Está en la página 1de 67

GOBIERNO DE TI

Buenas Practicas
Dr. Edwin Valencia Castillo
evalencia@unc.edu.pe
www.unc.edu.pe\~evalencia

© Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Objetivos
En esta unidad, se aprenderá acerca de:
Gobierno corporativo y Practicas de monitoreo
y aseguramiento
Estrategia de sistemas de información
Políticas y procedimientos
Administración del riesgo
Practicas de gerencia de SI
Estructura organizacional y responsabilidad de
SI
Auditoria de la Estructura e implementación de
gobierno de TI

2 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

LECCION: GOBIERNO CORPORATIVO


Definición: Comportamiento corporativo ético
por parte de los directores u otros encargados
del gobierno, para la creación y entrega de los
beneficios para todas las partes interesadas.
“Distribución de derechos y responsabilidades
entre los diferentes participantes en la
corporación, tales como la junta, los gerentes,
los accionistas y otras partes interesadas, y
explica las reglas, procedimientos para tomar
decisiones sobre los asuntos corporativos”.
(Organización para la cooperación y el
desarrollo – OECD)
3 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Elementos claves para el gobierno de


una empresa

La necesidad del aseguramiento del valor de TI

La administración de los riesgos asociados a TI

El incremento de requerimientos para controlar la información

La esencia • El valor
del gobierno • El riesgo
de TI es • El control

4 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Rol del gobierno corporativo

5 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Gobierno de TI (ITG)
TECNOLOGIA DE BUENAS Y
INFORMACION GOBERNADO MEJORES
PRACTICAS

ASEGURA

RECURSOS RIESGOS
USADOS DE INFORMACION
ADMINISTRADOS
MANERA YTECNOLOGIA
DE MANERA
RESPONSABLE RELACIONADA
APROPIADA

SOPORTA

OBJETIVOS
ESTRATEGICOS
DEL NEGOCIO
6 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Gobierno de TI (ITG)
El gobierno de TI es responsabilidad de los
ejecutivos, del consejo de directores y consta de
liderazgo, estructuras y procesos organizacionales
que garantizan que la TI de la empresa sostiene y
extiende las estrategias y objetivos organizacionales.
El ITG es un conjunto de responsabilidades y
practicas usadas por la gerencia de una organización
para proveer dirección estratégica; de ese modo,
asegura que las metas sean alcanzadas, los riesgos
sean debidamente considerados y los recursos
organizacionales sean debidamente utilizados

7 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Gobierno de TI (ITG)
Gobierno de IT tiene que ver con el uso eficaz
de IT para operar el Negocio y permitir su
evolución. IT debe tener vocación de servicio,
ser una herramienta más para el Negocio,
mantener una relación cliente-proveedor.
Es el Negocio el que determina si es eficaz o no
el uso de IT. La misión de IT debe ser responder
adecuadamente a las necesidades actuales y
futuras del Negocio, que ya no puede hacer
nada sin apoyarse en la Tecnología.
Mark Toomey

8 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Gobierno de TI (ITG)

9 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Mejores practicas para el ITG

GOBIERNO
TI

Administración
De Recursos
10 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Ciclo del gobierno de TI

11 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


deTI

12 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


deTI
Planificación Estratégica
de IT: Establecer directrices
para el uso eficaz, eficiente
y aceptable de las IT.

13 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


deTI

Gestión de la Arquitectura
Corporativa: Planificación y
gestión del diseño y la
integración de los
componentes IT.

14 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


deTI

Gestión del Portfolio:


Selección de las
inversiones más
apropiadas.

15 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


deTI

Gestión de Programas:
Supervisión global de los
trabajos requeridos para
ejecutar las inversiones
acordadas.

16 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


deTI

Gestión de Proyectos:
Planificación e
implementación de cada
una de las iniciativas
aprobadas.

17 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


deTI

Gestión de Activos IT:


Aseguramiento de que los
sistemas de información e
infraestructuras
permanecen eficaces,
eficientes y aceptables, y
que son retirados
apropiadamente y/o
reemplazados cuando no
cumplen estos criterios.

18 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


deTI

Gestión de la entrega
del servicio
(operaciones): Provisión
sostenible de un servicio
eficaz, eficiente y
aceptable para entregar
las capacidades
operativas de IT
requeridas por la
organización.

19 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


de TI
Gestión de la Seguridad:
Comprensión y
tratamiento de los riesgos
de la información
(disponibilidad, integridad,
privacidad y autenticidad)
entendiendo por
información aquella
creada y recopilada por la
organización como
consecuencia de las
actividades propias del
negocio.

20 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


deTI

Gestión de la Calidad:
Establecimiento,
aseguramiento y mejora de
los procesos, para
garantizar la mejora
continua de productos y
servicios alineada con los
objetivos de negocio.

