tema+1-m0-mp-c2011-2012

Auditoria y Peritaje

Curso 2011 / 2012 Universidad Católica San Antonio de Murcia - Tlf: (+34) 968 27 88 00 [email protected] - www.ucam.edu

Javier Cao Avellaneda: [email protected] y [email protected]

Grado en Ingeniería en Informática

Tema 1: INFORMÁTICA Y CONTROL INTERNO

Índice del tema.

•  Introducción. •  Gobierno TI •  Necesidades de control interno. •  Esquemas de gestión y control interno. •  La función de auditoría de sistemas de información.

Auditoría y Peritaje: Tema 1. 2

La revolución de la información

•  Las tecnologías de la información se han adentrado en el día a día de las actividades de toda organización. – Procesadores de texto vs máquinas de escribir. – Correo electrónico vs fax – Archivos electrónicos vs expedientes papel. – Servicios Web vs consultas telefónicas o por fax

•  La información se almacena y gestiona en soportes digitales



•  Estamos inmersos en plena “revolución de la información”. La sociedad industrial se transforma hacia la sociedad de la información.

•  Características: – Alta velocidad de transmisión de información (autopistas de la

información). – Sociedad globalizada e interconectada (Internet). – Servicios telemáticos que no requieren presencia física (e-commerce, e-

banking, e-Administración, e-Learning).



•  Los negocios ahora venden “información” en vez de productos tangibles. Ejemplos: – Buscadores como Google, MSN Live, Yahoo. – Portales como Terra, Hotmail. – Tiendas online como Amazon, Ebay

•  Estos negocios son muy sensibles a los problemas con la información e influyen en los resultados de otros.



•  Caso United Airlines el día 8 de septiembre de 2008.



•  Los sistemas informáticos que daban apoyo a las tareas más básicas (ofimática y contabilidad) ahora se han transformado en los sistemas de información de la empresa.

•  Esta evolución ha generado grandes beneficios pero ha incorporado nuevos riesgos: – Alta dependencia de las TIC. – Efectos cascada de un fallo, con consecuencias cada vez mayores. – El valor de una Organización es su información y conocimiento más que

los servicios o productos que proporciona.


Soporte papel vs electrónico

•  El soporte papel es tangible: – Su creación ocupa un espacio material. – Su traslado implica el transporte físico y el tiempo de entrega está

condicionado por la distancia física. – Su destrucción supone una eliminación del soporte tangible. – Su tratamiento deja evidencias físicas.

•  El tratamiento de soportes tangibles se encuentra limitado por las restricciones de espacio y tiempo.


Soporte papel vs electrónico

•  La información en formato electrónico es intangible pero se almacena en soportes tangibles. No está tan limitada por las restricciones físicas. – Un documento electrónico tiene propiedades lógicas

•  Fecha de creación, de modificación, autor, tamaño, etc.

– A priori, no existe original y copia si no se añaden pruebas adicionales. – La velocidad de transmisión es mucho mayor.

•  Se ha multiplicado la capacidad de tratamiento de información.


Perdida del control interno sobre la información

•  La capacidad de almacenamiento se ha multiplicado exponencialmente

= .


•  ENTORNOS CERRADOS (entornos de los 80 y principios de 90)

•  Grandes mainframes. •  Ter minales de acceso. •  Ubicaciones Dsicas localizadas.

•  ENTORNOS ABIERTOS (entornos de finales de los 90 y siglo XXI)

•  ConecKvidad global y movilidad de usuario •  Clientes PC. •  Ubicaciones Dsicas no controladas.

Pérdida del control interno sobre la información


Contexto del Gobierno TI

•  Para muchas empresas, la información y la tecnología que las soportan representan sus más valiosos activos, aunque con frecuencia son poco entendidos.

•  Las organizaciones entienden que deben empezar a administrar los riesgos asociados al uso de las tecnologías de la información dada su actual dependencia crítica de ellos para la ejecución de sus procesos de negocio.


