auditoría, riesgo y seguridad C C A C C I R C C A I A A C C C I C I A A R R R R C I A A R R R R C I I A A A R R R R C C C A A R R C C C C A A R I I I I I A C I R R C C C C C R Responsable Quien debe ser consultado PO10 Administrar Proyectos P P * * * Administrar Proyectos La entrega de resultados de proyectos dentro de marcos de tiempo, presupuesto y calidad acordados Un programa y un enfoque de administración de proyectos definidos, el cual se aplica a todos los proyectos de TI La definición e implantación de marcos de trabajo y enfoques de programas y de proyectos La planeación de proyectos para todos los proyectos incluidos en el portafolio de proyectos

6 Porcentaje de proyectos que satisfacen las expectativas de los interesados Porcentaje de proyectos con revisión post-implantación Porcentaje de proyectos que siguen estándares y prácticas de administración de proyectos PO10.1 Marco de Trabajo para la Administración de Programas PO10.2 Marco de Trabajo para la Administración de Proyectos PO10.3 Enfoque de Administración de Proyectos PO10.4 Compromiso de los Interesados PO10.5 Declaración de Alcance del Proyecto PO10.6 Inicio de las Fases del Proyecto PO10.7 Plan Integrado del Proyecto PO10.8 Recursos del Proyecto PO10.9 Administración de Riesgos del Proyecto PO10.10 Plan de Calidad del Proyecto PO10.11 Control de Cambios del Proyecto No existe Repetible pero intuitivo Inicial Repetible pero intuitivo Repetible pero intuitivo No existe Inicial Repetible pero intuitivo Repetible pero intuitivo Inicial Dueno de proceso del negocio Definir un marco de administracion de programas para inversiones en TI C C A R C C Establecer y mantener un marco de trabajo para la administracion de proyectos de TI Establecer y mantener un sistema de monitoreo, medicion y administracion Elaborar planees de calidad, presupuestos y administracion de riesgos Asegurar la participacion y compromiso de los interesados del proyecto, auditoría, riesgo y seguridad I I I A I C C C C R C R I I I R C C C C A C A C C C C C C C A C C I A R C C I Asegurar el control efectivo de los proyectos y de los cambios a proyectos C C C C C A C Definir e implementar metodos de aseguramiento y revision de proyectos I C I A C Responsable Quien debe ser consultado PROCESOS AI1 Identificar soluciones automatizadas ADQUIRIR E IMPLEMENTAR P S Facilitador primario Facilitador secundario P S * * Identificar soluciones automatizadas Traducir los requerimientos funcionales y de control a un diseño efectivo y eficiente de soluciones automatizadas La identificación de soluciones técnicamente factibles y rentables La definición de los requerimientos técnicos y de negocio Realizar estudios de factibilidad como se define en los estándares de desarrollo Aprobar (o rechazar) los requerimientos y los resultados de los estudios de factibilidad Número de proyectos donde los beneficios establecidos no se lograron debido a suposiciones de factibilidad incorrectas Porcentaje de estudios de factibilidad autorizados por el dueño del proceso Porcentaje de usuarios satisfechos con la funcionalidad entregada AI1.1 Definición y Mantenimiento de los Req Técnicos y Funcionales del Negocio AI1.2 Reporte de Análisis de Riesgos AI1.3 Estudio de Factibilidad y Formulación de Cursos de Acción Alternativos AI1.4 Requerimientos, Decisión de Factibilidad y Aprobación Definir los requerimientos funcionales y tecnicos del negocio Establecer procesos para la integridad / validez de los requerimientos Identificar, documentar y analizar el riesgo del proceso del negocio Conducir un estudio de factibilidad / evaluacion de impacto con respecto a la implantacion Evaluar los beneficios operativos de TI para las soluciones propuestas Evaluar los beneficios de negocio de las soluciones propuestas Elaborar un proceso de aprobacion de requerimientos Aprobar y autorizar soluciones propuestas Dueño de proceso del negocio, auditoría, riesgo y seguridad C C C R C R R A/R I C C I A/R C R Responsable A/R R R R C R I A A R R I C C R C C Quien debe ser consultado R R I I I R I A/R R C C C I R C A C C C R C C A/R R R C C C R C AI2 Adquirir y mantener software aplicativo P P S S *

7 Adquirir y dar mantenimiento a software aplicativo Construir las aplicaciones de acuerdo con los requerimientos del negocio y haciéndolas a tiempo y a un costo razonable Garantizar que exista un proceso de desarrollo oportuno y confiable La traducción de requerimientos de negocio a especificaciones de diseño La adhesión a los estándares de desarrollo para todas las modificaciones La separación de las actividades de desarrollo, de pruebas y operativas Número de problemas en producción por aplicación, que causan tiempo perdido significativo Porcentaje de usuarios satisfechos con la funcionalidad entregada AI2.1 Diseño de Alto Nivel AI2.2 Diseño Detallado AI2.3 Control y Posibilidad de Auditar las AI2.4 Seguridad y de las AI2.5 Configuración e Implantación de Software Aplicativo Adquirido AI2.6 Actualizaciones Importantes en Sistemas Existentes AI2.7 Desarrollo de Software Aplicativo AI2.8 Aseguramiento de la Calidad del Software AI2.9 Administración de los Requerimientos de AI2.10 Mantenimiento de Software Aplicativo Inicial Inicial / Ad Hoc Dueño de proceso del negocio Traducir los requerimientos del negocio en especificaciones de diseño de alto nivel C C R A/R C Preparar diseño detallado y los requerimientos tecnicos del software aplicativo Especificar los controles de aplicación dentro del diseño Personalizar e implementar la funcionalidad automatizada adquirida Desarrollar las metodologias y procesos formales para administrar el proceso de desarrollo Crear un plan de aseguramiento de la calidad del software para el proyecto I A/R C Dar seguimineto y administrar los requerimientos de la aplicación A/R Desarrollar un plan para el mantenimento de aplicaciones de software C C A/R C, auditoría, riesgo y seguridad I C C C A/R R C R R C A/R R R A C C A/R R C C C C C A C R C I Responsable Quien debe ser consultado AI3 Adquirir y mantener infraestructura tecnológica S P S S * Adquirir y dar mantenimiento a la infraestructura tecnológica Adquirir y dar mantenimiento a una infraestructura integrada y estándar de TI Proporcionar plataformas adecuadas para las aplicaciones del negocio, de acuerdo con la arquitectura definida de TI y los estándares de tecnología El establecimiento de un plan de adquisición de tecnología que se alinea con el plan de infraestructura tecnológica La planeación de mantenimiento de la infraestructura La implantación de medidas de control interno, seguridad y auditabilidad El porcentaje de plataformas que no se alinean con la arquitectura de TI definida y los estándares de tecnología El número de procesos de negocio críticos soportados por infraestructura obsoleta (o que pronto lo será) El número de componentes de infraestructura que ya no se pueden soportar (o que ya no se podrán en el futuro cercano) AI3.1 Plan de Adquisición de Tecnológica AI3.2 Protección y del Recurso de AI3.3 Mantenimiento de la AI3.4 Ambiente de Prueba de Factibilidad Definir el procedimiento / proceso de adquisicion Negociar la compra y adquirir la infraestructura requerida con proveedores (aprobados) Definir estrategia y Planear el mantenimiento de infraestructura Configurar componentes de la infraestructura Dueño de proceso del negocio, auditoría, riesgo y seguridad C A C C C R I R C/I A I R C C R I A A R R R C I C A R C I Responsable Quien debe ser consultado