21 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Framework para gestión corporativa


deTI
Gestión de Proveedores:
Mejora de la gestión global
de servicios de IT
subcontratados a terceros,
que permita cubrir
plenamente todo el ciclo de
vida de las relaciones con
los proveedores, desde el
momento de la toma de la
decisión de externalizar,
hasta la finalización de
dichas relaciones, pasando
por la administración de los
contratos y seguimiento de
los niveles de servicio.

22 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Comité de estrategia de TI
La creación de este comité es una mejor
practica.
Su radio de acción incluye asesoramiento sobre
estrategia para el gobierno de TI, el valor de la
TI, riesgos y su desempeño.
El medio mas efectivo de apoyo al comité de
estrategia de TI y la gerencia para lograr el
alineamiento de TI al negocio es la utilización de
un cuadro de mando de TI (BALANCED
SCORECARD)

23 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Gobierno de seguridad de la información


Actividad orientada a:
–Garantizar la integridad de la información.
–Continuidad de servicios y
–Protección de activos de información.
En el mundo actual la seguridad se ha
convertido en una parte importante e integral del
gobierno de TI.
La negligencia reducirá la capacidad de una
organización para sacar provecho de las
oportunidades de TI para el mejoramiento del
proceso del negocio.
24 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Panorama general del Gobierno de la seguridad de la


Información
Las organización dependen de la TI y la información que procesa.
Las organizaciones trabajaran con 30 veces la información actual
(Gardner)
El crimen y el vandalismo informático a crecido
Esto ha llevado a que las tareas de protección de la información sea
encargada a niveles mas altos de las organizaciones.
Se esta tomando conciencia de que la información debe ser tratada
con cuidado, precaución y prudencia.
No es suficiente la seguridad de TI, es necesario la seguridad de la
información.
La seguridad de TI se ocupa de la seguridad de la tecnología, la
seguridad de la información se ocupa del universo de riesgos,
beneficios y procesos involucrados con la información y debe ser
impulsada por la dirección ejecutiva y soportada por la junta
25 directiva.
Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Como la seguridad de la información agrega valor


significativo a la organización
Suministrando mayor confianza en
las interacciones con los socios
del negocio

Mejorando la confianza en las


relaciones con los clientes

Protegiendo la reputación de la
organización

Permitiendo nuevas y mejores


formas de procesar las
transacciones electrónicas
26 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Resultados del gobierno de seguridad

• Requerimientos de seguridad
Alineación • Soluciones de seguridad adecuadas para los
estratégica procesos del negocio
• Inversión en seguridad de información

• Comprender el perfil de amenaza,


vulnerabilidad y riesgo
Administración • Comprender la exposición al riesgo y sus
del riesgo consecuencias.
• Priorización y mitigación de riesgos para
alcanzar riesgos residuales aceptables.

27 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Resultados del gobierno de seguridad


• Optimizar las inversiones en seguridad y en
soporte de los objetivos del negocio.
Entrega de
valor • Promover una cultura de mejoramiento
continuo basada en el entendimiento de que
la seguridad es un proceso, no un evento.

• Asegurar que los conocimientos sean


captados y estén disponibles.
Administración
de recursos • Documentar los procesos y las practicas de
seguridad
• Desarrollar arquitecturas de seguridad

• Medir, monitorear y reportar sobre los


Medición del
desempeño
procesos de seguridad de información para
asegurar que se logren los objetivos.

28 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

El marco de gobierno estará constituido


por:
1. Una estrategia comprensiva de seguridad intrínsecamente
vinculada con los objetivos del negocio
2. Políticas de seguridad vigentes que se ocupen de cada
aspecto de la estrategia, controles y regulación
3. Un conjunto completo de estándares para cada política
para asegurar que los procedimientos y lineamientos
cumplan con la política
4. Una estructura organizacional efectiva de seguridad libre de
conflictos de interés
5. Procesos institucionalizados de monitoreo para asegurar el
cumplimiento y proveer retroalimentación sobre la
efectividad.
29 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Arquitectura Empresarial
Implica documentar los activos de TI de una
organización en una forma estructurada para facilitar la
comprensión, la administración y la planificación de las
inversiones de TI. Involucra tanto la representación del
estado actual como futuro de las TIs.
Estructura de Zachman para la Arquitectura
empresarial
Datos Funcional Red Personas Proceso Estrategia
(Aplicación) (Tecnología) (Organización) (Flujo trabajo)
Alcance

Modelo de
empresa
Modelo de
Sistemas
Modelo de
tecnología
Representación
detallada

30 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Arquitectura Empresarial
Completar una EA, se puede hacer desde dos
perspectivas:
–La EA enfocada a la tecnología: trata de aclarar complejas
opciones de tecnología (uso de entornos técnicos
avanzados)
–La EA enfocada en el proceso de negocio: trata de
comprender la organización en términos de procesos
principales que generan valor y sus procesos de soporte.
Nota aclaratoria: en EEUU, por ley, una organización
federal esta obligada a desarrollar una EA y a establecer
una estructura de gobierno de EA que garantice que
esta referenciada y mantenida en todas las actividades
de planificación y presupuestaria de sistemas.