Procesos de negocio Procesos de negocio

Entradas

Salidas

Tecnologías de la información

Personal

Organización

Organizaciones actuales

Infraestructuras


Organizaciones y procesos de negocio

•  Toda Organización puede ser contemplada como un conjunto de procesos de negocio que transforma unas entradas en unas salidas, generando valor añadido.

•  Un proceso de negocio es un conjunto de tareas relacionadas lógicamente llevadas a cabo para lograr un resultado de negocio definido.

E


Organizaciones y procesos de negocio

•  Los procesos de negocio pueden ser vistos como una colección de actividades estructurales relacionadas que producen un valor para la organización, sus inversores o sus clientes. Es, por ejemplo, el proceso a través del que una organización ofrece sus servicios a sus clientes.

•  Un proceso de negocio puede ser parte de un proceso mayor que lo abarque o bien puede incluir otros procesos de negocio que deban ser incluidos en su función. En este contexto un proceso de negocio puede ser visto a varios niveles de granularidad. El enlace entre procesos de negocio y generación de valor lleva a algunos practicantes a ver los procesos de negocio como los flujos de trabajo que efectúan las tareas de una organización.

E


El modelo de cadena de valor de Porter

•  Toda organización puede ser analizada por su cadena de valor. Ésta categoriza las actividades que producen valor añadido en una organización. Se dividen en dos tipos de actividades:

E



•  Las actividades primarias que conforman la creación física del producto o servicio, las actividades relacionadas con su venta y la asistencia post-venta. Se dividen en: – Logística interna: recepción, almacenamiento y distribución de las

materias primas. – Operaciones (producción): recepción de las materias primas para

transformarlas en el producto final. – Logística externa: almacenamiento de los productos terminados y

distribución del producto al consumidor. – Ventas y Marketing: actividades con las cuales se da a conocer el

producto. – Servicios post-venta (mantenimiento): actividades destinadas a

mantener o realizar el valor del producto. Ej.: garantías

E



•  Estas actividades son apoyadas por las también denominadas actividades secundarias: –  Infraestructura de la organización: actividades que prestan apoyo a

toda la empresa, como la planificación, contabilidad, finanzas... – Dirección de recursos humanos: búsqueda, contratación y motivación

del personal. – Desarrollo de tecnología (investigación y desarrollo): obtención,

mejora y gestión de la tecnología. – Abastecimiento (compras): proceso de compra de los materiales.

E


Sistemas de información y cadena de valor

•  Los sistemas de información pertenecen a la infraestructura y proporcionan los recursos de tratamiento de la información tanto de las acKvidades primarias como de las acKvidades de soporte.


Ejercicio: El caso PDVSA

•  Identificar para el conjunto de procesos, cuales serían los que pertenecen a: – Actividades primarias:

•  Logística interna •  Operaciones •  Logística externa •  Marketing y ventas •  Servicio post venta

– Actividades soporte: •  Infraestructuras de la empresa •  Gestión de recursos humanos •  Tecnología •  Compras



•  Toda organización puede ser analizada por su cadena de valor. Ésta categoriza las actividades que producen valor añadido en una organización. Se dividen en dos tipos de actividades:



Extracción Depósito

Refino

Exportación Distribución

Facturación

Gestión TIC

RR.HH.

Dirección




Refino

Exportación Distribución

Facturación

Gestión TIC

RR.HH.

Dirección


LOGISTICA EXTERNA

PRODUCCIÓN

Procesos de transformación

Extracción Depósito Refino

Exportación

Distribución

Materia prima Producto


INFRAESTRUCTURA

Procesos de gestión económica

Producto

Facturación Dirección

RECURSOS HUMANOS

TECNOLOGÍA

RR.HH.