8 AI4 Facilitar la operación y el uso P P S S S S * * * Facilitar la operación y el uso Garantizar la satisfacción de los usuarios finales mediante ofrecimientos de servicios y niveles de servicio, y de forma transparente integrar las soluciones de aplicación y tecnología dentro de los procesos del negocio Proporcionar manuales efectivos de usuario y de operación y materiales de entrenamiento para transferir el conocimiento necesario para la operación y el uso exitosos del sistema. El desarrollo y la disponibilidad de documentación para transferir el conocimiento Comunicación y entrenamiento a usuarios y a la gerencia del negocio, al personal de apoyo y al personal de operación La generación de materiales de entrenamiento El número de aplicaciones en que los procedimientos de TI se integran en forma transparente dentro de los procesos de negocio El porcentaje de dueños de negocios satisfechos con el entrenamiento De aplicación y los materiales de apoyo. El número de aplicaciones que cuentan con un adecuado entrenamiento de apoyo al usuario y a la operación AI4.1 Plan para Soluciones de Operación AI4.2 Transferencia de Conocimiento a la Gerencia del Negocio AI4.3 Transferencia de Conocimiento a Usuarios Finales AI4.4 Transferencia de Conocimiento al Personal de Operaciones y Soporte Inicial / Ad Hoc Inicial / Ad Hoc Dueño de proceso del negocio Desarrollar estrategia para que la solucion sea operativa C C C A/R C Desarrollar metodologia de transferencia de conocimiento Desarrollar manuales de procedimineto del usuario final Desarrollar documentaion de soporte tecnico para operaciones y personal de soporte Desarrollar y dar entrenamiento Evaluar los resultados del entrenamiento y ampliar la documentacion como se requiera I A/R R R R AI5 Adquirir recursos de TI, auditoría, riesgo y seguridad I I C R C R I C/I R A/R I A I C R A/R C I R R I Responsable Quien debe ser consultado S P S * * * * Adquirir recursos de TI Mejorar la rentabilidad de TI y su contribución a la utilidad del negocio Adquirir y mantener las habilidades de TI que respondan a la estrategia de entrega, en una infraestructura TI integrada y estandarizada, y reducir el riesgo de adquisición de TI La obtención de asesoría profesional legal y contractual La definición de procedimientos y estándares de adquisición La adquisición de hardware, software y servicios requeridos de acuerdo con los procedimientos definidos El número de controversias en relación con los contratos de adquisición La reducción del costo de compra El porcentaje de interesados clave satisfechos con los proveedores AI5.1 Control de Adquisición AI5.2 Administración de Contratos con Proveedores AI5.3 Selección de Proveedores AI5.4 Adquisición de Recursos de TI No Existente Inicial / Ad Hoc Dueño de proceso del negocio Desarrollar politicas y procedimientos de adquisicion de TI de acuerdo con las politicas de C C C C A/R R Establecer / mantener una lista de proveedores acreditados Evaluar y seleccionar proveedores a traves de un proceso de solicitud de propuesta (RFP) Desarrollar contactos que protejan los intereses de la organizacion Realizar adquisiciones de conformidad con los procedimentos establecidos, auditoría, riesgo y seguridad C C R R C C R I I C A R R R I I I C I C R I I I Responsable Quien debe ser consultado

9 AI6 Administrar cambios P P P P S * * * * Administrar cambios Responder a los requerimientos del negocio de acuerdo con la estrategia de negocio, mientras se reducen los defectos y la repetición de trabajos en la prestación del servicio y en la solución. Controlar la evaluación de impacto, autorización e implantación de todos los cambios a la infraestructura de TI, aplicaciones y soluciones técnicas, minimizando errores que se deben a especificaciones incompletas de la solicitud y detener la implantación de cambios no autorizados La definición y comunicación de los procedimientos de cambio, que incluyen cambios de emergencia La evaluación, la asignación de prioridad y autorización de cambios Seguimiento del estatus y reporte de los cambios El número de interrupciones o errores de datos provocados por especificaciones inexactas o una evaluación de impacto incompleta La repetición de aplicaciones o infraestructura debida a especificaciones de cambio inadecuadas El porcentaje de cambios que siguen procesos de control de cambio formales AI6.1 Estándares y Procedimientos para Cambios AI6.2 Evaluación de Impacto, Priorización y Autorización AI6.3 Cambios de Emergencia AI6.4 Seguimiento y Reporte del Estatus de Cambio AI6.5 Cierre y Documentación del Cambio Repetible pero intuitivo Inicial / Ad Hoc Inicial / Ad Hoc Repetible pero intuitivo Dueño de proceso del negocio Desarrollar e implementar un proceso para registrar, evaluar y dar prioridad en forma C R C A/R C Evaluar impacto y dar prioridad a cambios en base a las necesidades del negocio Garantizar que cualquier cambio critico y de emergencia sigue el proceso aprobado Autorizar cambios Administrar y diseminar la informacion relevante referente a cambios AI7 Instalar y acreditar soluciones y cambios, auditoría, riesgo y seguridad I I I A/R I R I R I A/R A C R R C C I I A/R I Responsable Quien debe ser consultado P S S S * * * * Instalar y acreditar soluciones y cambios Contar con sistemas nuevos o modificados que trabajen sin problemas importantes después de la instalación Probar que las soluciones de aplicaciones e infraestructura son apropiadas para el propósito deseado y estén libres de errores, y planear las liberaciones a producción El establecimiento de una metodología de prueba Realizar la planeación de la liberación (release) Evaluar y aprobar los resultados de las pruebas por parte de la gerencia del negocio Ejecutar revisiones posteriores a la implantación Tiempo perdido de la aplicación o problemas de datos provocados por pruebas inadecuadas Porcentaje de sistemas que satisfacen los beneficios esperados, medidos en el proceso posterior a la implantación Porcentaje de proyectos con plan de prueba documentado y aprobado AI7.1 Entrenamiento AI7.2 Plan de Prueba AI7.3 Plan de Implantación AI7.4 Ambiente de Prueba AI7.5 Conversión de Sistemas y Datos AI7.6 Pruebas de Cambios AI7.7 Prueba de Aceptación Final. AI7.8 Promoción a Producción AI7.9 Revisión Posterior a la Implantación Optimizado