Gestión TIC


Ejercicio: El caso PDVSA. so

porte

primarias


RR.HH. Gestión TIC


Refino

Exportación

Distribución


Definición de sistemas de información

•  Un sistema de información es un conjunto organizado de elementos. Estos son de 4 tipos: – Personas. – Datos. – Actividades o técnicas de trabajo. – Recursos materiales en general (típicamente recursos informáticos y

de comunicación, aunque no tienen por qué ser de este tipo obligatoriamente).

•  Todo ese conjunto de elementos interactúan entre si para procesar los datos y la información (incluyendo procesos manuales y automáticos) y distribuirla de la manera más adecuada posible en una determinada organización en función de sus objetivos.

•  Fuente: http://es.wikipedia.org/wiki/Sistema_de_informaci%C3%B3n


Procesos o Servicios

Nivel Funcional

Nivel Lógico

Nivel Físico

• Dependencias físicas • Suministros

• Aplicaciones • Equipos • Telecomunicaciones

• Procesos de negocio • Personas • Datos


El boicot a PDVSA. so

porte

primarias


RR.HH. Gestión TIC


Refino

Exportación

Distribución


Índice del tema.



El contexto del Gobierno TI

•  La confianza es la clave de nuestra economía, economía que sería hoy en día impensable sin el soporte de las tecnologías de la información, cada días más ubicuas y que han cambiado para siempre la manera de entender y hacer negocios.

•  Nos encontramos con que la economía gira en gran medida en torno a la idea de confianza descrita y que los sistemas de información debe ser “de confianza”, o mejor dicho, fiables.

•  ¿Qué pruebas tenemos?



•  Debate sobre la fiabilidad de la informática. – Pruebas de buen funcionamiento. – Pruebas de mal funcionamiento. – ¿Qué y hasta donde es tolerable? – Ejemplos del día a día.



•  Ha existido una brecha entre expectativas-resultados. ExpectaKvas

• Explotar TI para lograr valor. • Lograr rápidos desarrollos con calidad y seguridad.

• Inversiones TI Kenen un retorno cuanKtaKvo y se logra más con menos.

• ConverKr ganancias de eficiencia y producKvidad en la creación de valor y efecKvidad del negocio.

Resultados

• Decisiones sin adecuado soporte y pérdida compeKKva.

• La efecKvidad de los procesos es directamente proporcional a la calidad de los servicios TI.

• Fracaso en la implantación de nuevas aplicaciones.

• Tecnología inadecuada o caduca.

• Débil soporte a los negocios. • Proyectos desfasados en Kempo y presupuesto.

• Mayor costo y menor calidad que la esperada.



•  Las organizaciones quieren ahora contemplar lo que se denomina “Riesgo operativo” que es “el riesgo o pérdida que resulta de un fallo o inadecuados procesos internos, gente y sistemas o eventos externos”.



Dirección

Servicios TI

Proc

esos

de

nego

cio

Proc

esos

de

nego

cio

Proc

esos

de

nego

cio

Proc

esos

de

nego

cio



•  La Dirección de las Empresas quiere poder establecer el rumbo que debe seguir el desarrollo de sus Organizaciones.

•  Para ello, es necesario planificar, dirigir y gestionar el desarrollo y despliegue de los sistemas de información de la Organización.


Evolución del área TI

•  Ha pasado el tiempo en el que los departamentos de informática (departamentos de Tecnologías de la Información) eran unos departamentos puramente técnicos que realizaban dos funciones básicas: Desarrollo de aplicaciones y el mantenimiento de la infraestructura técnica.

•  El negocio (la empresa) invertía dinero en este departamento y eran percibidos únicamente como centros de coste. Los servicios informáticos, sobre todos los más importantes para el negocio (soporte y operaciones), eran suministrados por este departamento integrado en la organización.


Evolución del área TI

•  Ahora, muchos de estos departamentos tienen la necesidad de cambiar su imagen en la empresa. Necesitan saber cuánto valen sus servicios y demostrar a sus clientes (su propia compañía) que son rentables y necesarios, demostrando racionalización y eficiencia.

•  Por otra parte, las organizaciones son cada vez más dependientes de las TIs a la hora de satisfacer sus propios objetivos corporativos y necesidades empresariales (negocio). Esta dependencia conlleva un aumento en la necesidad de unos servicios de TI, independientemente del tamaño de la organización, ajustados económicamente, fiables, consistentes y de la más alta calidad.


Contexto del Gobierno TI

•  Lo que se quiere es tener un control sobre la gestión de las Tecnologías de la Información de igual manera al control que se tiene de otras actividades de la Organización. – Control presupuestario y financiero. – Control sobre los recursos humanos. – Control sobre la producción. – Gestión y Dirección de la Organización.


Definición del Gobierno TI

•  El Gobierno TI determina el marco para la toma de decisiones y la responsabilidad para fomentar el comportamiento deseado del uso de las tecnologías de la información.

•  La necesidad de asegurar el valor de las TI, la administración de sus riesgos asociados así como el incremento de requisitos para controlar la información (Legislación como LOPD) se entienden ahora como elementos clave del Gobierno de una empresa.

•  El valor, el riesgo y el control constituyen la esencia del Gobierno TI.


El valor de la información

•  “La información es un activo que, como otros activos importantes para las organizaciones, tiene valor y por tanto, necesita ser adecuadamente protegido.” ISO/IEC 27002:2005

•  El valor de la información puede ser diferentes según el criterio o percepción de la persona que la maneja.

•  El tratamiento en algunos momentos no se ajusta al valor que esa información tiene.

Dirección Financiero Informática Secretaría

60.000 € 6.000 € 600 € 10 €

600 € 0 € 60.000 € 10 €

Informe Dirección

Copias seguridad


El riesgo

Amenaza

AcKvo Impacto

Control


El riesgo

Vulnerabilidades


El riesgo

ACTIVO

Amenazas

Incendio

Corte Eléctrico

Virus

Fallecimiento empleado

Avería hardware

Salvaguardas

Medidas de seguridad

Vulnerabilidades

Impacto


El riesgo

RIESGO

IMPACTO ¿Qué consecuencias tiene para el negocio?

PROBABILIDAD ¿Cuánto de posible es que la amenaza supere a los controles?

ACTIVOS

¿Qué hay que proteger?

AMENAZAS

¿Qué eventos pueden

producirse?

SALVAGUARDAS

¿De que protecciones disponemos?

VULNERABILIDAD

¿Cómo pueden materializarse las

amenazas?


La gestión del riesgo

REDUCIR

ACEPTAR EVITAR

TRANSFERIR

•  No hacer nada

•  Contratar seguro

•  Poner alarma •  Comprar puerta blindada

•  No comprarla


El control

•  Gestionar es tomar las decisiones pertinentes para lograr un determinado fin u objetivo. En nuestro contexto, lograr que los niveles de riesgo sean los adecuados.

Entradas Salidas Proceso

Control


El Gobierno TI

•  El Gobierno de las Tecnologías de la Información es responsabilidad de los ejecutivos y consta de liderazgo, estructuras y procesos organizacionales que garantizan que las Tecnologías de la Información de la empresa sostienen y extienden las estrategias y objetivos de la Organización.

•  En otras palabras, hacer que los sistemas de información sean una herramienta productiva más alineada con los objetivos de negocio de la Organización.


El Gobierno TI


Las áreas del Gobierno TI

Entrega de valor

Gestión del riesgo

Administración de recursos

Medición del desempeño

Alineación estratégica

Gobierno TI

Gobierno TI

E



•  Garantizar la coherencia y cohesión entre los planes de negocio de la Organización y de TI.

•  Definir, mantener y validar la propuesta de valor de TI.

•  Alinear las operaciones de TI con las operaciones de la empresa.


E



•  Asegurar que TI genere los beneficios prometidos en la estrategia.

•  Optimizar los costos y brindar el valor intrínseco de las TI.

Entrega de valor

E



•  Concienciar sobre los riesgos que conllevan las TI

•  Analizar y establecer los riesgos para la Organización.