10 Dueño de proceso del negocio, auditoría, riesgo y seguridad Construir y revisar planes de investigacion C A R C C Definir y revisar una estratefia de prueba (criterio de entrada y salida) y una metodologia de C A R Construir y mantener un repositorio de requermimientos de negocio tecnicos y casos de R C R Ejecutar la conversion del sistema y las pruebas de integracion en ambiente de prueba I A/R A Establecer ambiente de prueba y conducir pruebas de aceptacion finales I A/R C C Recomendar la liberacion a produccion con base en los criterios de acreditacion convenidos R R I Responsable Quien debe ser consultado PROCESOS DS1 Definir y administrar los niveles de servicio ENTREGAR Y DAR SOPORTE P S Facilitador primario Facilitador secundario P P S S S S S * * * * Definir y manejar niveles de servicio Garantizar la alineación de los servicios de TI con la estrategia del negocio Identificación de requerimientos de servicio y el monitoreo del cumplimiento de los niveles de servicio Preacuerdos internos para captura de requerimientos y las capacidades de entrega Reuniones y reportes para verificar el cumplimiento de los niveles de servicio La identificación y comunicación de requerimientos de servicios actualizados y nuevos para la planeacion estratégia. EL procentaje de Interesados satisfechos de que los servicios cumplen con los niveles previamente acordados EL número de reuniones formales de revisión del Acuerdo de Niveles de Servicio DS1.1 Marco de Trabajo de la Administración de los Niveles de Servicio DS1.2 Definición de Servicios DS1.3 Acuerdos de Niveles de Servicio DS1.4 Acuerdos de Niveles de Operación DS1.5 Monitoreo y Reporte del Cumplimento de los Niveles de Servicio DS1.6 Revisión de los Acuerdos de Niveles de Servicio y de los Contratos Inicial Repetible Administrado Dueño de proceso de negocio Crear un marco de trabajo para los servicios de TI C A C C I C C I C R Construir un catálogo de servicios de TI Definir los convenios de niveles de servicio SLAS para los servicios críticos de TI Definir los convenios de niveles de Operación OLAs para soportar los SLAs Monitorear y reportar el desempeño del servicio de punta a punta Revisar los SLAs y los contratos de apoyo Revisar y actualizar el catálogo de servicios de TI Crear un plan de mejoras de servicios, auditoría, riesgo y seguridad Administrador de servicio I A C C I C C I I R R Responsable I I C C R I R R C C A/R A I C R I R R C C A/R C Quien debe ser consultado I I R I I I A/R I I I C R R R C A/R I A C C I C C I I R I A I R I R C C I R DS2 Administrar los servicios de terceros P P S S S S S * * * * Administrar servicios del personal Brindar servicios satisfactorios con transparencia acerca de los beneficios, riesgos y costos El establecimiento de relaciones y responsabilidades bilaterales con proveedores calificados de servicios tercerizados y el monitoreo de la prestación del servicio para verificar y asegurar la adherencia a los convenios La identificación y categorización de los servicios del proveedor La identificación y mitigación de riesgos del proveedor El monitoreo y la medición del desempeño del proveedor

11 El número de quejas de los usuarios debidas a los servicios contratados El porcentaje de los principales proveedores sujetos a monitoreo DS2.1 Identificación de Todas las Relaciones con Proveedores DS2.2 Gestión de Relaciones con Proveedores DS2.3 Administración de Riesgos del Proveedor DS2.4 Monitoreo del Desempeño del Proveedor Repetible e intuitivo Repetible e intuitivo Dueño de proceso de negocio Identificar y categorizar las relaciones de los servicios de terceros I C R C R A/R C C Definir y documentar los procesos de administración del proveedor Establecer políticas y procedimientos de evaluación y suspensión de proveedores Identificar, valorar y mitigar los riesgos del proveedor Monitorear la prestación del servicio del proveedor Evaluar las metas de largo plazo de la relación del servicio para todos los interesados, auditoría, riesgo y seguridad C A I R I R R C C R Responsable C A C C C R C C A I A R R R C C C Quien debe ser consultado R A R R R C C I C C C A/R C C C C R C C DS3 Administrar el desempeño y la capacidad de los recursos de TI P P S * * Administrar el desempeño y la capacidad de los recursos de TI Optimiza el desempeño de la infraestructura, los recursos y las capacidades de TI Cumplir con los requerimientos de los niveles de servicio a travéz del monitoreo y la medición La planeación y la entrega del sistema Monitoreando y reportando el desempeño del sistema Modelando y pronosticando el desempeño del sistema Horas perdidas por los usuarios por mes por falta de palneación Porcentaje de picos donde se excede la meta de utilización Porcentaje de el timpo de respueste que no se satisface DS3.1 Planeación del Desempeño y la Capacidad de TI DS3.2 Capacidad y Desempeño Actual de TI DS3.3 Capacidad y Desempeño Futuros de TI DS3.4 de Recursos de TI DS3.5 Monitoreo y Reporte Inicial/Ad Hoc Repetitivo No Existente Inicial/Ad Hoc Establecer un proceso de Planeación para la revision del desempeño de recursos de TI Revisar el desempeño y la capacidad actual de los recursos de TI Realizar pronósticos de desempeño y capacida de los recursos de TI Realizar un plan de contingencia respecto a una falta de potencia de los recursos de TI Monitoriar continuamente la disponibilidad, desempeño y capacidad de recursos de TI Dueño de Proceso de Negocio, auditoría, riesgo y seguridad A R C C C C C I A/R C C C R Responsable C C A/R C C C C A C I A/R C C C C C Quien debe ser consultado I I A/R I I I I I DS4 Garantizar la continuidad del servicio P S P * * * * Garantizar la continuidad del servicio Asegurar un minimo impacto al negocio en caso de una interrupción de servicio de TI' Desarrollar resistencias enlas soluciones automatizadas y desarrollando, manteniendo y probando los planes de continuidad de TI Desarrollando y manteniendo los planes de contingencia de TI Con entrenamiento y pruebas de los planes de contingencia de TI Guardando copias de los planes de contingencia y de los datos fuera de las instalaciones Número de horas perdidas por usuarios por mes, debidas a interrupciones no pleneadas Número de procesos críticos de negocio que dependen de TI, que no están cubiertos por un plan de continuidad