•  Determinar los requisitos de cumplimiento, lo que no debe tolerarse.

•  Gestionar adecuadamente los riesgos no aceptables.

Gestión del riesgo

E



•  Establecer las inversiones óptimas, así como la administración adecuada de los sistemas de información: – Aplicaciones –  Información –  Infraestructuras tecnológicas – Personas

•  Optimización del conocimiento y de la infraestructura.

Administrar los recursos

E



•  Monitorización del uso de los recursos. •  Seguimiento de la implantación de la

estrategia y cumplimiento de objetivos y planes de proyectos.

•  Medición del desempeño de los procesos y de la entrega de servicios.


E


El Gobierno TI

•  El Gobierno TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.

•  Las organizaciones tienen como misión satisfacer la calidad, los requisitos y la seguridad de la información así como la de todos sus activos.

•  La Dirección debe optimizar el uso de los recursos TI disponibles, incluyendo aplicaciones, información, infraestructuras y personas.


El Gobierno TI

Es necesario garanKzar que: •  TI proporcionan valor

– Coste, Kempo, rendimiento, funcionalidad esperados •  TI no proporcionan sorpresas

– Riesgos miKgados •  TI contribuyen al negocio

– Nuevas oportunidades e innovaciones en productos, procesos y servicios

Para ello, la Dirección debe tener cierto CONTROL INTERNO sobre su funcionamiento y gestión.


Repaso de los conceptos importantes

•  Cadena de Porter.

•  Áreas del Gobierno TI.

•  Necesidad del Gobierno TI


Sistemas de información y cadena de valor

•  Los sistemas de información pertenecen a la infraestructura y proporcionan los recursos de tratamiento de la información tanto de las acKvidades primarias como de las acKvidades de soporte.



Entrega de valor

Gestión del riesgo

Administración de recursos



Gobierno TI

Gobierno TI


El Gobierno TI


El Gobierno TI

Es necesario garanMzar que: •  TI proporcionan valor

– Coste, Kempo, rendimiento, funcionalidad esperados •  TI no proporcionan sorpresas

– Riesgos miKgados •  TI contribuyen al negocio

– Nuevas oportunidades e innovaciones en productos, procesos y servicios

Para ello, la Dirección debe tener cierto CONTROL INTERNO sobre su funcionamiento y gestión.


Gestión del Gobierno TI

Gestión de la Organización

Tecnologías de la información

Gestión TI Gestión RR.HH.

Objetivos de negocio

Resultados empresariales

¿OK?


¿Cómo se logra el Gobierno TI?

•  La Dirección de la Empresa quiere saber cómo funciona el área TI.

•  Para ello, se establecen un conjunto de procesos generales (o marco de trabajo) y se mide cómo funcionan cada uno de ellos. (Control interno)

•  En las últimas décadas se han ido estableciendo diferentes marcos de trabajo orientados a lograr estos objetivos: – Guias COBIT de ISACA. –  ISO 20000 Gestión de Servicios TI –  ISO 27001 Gestión de la Seguridad de la Información



Proporcionar Dirección

Medir el desempeño

Comparar

Actividades TI •  Aumentar la automaKzación.(Hacer más eficaz el negocio)

• Reducir costos (Hacer más eficiente la empresa)

• Controlar los riesgos (Seguridad, confianza y cumplimiento)

Establecer Objetivos •  TI alineado con el negocio.

• Reducir costos (Hacer más eficiente la empresa)

• Manejar riesgos (Seguridad, confianza y cumplimiento)



•  Para lograr el Gobierno TI es necesario proporcionar la información que la empresa requiere para lograr sus objetivos, administrar y controlar los recursos de TI usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de información.

Requisitos de negocio

Recursos TI

Procesos TI


Índice del tema.



Informe IT Governance Institute (ITGI)-2008.

•  Un estudio del ITGI determina las prioridades de ejecutivos en gobernabilidad TI y los problemas con los que se han de enfrentar: – El 58% advirtió que la cantidad de personal en TI es insuficiente,

comparada con el 35% de 2005. – El 48% expresó que las dificultades en la prestación del servicio de TI

continúan siendo el segundo problema más común. – El 38% señaló que los problemas relacionados con el personal tienen

que ver con la ausencia de aptitudes adecuadas. –  Un 30% de los encuestados también informó dificultades relacionadas

con la previsión del retorno de la inversión (ROI) para los gastos de TI.


Informe IT Governance Institute (ITGI)-2008.

– El 93% de los encuestados expresó que TI posee una importancia de media a elevada para la estrategia corporativa general, lo cual implica un aumento de 6% en comparación con 2005.

– La TI siempre está en la agenda de la gerencia, de acuerdo con las respuestas del 32% de los encuestados: un incremento en comparación con el 25% de 2005.

– El 18% de los encuestados manifestó que el departamento de TI siempre proporciona información a la empresa acerca de potenciales oportunidades de negocio, un incremento en comparación con el 14% de 2005.

– Las áreas de mejora incluyen alineación: el 36% de los encuestados informaron que la alineación entre la estrategia de TI y la estrategia corporativa es estándar, deficiente o muy deficiente.


Informe IT Governance InsKtute (ITGI)-‐2008.

•  “El resultado final es que muchas organizaciones de todo el mundo sacrifican inútilmente dinero, productividad y ventaja competitiva al no implementar una administración eficaz de TI”.

•  “Se ha demostrado que las empresas bien administradas obtienen un mejor retorno para las partes interesadas, y lo mismo sucede con la gobernabilidad en lo concerniente a la TI. Los ejecutivos deben orientar sus áreas de TI para obtener la ventaja óptima, manejar los riesgos relacionados con la TI y medir el valor que la TI proporciona”.


Conclusiones del estudio ITGI-2008

•  Los sistemas de información ya no son un complemento para la organización sino que forman parte de su estructura.

•  Aumento de la complejidad en los entornos TI. •  Nivel de servicio de TI decepcionante tanto por parte de las

funciones internas como proveedores externos. •  Costes de TI fuera de control. •  Necesidad de garantizar el cumplimiento legal que empieza a

regular las TI. •  Potencial de las TI para cambiar espectacularmente las

organizaciones y las prácticas empresariales, crear nuevas oportunidades y reducir costes.


Control Interno

•  La definición de control interno se entiende como el proceso que ejecuta la administración con el fin de evaluar operaciones especificas con seguridad razonable en tres principales categorías: – Efectividad y eficiencia operacional. – Seguridad de la información. – Cumplimiento de políticas, leyes y normas.


Necesidades de control interno

•  El Control Interno Informático controla diariamente que todas las actividades sean realizadas cumpliendo los procedimientos, estándares y normas fiados por la Dirección de la Organización así como los requisitos legales.

•  El control interno tiene como principales objetivos: – Controlar que las actividades se realizan cumpliendo los procedimientos

y normas fijados, evaluar su funcionamiento y asegurar el cumplimiento de las normas legales.

– Asesorar sobre el conocimiento de las normas y procedimientos internos. – Colaborar y apoyar al área de Auditoría Informática. – Definir, implantar y ejecutar mecanismos y controles para comprobar el

logro de los objetivos planteados sobre el servicio de Tecnologías de la Información de la empresa.


Necesidades de control interno

•  Para ello, se despliegan diferentes tipos de controles sobre las actividades operativas del tipo: – Cumplimiento de los procedimientos y normas internas. – Vigilancia sobre el control de cambios y versiones del software. – Controles sobre la producción diaria. – Controles sobre la calidad y eficiencia del desarrollo y mantenimiento

software y de los sistemas de información. – Controles sobre la administración y gestión de las redes de

telecomunicaciones. – Controles sobre los sistemas microinformáticos. – Monitorización sobre la seguridad informática establecida. – Licencias y relaciones contractuales con terceros.