12 DS4.1 Marco de Trabajo de Continuidad de TI DS4.2 Planes de Continuidad de TI DS4.3 Recursos Críticos de TI DS4.4 Mantenimiento del Plan de Continuidad de TI DS4.5 Pruebas del Plan de Continuidad de TI DS4.6 Entrenamiento del Plan de Continuidad de TI DS4.7 Distribución del Plan de Continuidad de TI DS4.8 Recuperación y Reanudación de los Servicios de TI DS4.9 Almacenamiento de Respaldos Fuera de las Instalaciones DS4.10 Revisión Post Reanudación Inicial / Ad Hoc No Existente No Existente No Existente No Existente No Existente Repetible Intuitivo Dueño de Proceso de Negocio, auditoría, riesgo y seguridad Desarrollar un marco de trabajo de continuidad de TI C C A C R R R C C R Responsable Realizar un análisis del impacto al negocio y valoración de riesgo C C C C A/R C C C C A Desarrollar y mantener planes de continuidad de TI I C C C C A/R C C C C Quien debe ser consultado Identificar y categorizar los recursos de TI C I A/R C I C I Definir y ejecutar procedimientos de control de cambios I I A/R R R R Simular una falla en el sistema para probar el plan de contingencia C I A/R C C C I Generar un plan de acción a seguir en base a los resultados de la simulación I R A/R R R R Planear y llevar a cabo una capacitación sobre los planes de continuidad de TI I I C C A/R C C R I Planear e implementar el alamcenamiento y la protección de respaldos I A/R R R R Realizar un procedimiento para llevar a cabo un revisión post reanudación C I A/R C C I DS5 Garantizar la seguridad de los sistemas P P S S S * * * * Garantizar la seguridad de los sistemas Mantener la integridad de la información y la infraestructura para minimizar vulnerabilidades e incidentes de seguridad Definición de políticas, procedimientos y estándares de seguridad de TI y en el monitoreo, detección y reporte de vulnerabilidades del sistema Entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. La administración de identidades y autorizaciones de los usuarios de forma estandarizada. Porbar y evaluar la seguridad de forma regular Incidentes que dañan la reputación con el público Numero de sistemas que no cumplen los requerimientos de seguridad Violaciones en la segregacion de tareas DS5.1 Administración de la Seguridad de TI DS5.2 Plan de Seguridad de TI DS5.3 Administración de Identidad DS5.4 Administración de Cuentas del Usuario DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad DS5.6 Definición de Incidente de Seguridad DS5.7 Protección de la Tecnología de Seguridad DS5.8 Administración de Llaves Criptográficas DS5.9 Prevención, Detección y Corrección de Software Malicioso DS5.10 Seguridad de la Red DS5.11 Intercambio de Datos Sensitivos Definir y mantener un plan de seguridad Definir y establecer la administración de cuentas de usuarios Monitorear incidentes de seguridad, reales y potenciales Revisar y validar periódicamente los privilegios y derechos de acceso de los usuarios Mantener y salvaguardar las llaves criptográficas. Implementar controles técnicos para proteger el flujo de información en la red Realizar evaluaciones de vulnerabilidad de manera regular. Dueño de Proceso del negocio Definir y mantener un plan de seguridad I C C A C C C C I I R DS6 Identificar y asignar costos, auditoría, riesgo y seguridad I A C R R I C R Responsable A I R C C R A I A C R C Quien debe ser consultado A R I C I A C C R R C I A I C C C R P P * * * * Identificar y asignar costos Transparentar y entender los costos de TI y mejorar la rentabilidad a travéz del uso de servicios de TI

13 El registro completo y preciso de los costos de TI Aliniación de cargos con la calidad y cantidad de los servicios brindados Construccón y aceptación de un modelo de costos completo La aplicación de cargos con base a la política acordada. Facturas de servicios de TI pagadas por la gerencia del negocio Variaciones entre los presupuestos, pronósticos y costos actuales. Costos totales de TI de acuerdo con los modelos acordados DS6.1 Definicion de Servicios DS6.2 Contabilizacion de TI DS6.3 Modelacion de Costos y Cargos DS6.4 Mantenimiento del Modelo de Costos Inicial / Ad Hoc Repetitivo pero Intuitivo Repetitivo pero Intuitivo Repetitivo pero Intuitivo Dueño de Proceso del negocio, auditoría, riesgo y seguridad Mapear la infraestructura con los servicios brindados C C A C C C C R C R Responsable Identificar todos los costos de TI C A C C C R C A Establecer y mantener un proceso de control de contabilización de TI y de costos C C A C C C C R C C Quien debe ser consultado Establecer y mantener procedimientos y políticas de facturación C C A C C C C R C I DS7 Educar y entrenar a los usuarios P S * Educar y entrenar a los usuarios El uso efectivo y eficiente de soluciones y aplicaciones tecnológicas y el cumplimiento del usuario con las políticas y procedimientos Un claro entendimiento de las necesidades de entrenamiento de los usuarios de TI, la ejecución de una efectiva estrategia de entrenamiento y la medición de resultados Establecer un programa de entrenamiento Organizar e impartir entrenamiento Monitorear y reportar la efectividad del entrenamiento Número de llamadas de soporte debido a problemas de entrenamiento Porcentaje de satisfacción de los Interesados con el entrenamiento recibido Lapso de tiempo entre la identificación de la necesidad de entrenamiento y la impartición del mismo DS7.1 Identificacion de Necesidades de Entrenamiento y Educacion DS7.2 Imparticion de Entrenamiento y Educacion DS7.3 Evaluacion de Entrenamiento Recibido Inicial/ Ad Hoc Repetible e Intuitivo Dueño de Proceso de Negocio, auditoría, riesgo y seguridad Departamento de capacitación Identificar y categorizar las necesidades de capacitación de los usuarios C R C C C C C C C R R Responsable Construir un programa de capacitación C R C C I C C C I R A Realizar actividades de capacitación, instrusión y concienciación I C C C I C C C I R C Quien debe ser consultado Llevar a cabo evaluaciones de la capacitación I R C C I C C C I R I Identificar y evaluar los mejores métodos y herramientas para la capacitación I R C C C C C C C R DS8 Administrar la configuración P S S S * * * Administrar la configuración Optimizar la infraestructura, recursos y capacidades de TI Establecer y mantener un repositorio completo y preciso de atributos de la configuración de los activos. El establecimiento de un repositorio central de todos los elementos de la configuración La identificación de los elementos de configuración y su mantenimiento Revisión de la integridad de los datos de configuración

14 El número de problemas de cumplimiento del negocio debido a inadecuada configuración Porcentaje de licencias compradas y no registradas en el repositorio DS8.1 Repositorio y Linea Base de Configuracion DS8.2 Identificacion y Mantenimiento de Elementos de Configuracion DS8.3 Revision de de la Configuracion Dueño del proceso de negocio, auditoría, riesgo y seguridad Desarrollar procedimientos de planeación de administración de la configuración C A C I C C R R Responsable Recopilar información sobre la configuración inicial y establece líneas base C C C I A/R A Verificar y auditar la información de la configuración. I A I I A/R C Quien debe ser consultado Actualizar el repositorio de la configuración R R R I A/R I PROCESOS ME1. Monitorear y Evaluar el Desempeño de TI MONITOREAR Y EVALUAR P S Facilitador primario Facilitador secundario P P S S S P S * * * * Monitorear y Evaluar el Desempeño de TI. Asegurar el logro de los objetivos establecidos para los procesos de Ti; proporcionar reportes e indicadores de desempeño gerenciales. Método de monitoreo de los procesos del negocio; realizar una evaluación del desempeño laboral e implementar acciones correctivas para corregir las debilidades identificadas en el negocio. Traducir los indicadores de las claves de desempeño y de factores criticos de éxito a Reportes Gerenciales. Comparar los indicadores de desempeño con los objetivos propuestos para evaluar el desempeño de los procesos de la organización. El grado de satisfacción tanto de la gerencia como de los clientes, con respecto a los servicios de información para identificar deficiencias del servicio. El número de acciones correctivas que aplico la gerencia para mejorar el desempeño. ME1.1 Enfoque del Monitoreo ME1.2 Definición y Recolección de Datos de Monitoreo ME1.3 Método de Monitoreo ME1.4 Evaluación del Desempeño ME1.5 Reportes al Consejo Directivo y a Ejecutivos ME1.6 Acciones Correctivas MODELO DE MADUREZ Inicial / Ad hoc Inicial / Ad hoc Inicial / Ad hoc Inicial / Ad hoc Gerente General Socio Monitorear y medir los procesos de TI. I I R Evaluar el desempeño de los procesos de TI. Determinación de acciones correctivas Identificar mejoras y planes de acción Revisar las necesidades de actualización de los procesos de TIC Establecer objetivos de mejoramiento para garantizar el avance de la organización. ME2. Monitorear y Evaluar el Control Interno Presidente Asistencia Técnica Jefe de Comercialización Diseñador Contador Programador C I R R Responsable I I R A C I R A C Quien debe ser consultado R I C C R A P S S S * * * * Monitorear y Evaluar el Control Interno