Control interno y Gobierno TI

•  El control interno mide si los procesos generan las salidas correctas en relación a los objetivos planteados.

•  En relación al Gobierno TI, proporciona indicadores sobre el funcionamiento de los sistemas de información.


Control



•  El Gobierno TI debe establecer las líneas estratégicas de la empresa (el rumbo) y el control interno debe verificar que en el día a día se va por el buen camino.


Índice del tema.



Esquemas de gestión y control interno

•  Aunque existen diferentes tipos de organizaciones y empresas, la gestión de las TIC comparte una misma problemática en cuanto a los procesos necesarios para su gestión.

•  La misión fundamental del área de TIC de cualquier organización es velar por el buen funcionamiento de las infraestructuras TIC, elementos que posibilitan a los usuarios el acceso a las aplicaciones y datos que requieren para el desarrollo de su actividad dentro de la compañía, garantizar la seguridad de la información y los activos en general asociados al área y dar soporte a los usuarios cuando sea necesario.



•  La situación se ha tratado de solucionar con la aparición en el escenario de buenas prácticas y normas internacionales diseñadas a paliar el problema de la falta de control interno.

•  Se ha trabajado en estos últimos años para poder consensuar “buenas prácticas” y trata de establecer estándares, de manera que todas las organizaciones establezcan los controles internos de una misma forma.



•  Ello se ha producido, en parte por: – Preocupación por el creciente nivel de gasto en TI. – Necesidad de satisfacer cada vez más diferentes requisitos regulatorios

( Ley de Protección de Datos, Sabarnes-Oxley, Basilea II, etc.) – Necesidad de valorar servicios externos (outsourcing). – Riesgos crecientemente complejos de las TI (seguridad informática,

fugas de datos, etc.) – Necesidad de optimizar costes, siguiendo siempre que sea posible un

enfoque estandarizado. – Madurez creciente y continua aceptación de aceptados marcos de

trabajo como ISO 9001, Cobit, ITIL, ISO 27001, etc. – Necesidad de poder comparar el desempeño y rendimiento de los

sistemas propios y valorarlos respecto a los de otros.



•  Los objetivos globales de cualquier área de Explotación TIC son: – Maximizar la satisfacción de los clientes internos o externos. – Garantizar la seguridad de los sistemas – Garantizar la seguridad de la información – Maximizar la disponibilidad de las redes – Maximizar la disponibilidad de los sistemas – Maximizar la disponibilidad de las aplicaciones



•  Los objetivos globales de cualquier área de Explotación TIC son: – Responder en el mínimo tiempo posible ante incidencias relacionadas

con los activos TIC de la compañía. – Optimizar el tiempo de respuesta de las aplicaciones. – Mantener actualizado el sistema documental fijado para el correcto

mantenimiento y soporte de los Sistemas de Información corporativos. – Garantizar la gestión de conocimiento. – Garantizar la medición de los procesos mediante indicadores de eficacia

y eficiencia. Garantizar la trazabilidad de las operaciones de soporte realizadas.

– Trabajar en la mejora continua de procesos, maximizando los mantenimientos preventivos a costa de los reactivos.



•  Aparecen guías, normas y estándares planteados como catálogos de objetivos de control y controles que pueden ayudar a gobierno TI. – COBIT: marco de procesos para la gestión TI. – CMMI: centrado en actividades de desarrollo –  ITIL /ISO 20000: centrado en la gestión de los servicios de tecnología de

la información. –  ISO 27001: centrado en la seguridad de la información. –  ISO 38500: centrado en el Gobierno TI


COBIT

•  COBIT (Control Objectives for Information and related Technology) es un conjunto de mejores prácticas para el manejo de información creado por ISACA e ITGI.

•  COBIT marca las directrices gerenciales sobre un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.

•  La misión de COBIT es "investigar, desarrollar, publicar y promocionar un

conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores”.