15 Garantizar el alcance de los objetivos de los procesos de TI, cumplir con las politicas y procedimientos establecidos para el desarrollo de las actividades. Monitorear el marco de trabajo del control interno, e identificar las acciones de mejoramiento que garanticen el el éxito de la seguridad operacional y del control interno La monitorización de la efectividad de los controles internos según las actividades administrativas y de supervisión. Evaluación de la efectividad y la correspondiente emisión del reporte. Evaluación del desempeño organizacional en comparación con las metas establecidas en la organización. El número de acciones correctivas aplicadas sobre problemas de control interno. El resultado de la autoevaluación de control realizada. El grado de cumplimiento de las metas de control interno e iniciativas de mejoramiento. La recolección de datos de monitoreo del control interno ME2.1 Monitoreo del Marco de trabajo de Control Interno ME2.2 Revisiones de Auditoria ME2.3 Excepciones de Control ME2.4 Control de Auto-evaluación ME2.5 Aseguramiento del Control Interno ME2.6 Control Interno para terceros ME2.7 Acciones Correctivas MODELO DE MADUREZ Inicial / Ad hoc Inicial / Ad hoc No existe No existe Gerente General Socio Presidente Monitorear las actividades de control interno de TI I R A A Realizar auditoria de la gerencia de TI. Reporte de auditoria interna y externa. Reporte de las actividades de la función de servicios de información Reportes de las acciones administrativas sobre problemas de control interno. Evaluar el control de gerencia sobre los procesos, políticas y contratos de TI. Identificar acciones correctivas y de mejoramiento. Revisión del control interno real contra lo planeado en todas las áreas de función. Revisar la existencia de puntos vulnerables y problemas de seguridad. Asegurar que TI cumple con la legislación, regulación y contratos. Asistencia Técnica Jefe de Comercialización Diseñador Contador Programador A I R A I R R Responsable I I R A I I R A C Quien debe ser consultado R A A I I I R C R A A R R R R R R ME3. Garantizar el Regulatorio P P S * * * * Garantizar el Regulatorio Incrementar niveles de confianza entre la organización y clientes, aplicando las leyes y regulaciones de la organización. Optimizar la respuesta a requerimientos regulatorios. La certificación o acreditación independiente de seguridad evitando aplicar medidas que resulten críticas. Asegurar el cumplimiento ajustandose a los requerimientos regulatorios y legales. La evaluación sobre la efectiviadad de los servicios de TI. El cumplimiento de los compromisos contractuales de los servicios de TI. Un monitoreo de TI del cumplimiento de las acciones regulatorias. Aseguramiento positivo del cumplimiento. Número de acciones correctivas para resolver incumplimiento de leyes/requerimientos regulatorios. Tiempo máximo entre la identificación del problema de incumplimiento regulatorio hasta su absoluta solución. Número de revisiones de cumplimiento de leyes. Reestructuración de procesos, procedimientos y estandares para el cumplimiento regulatorio. ME3.1 Identificar los Requerimientos de las Leyes, Regulaciones y cumplimientos Contraactuales ME3.2 Optimizar la Respuesta a Requerimientos Externos ME3.3 Evaluación del con Requerimientos Expertos ME3.4 Aseguramiento Positivo del ME3.5 Reportes Integrados MODELO DE MADUREZ Inicial / Ad hoc Inicial / Ad hoc Inicial / Ad hoc No existe Inicial / Ad hoc Gerente General Socio Presidente Asistencia Técnica Jefe de Comercialización Diseñador Contador Definir procesos, procedimientos y estándares para el cumplimiento regulatorio. C C R C A R Responsable Aprobar y comunicar procesos, procedimientos y estandares. R I C A A Verificar el cumplumiento legal y regulatorio de las actividades de TI. I I R A R C Quien debe ser consultado Generar reportes de cumplimientos con regulaciones y leyes. I I R R I Programador

16 ME4. Proporcionar Gobierno de TI P S P S * * * * Proporcionar Gobierno de TI Incrementar los niveles de confianza y beneficiarse de recomendaciones basadas en las mejores prácticas de implementación, para cumplir con los objetivos de un gobierto de TI,cumpliendo con las leyes, regulaciones, ética y estandares profesionales. Establecer un alineamiento estratégico, administración de los riesgos de TI, y la medición del desempeño. Definir un marco de trabajo en un adecuado proceso de TI para asegurar el cumplimiento de la leyes. Definir organismos de gobierno, tal que guien a gerencia hacie una orientación estratégica sobre las TI. Introducción de responsabilidades de administración de posibles riesgos, minimizando los desastres en el negocio. Revisar las acciones correctivas de la empresa. Número de reportes provenientes de TI el nivel gerencial de la organización. Evaluación periódica de las iniciativas y operaciones de TI. Frecuencia de evaluación de riesgos y su respectivo impacto en la organización. ME4.1 Establecimiento de un Marco de Gobierno de TI ME4.2 Alineamiento Estratégico ME4.3 Entrega de Valor ME4.4 Administración de Recursos ME4.5 Administración de Riesgos ME4.6 Medición de Desempeño ME4.7 Aseguramiento Independiente MODELO DE MADUREZ No existe Inicial / Ad hoc Inicial / Ad hoc No existe Generar un informe para dar una visión completa del Entorno de Control y Gobierno Corporativo. Responder los requerimientos de gobierno en linea con la dirección ejecutiva Asegurar la transparencia y comprensión de costes de TI, beneficios, estrategias y políticas. Asegurar que TI demuestra la eficiencia de costes de la calidad de servicios, mejora continua y cambios futuros. Garantizar la conformidad de TI con la legislacion, regulación, estándares y políticas. Revisar las acciones correctivas de Gerencia Revisar el progreso de la empresa hacia las metas identificadas Evaluar y reportar riesgos relacionados con TI y su impacto. Gerente General Socio I I A Presidente Asistencia Técnica C Programador Jefe de Comercialización Diseñador Contador R R R I I R R Responsable A I I R C Quien debe ser consultado I I R R R I I R I I R I A A I I R A

17

18

19

20

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A.

Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A. Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A. Utiles en los procesos iniciales para impulsar proyectos de implementación de gobierno Nota: Cobit posee más indicadores, estos se

Más detalles

Sistemas de Información para la Gestión

Sistemas de Información para la Gestión Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2013 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS

RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS RESPONSABILIDAD DE LA AUDITORÍA INTERNA ANTE LOS SERVICIOS TERCERIZADOS Mónica Beatriz Rela Responsable de la Unidad Auditoría de Sistemas Banco de la Nación Argentina mrela@bna.com.ar Representante por

Más detalles

[Guía de auditoría AudiLacteos]

[Guía de auditoría AudiLacteos] [Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

Este dominio consta de 7 procesos que se describen a continuación.

Este dominio consta de 7 procesos que se describen a continuación. Dominio: Adquirir e Implementar. Este dominio consta de 7 procesos que se describen a continuación. AI1 Identificar soluciones automatizadas La necesidad de una nueva aplicación o función requiere de análisis

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

LAS TIC S COMO HERRAMIENTA ALINEADA A LA ESTRATEGIA DE LA EMPRESA Prof. Franco Di Biase De Lillo

LAS TIC S COMO HERRAMIENTA ALINEADA A LA ESTRATEGIA DE LA EMPRESA Prof. Franco Di Biase De Lillo LAS TIC S COMO HERRAMIENTA ALINEADA A LA ESTRATEGIA DE LA EMPRESA Prof. Franco Di Biase De Lillo Cualquier administrador de empresa, sabe que su negocio está inserto en una economía mundial cada vez más

Más detalles

5a. Academia de Actualización

5a. Academia de Actualización 5a. Academia de Actualización Profesional 2008 Modelos de Madurez para la mejora de la Gestión de IT PwC Agenda / Contenido Qué implica la Gestión de IT? Características generales de un Modelo de Madurez

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa.

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa. UNIDAD 1: GESTION DE SISTEMAS Y TECNOLOGÍA DE INFORMACIÓN 1. Gobierno de TI: Alineamiento estratégico. Entrega de Valor. Administración de riesgos. Administración de Recursos. de desempeño. Aseguramiento

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

Manual de Alineación, Regulación y Control de Tecnologías de Información (MARCO de TI)

Manual de Alineación, Regulación y Control de Tecnologías de Información (MARCO de TI) Manual de Alineación, Regulación y Control de Tecnologías de Información (MARCO de TI) SECRETARIA DE ADMINISTRACIÓN FECHA FECHA ACTUALIZACION: V. 01 V. 01 VERSIÓN: 01 2 DE 110 Bitácora de Revisiones: No.

Más detalles

La Gestión de TI-Normativa 14-09 Consideraciones desde una Perspectiva Gerencial. Ing. Carlos Barrientos A. CISA, CRISC

La Gestión de TI-Normativa 14-09 Consideraciones desde una Perspectiva Gerencial. Ing. Carlos Barrientos A. CISA, CRISC La Gestión de TI-Normativa 14-09 Consideraciones desde una Perspectiva Gerencial Ing. Carlos Barrientos A. CISA, CRISC Gestión de TI, una intención Estratégica Necesaria Page 2 Indice Temático 1. Antecedentes

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Solicitada a Solicitada por Fechas Nombre Cargo Nombre Cargo De solicitud De entrega

Solicitada a Solicitada por Fechas Nombre Cargo Nombre Cargo De solicitud De entrega Contenido 1. Presentación de la empresa 2. Objetivo de la auditoria Verificación de Control sobre el proceso de TI Definición de la organización y de las relaciones de TI que satisface los requerimientos

Más detalles

Curso. Introducción a la Administracion de Proyectos

Curso. Introducción a la Administracion de Proyectos Curso Introducción a la Administracion de Proyectos Tema 5 Procesos del área de Integración INICIAR PLANEAR EJECUTAR CONTROL CERRAR Desarrollar el Acta de Proyecto Desarrollar el Plan de Proyecto Dirigir

Más detalles

Examen de Fundamentos de ITIL

Examen de Fundamentos de ITIL Examen de Fundamentos de ITIL Ejemplo A, versión 5.1 Selección tipo test Instrucciones 1. Debe intentar contestar las 40 preguntas. 2. Marque sus respuestas en lápiz en la hoja anexa 3. Usted tiene 60

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles

SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de:

SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de: SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS Tesis previa a la obtención del título de: Ingeniero en Sistemas con mención en Informática para la Gestión Tema: Diagnóstico para

Más detalles

Norma ISO9000 y Material de Orientación Regional CAR/SAM para Programas de Garantía de Calidad en Servicios de Tránsito Aéreo

Norma ISO9000 y Material de Orientación Regional CAR/SAM para Programas de Garantía de Calidad en Servicios de Tránsito Aéreo Norma ISO9000 y Material de Orientación Regional CAR/SAM para Programas de Garantía de Calidad en Servicios de Tránsito Aéreo OFICINA REGIONAL SUDAMERICANA DE LA OACI Octubre 2002 Definición de la Calidad

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

Hernán Morales Muñoz. 1 hora. Visión Global COBIT. Power by UGC

Hernán Morales Muñoz. 1 hora. Visión Global COBIT. Power by UGC Hernán Morales Muñoz Visión Global COBIT 1 hora Power by UGC Modelos de Referencia COBIT Modelos de Gobernabilidad de TI ITIL ISO CMM Operaciones ISO 27001 PMI Estrategia de SI TSO Power by UGC Las Organizaciones

Más detalles

Modelo de calidad IT Mark

Modelo de calidad IT Mark Modelo de calidad IT Mark Agenda de Trabajo 1. Área de Calidad 2. Introducción IT Mark 3. Proceso del Negocio 3.1 Ten Square. 3.2 Evaluación 3.3 Evidencias 3.4 Presentación de resultados. 4. Proceso de

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Definición de PMO Características de una PMO

Definición de PMO Características de una PMO Definición de PMO Existen varios conceptos de una oficina de proyectos (PMO) una de ella la define como una unidad organizacional, física o virtual, especialmente diseñada para dirigir y controlar el desarrollo

Más detalles

Presentación de COBIT 5. Alfredo Zayas. ISACA Capítulo Cd. de México

Presentación de COBIT 5. Alfredo Zayas. ISACA Capítulo Cd. de México Presentación de COBIT 5 Alfredo Zayas ISACA Capítulo Cd. de México Legal Notice This product includes COBIT 5, used by permission of ISACA. 2012 ISACA. All rights reserved. COBIT is a registered trademark

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO PROPUESTA DE IMPLEMENTACION DEL MARCO DE GESTION COBIT por

Más detalles

Entendiendo mi ambiente de Control

Entendiendo mi ambiente de Control Riesgos y controles de TI, Entendiendo mi ambiente de Control Victor Vasquez AGENDA Agenda Retos de TI Gobierno de TI Concepto riesgo Control Cobit 3 Objetivo Objetivo Lograr que los participantes entiendan

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1 TABLA DE CONTENIDO 1. OBJETIVO... 3 2. PRESENTACIÓN DE LA EMPRESA... 3 3. ALCANCE... 4 4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 5 4.1

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

Examen de Fundamentos de ITIL

Examen de Fundamentos de ITIL Examen de Fundamentos de ITIL Ejemplo B, versión 5.1 Selección Múltiple Instrucciones 1. Debe intentar contestar todas las 40 preguntas. 2. Marque sus respuestas en la hoja de respuestas entregada 3. Usted

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

NORMA ISO 14.000: INSTRUMENTO DE GESTIÓN AMBIENTAL PARA EL SIGLO XXI

NORMA ISO 14.000: INSTRUMENTO DE GESTIÓN AMBIENTAL PARA EL SIGLO XXI NORMA ISO 14.000: INSTRUMENTO DE GESTIÓN AMBIENTAL PARA EL SIGLO XXI APLICACIÓN PRACTICA EN UNA EMPRESA DE CURTIEMBRE Autor: Rodrigo Rivera El presente trabajo describe la norma ISO 14000 y su aplicación