CMMI

•  Es un modelo concebido para mejorar los procesos de desarrollo y mantenimiento de productos de software. Fue creado por el Software Engineering Institute (SEI) de la Universidad estadounidense Carnegie Mellon, combinando tres modelos del SEI: – CMM-SW (CMM for Software) – SE-CMM (Systems Engineering Capability Maturity Model) –  IPD-CMM (Integrated Product Development)

•  CMMI también se inspira en buenas prácticas de la industria y de la experiencia adquirida en la evaluación e implantación de mejora de procesos en entornos reales.

Auditoría y Peritaje: Tema 1.

88

ITIL / ISO 20000

•  ITIL es una seria de libros con las mejores prácticas de TI. Es un marco de referencia de dominio público. Probado empíricamente y bajo constante desarrollo, soportado por herramientas, utilizado por la mayoría de los grandes data-centers de mundo.

•  La serie ISO/IEC 20000 proviene de la adopción de la serie BS 15000 que especifica un conjunto de procesos de gestión interrelacionados, esta basada en gran medida en el marco de trabajo ITIL y se pretende que formen una base de una auditoría del servicio gestionado.

•  ISO 20000-1 establece los requisitos de un sistema de gestión de las tecnologías de la información (SGTI) para ser certificable por una entidad independiente.

•  ISO 20000-2 proporciona un conjunto de buenas prácticas basada en el estándar "de facto" ITIL.


ISO 27000

•  La serie ISO/IEC 27000 es un conjunto de estándares desarrollados que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

•  ISO 27001 establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

•  ISO 27002 proporciona un conjunto de buenas prácticas para la gestión de la seguridad de su información.


Índice del tema.



La función de auditoría

•  Se establece un modelo de control interno basado en la comparación de lo deseable con lo obtenido.

•  Se establece un determinado nivel de temperatura (Objetivo de control) para el sistema de acondicionamiento de aire (Proceso). El termostato medirá continuamente la temperatura del ambiente (Salida) y la comparará con la temperatura deseada (Objetivo de control) e indicará cual es la acción a realizar (acción de control)


Objetivos de control y controles

•  El control mide si los procesos generan las salidas correctas en relación a los objetivos planteados.


Control

ObjeMvo de control


Objetivos de control y controles

•  Un objetivo de control TI es una declaración del resultado o fin que se desea lograr al implantar procedimientos de control en una actividad TI en particular.

•  Un control se define como las políticas, normas, procedimientos, prácticas y estructuras organizacionales diseñadas para brindar una seguridad razonable que los objetivos de negocio se alcanzarán, y los eventos previstos serán prevenidos o detectados o corregidos.



•  Se establecen diferentes objetivos de control para el área de Tecnologías de la Información y se comparan los servicios o productos que se obtienen con los resultados deseables, en base a la valoración de los registros de funcionamiento que establecen los diferentes controles implantados.

•  Los controles son como sensores de funcionamiento que proporcionan información para tomar acciones de control.


Control interno y auditoría TI

•  Son tareas similares con objetivos comunes aunque algunas diferencias

Control Interno Auditoría

Similitudes Personal Interno Conocimientos especializados en Tecnologías de la Información.

Verificación del cumplimiento de las normaKvas y procedimientos establecidos sobre los sistema de información.

Diferencias Análisis de los controles día a día Informa a la Dirección del

Departamento de informáKca Personal Interno

Análisis de los controles en un momento dado.

Informa a la Dirección de la Organización. Personal interno o externo.


La función de auditoría TI

•  Es quien verifica el correcto funcionamiento de los controles y valora el nivel de cumplimento de los objetivos de control para dar una opinión a la Dirección del estado de los elementos auditados en base a unos criterios de auditoría establecidos.


tema+1-m0-mp-c2011-2012

Documents

sistemas de informacin

informacin autopistas

informtica tema

peritaje curso

funcin de auditora

soportes digitales auditora

soporte papel

plena revolucin