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando

Más detalles

GOBIERNO Y GESTIÓN TIC. Marcos de Referencia: COBIT, PMBOK, ITIL

GOBIERNO Y GESTIÓN TIC. Marcos de Referencia: COBIT, PMBOK, ITIL GOBIERNO Y GESTIÓN TIC Marcos de Referencia: COBIT, PMBOK, ITIL Marcos de Referencia Existe una creciente preocupación en la alta dirección de las empresas acerca de las actividades de la función TI. Esto

Más detalles

10 Cuáles de las siguientes afirmaciones acerca de la Biblioteca Definitiva de Medios (DML) son CORRECTAS? 1. La DML incluye un almacén físico

10 Cuáles de las siguientes afirmaciones acerca de la Biblioteca Definitiva de Medios (DML) son CORRECTAS? 1. La DML incluye un almacén físico 1 De cuáles procesos la Gestión de Niveles de Servicios podría tomar en cuenta entradas de información para cuando esté negociando Acuerdos de Nivel de Servicio (SLA)? a) De todos los demás procesos de

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

seguridad de la Información. Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL

seguridad de la Información. Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL CobiT como promotor de la seguridad de la Información. H i l G bi d TI Hacia el Gobierno de TI Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

0. Introducción. 0.1. Antecedentes

0. Introducción. 0.1. Antecedentes ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente

Más detalles

SISTEMA DE GESTIÓN AMBIENTAL

SISTEMA DE GESTIÓN AMBIENTAL SISTEMA DE GESTIÓN AMBIENTAL ISO 14001:2004 Fundamentos e interpretación del Sistema de Gestión Ambiental ISO 14001:2004 Docente: Dip. Juan Bruno Calvay GESTIÓN AMBIENTAL EN LA EMPRESA Sistema de Gestión

Más detalles

COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL

COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PO PLANEACION Y ORGANIZACION PO4 Definición de la Organización y las Relaciones de la Tecnología de la Información Control sobre el proceso de TI de: Definición

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICA DE CALIDAD Petrobras Chile asume el compromiso de suministrar productos y servicios de calidad, con un estilo innovador

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

R E S U M E N E J E C U T I V O

R E S U M E N E J E C U T I V O R E S U M E N E J E C U T I V O I T G O V E R N A N C E I N S T I T U T E 5 RESUMEN EJECUTIVO RESUMEN EJECUTIVO muchas empresas, la información y la tecnología que las soportan representan sus más valiosos

Más detalles

Boletín de Asesoría Gerencial* Gestión de la demanda de Tecnología de Información: Una planificación efectiva a los requerimientos del negocio

Boletín de Asesoría Gerencial* Gestión de la demanda de Tecnología de Información: Una planificación efectiva a los requerimientos del negocio Espiñeira, Sheldon y Asociados * No. 10-2009 *connectedthinking Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4Introducción

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003 2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC EC-15189- IMNC-2006 / ISO 15189:2003 4. REQUISITOS DE GESTIÓN 4.1 Organización y gestión 4.2 Sistema de gestión de la calidad 4.3 Control de los documentos

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT EDMUNDO TREVIÑO GELOVER CGEIT, CISM, CISA AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT 4. TIPOS DE CONTROLES DE APLICACIÓN

Más detalles

González Consultores Diego León, CPA, CISA. González Consultores & Asociados

González Consultores Diego León, CPA, CISA. González Consultores & Asociados González Consultores Diego León, CPA, CISA La Gaceta 238-9 Diciembre 2008 DECRETOS Nº 34918-H EL PRESIDENTE DE LA REPÚBLICA EN EJERCICIO Y EL MINISTRO DE HACIENDA Objeto Artículo 1º Objeto: Adoptar e

Más detalles

Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial

Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial Como aporta COBIT 5 y gobernanza de TI a la gobernanza empresarial Carlos Francavilla Socio ICG LATAM Agenda Qué es Gobierno Corporativo? Un poco de historia El marco COBIT 5 Principios de COBIT 5 Principios

Más detalles

Gestión del Riesgo Operacional - Experiencia del Perú -

Gestión del Riesgo Operacional - Experiencia del Perú - Gestión del Riesgo Operacional - Experiencia del Perú - Septiembre 2013 Claudia Cánepa Silva MBA PMP Supervisor Principal de Riesgo Operacional Superintendencia de Banca, Seguros y AFP Agenda Organización

Más detalles

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT) EVALUACION FINAL Grupal Entre las semanas 17 y 18 se sarrolla la evaluación final que con base en el (trabajo realizado, resultados obtenidos y bilidas intificadas en la auditoría) dar recomendación y

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC.

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC. 5.9 OPERACIÓN DE SERVICIOS 5.9.1 Operación de la mesa de servicios 5.9.1.1 Objetivos del proceso General: Establecer y operar un punto único de contacto para que los usuarios de los servicios hagan llegar

Más detalles

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com

Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Una recopilación de Lic. Luis Diego Ceciliano López MBA Contador Público Autorizado lceciliano@cecilianocr.com www.cecilianocr.com Contenido Objetivos de la charla. Motivación de la charla. Repaso a COSO

Más detalles

CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS

CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS CAPÍTULO V RESULTADOS DE LA AUDITORÍA Y PROPUESTA DE ACCIONES CORRECTIVAS Una vez realizada la auditoría a los directivos y a los gerentes de la Agencia de Conferencistas Divulga, se encontró una serie

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking

la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking ITIL como apoyo a la Seguridad de la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking AGENDA 1. Antecedentes 2. Conceptos de ITIL 3. Etapas de ITIL 4. Soporte de ITIL a la seguridad

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 Agosto 2012 VERSIÓN N 01- PMB 2013 AGOSTO 2012 1 de 18 DOCUMENTO ELABORADO POR EL DEPTO. DE GESTIÓN DE LA DIVISIÓN

Más detalles

PROCESOS Y PROCEDIMIENTO METODOLOGÍA PARA LA GESTIÓN DE PROYECTOS INFORMÁTICOS EN CORPAC S.A.

PROCESOS Y PROCEDIMIENTO METODOLOGÍA PARA LA GESTIÓN DE PROYECTOS INFORMÁTICOS EN CORPAC S.A. 214 CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA METODOLOGÍA PARA LA GESTIÓN DE PROYECTOS INFORMÁTICOS EN CORPAC SA Área de Organización y Métodos CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN

Más detalles