31 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

LECCION: ESTRATEGIA DE SI
Planeación estratégica: relacionado con la
dirección a largo plazo que una organización
quiere seguir para apalancar con TI la mejora de
sus procesos de negocio.
COMITES DE DIRECCION
A pesar de que no es una practica común, se considera
muy conveniente que un miembro de la junta directiva
que entienda de riesgos y los problemas sea el
responsable de dicho comité. El comité debe incluir
representantes de la alta gerencia, gerencia de usuarios
y del departamento de sistemas de información.

32 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Estrategia de los SI
Las funciones primarias realizadas por este comité serian:
–Revisar los planes de largo plazo y corto plazo.
–Revisar y aprobar las adquisiciones importantes o
significativas de hardware y software dentro de los limites
aprobados por la junta directiva.
–Aprobar y monitorear los proyectos importantes o de alta
relevancia, establecer prioridades, aprobar las normas y los
procedimientos y monitorear el desempeño general de los SI.
–Revisar y aprobar los planes para outsourcing.
–Revisar si los recursos y su asignación son adecuados en
función del tiempo, personal y equipo.
–Decidir respecto a la centralización frente a la
descentralización y a la asignación de responsabilidades.
–Soportar el desarrollo e implementación de un programa de
administración de seguridad de información a nivel de la
organización.
–Reportar a la junta directiva sobre las actividades de SI.

33 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

LECCION: POLITICAS Y PROCEDIMIENTOS


Reflejan la guía y dirección de la gerencia
para desarrollar controles sobre los
sistemas de información y recursos
relacionados.
POLITICAS
–Las políticas son documentos de alto nivel.
–Representan la filosofía corporativa de una
organización y el pensamiento estratégico de la alta
gerencia y de los dueños del proceso del negocio.
–Deben ser claras y concisas para que sean efectivas.
–La gerencia debe crear un ambiente positivo de
control, asumiendo la responsabilidad de formular,
desarrollar, documentar y controlar las políticas que
abarcan las metas y directrices generales.

34 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

LECCION: POLITICAS Y PROCEDIMIENTOS


–La gerencia debe emprender las acciones necesarias
para asegurar que los empleados afectados por una
política especifica reciban una explicación completa de
la política y que entiendan cual es su intención y
propósito.
–Es deseable un enfoque top-down (enfoque integral de
arriba hacia abajo) para el desarrollo de las políticas de
mas bajo nivel.
–La administración debe revisar todas las políticas
periódicamente. Es necesario que las políticas sean
actualizadas para que reflejen lo nuevo de la
tecnología y los cambios significativos en los procesos
del negocio que hacen uso de tecnología de
información para obtener eficiencia en productividad o
logros competitivos.

35 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

LECCION: POLITICAS Y PROCEDIMIENTOS


Política de seguridad de la información
–Comunica un estándar coherente de seguridad a los
usuarios, la gerencia y el personal técnico.
–Es un primer paso para construir la infraestructura de
seguridad para las organizaciones impulsadas por
tecnología
–Fija la etapa en términos de que herramientas y
procedimientos se necesitaran para la organización
–Balancean el nivel de control con el nivel de
productividad
–Debe ser aprobada por la alta dirección
–Debe ser documentada y comunicada según sea
pertinente
–Debe ser usada por los auditores de SI como un marco
de referencia.

36 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

LECCION: POLITICAS Y PROCEDIMIENTOS


Que debe contener el documento Políticas
de seguridad de la información:
–Una definición de seguridad de información, objetivos generales,
alcance e importancia.
–Declaración de la intensión de la gerencia soportando metas y
principios de seguridad de información en línea con los objetivos y
estrategias del negocio
–Un marco para fijar los objetivos de control, incluyendo la
estructura de la evaluación y administración del riesgo
–Breve explicación de las políticas de seguridad, principios,
estándares y requisitos de cumplimiento, que incluya:
• Cumplimiento de requisitos legislativos, regulatorios y contractuales
• Requisitos de educación (entrenamiento / conocimiento de seguridad)
• Administración de la continuidad del negocio
• Consecuencias de las violaciones de la política de seguridad
–Una definición de las responsabilidades generales y especificas,
incluyendo el reporte de incidentes de seguridad.
–Referencias a la documentación

37 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

LECCION: POLITICAS Y PROCEDIMIENTOS


PROCEDIMIENTOS
–Los procedimientos son documentos detallados,
deben ser derivados de la política madre y deben
implementar el espíritu (intención) del lineamiento de
política.
–Deben ser escritos en una forma clara y concisa de
modo que sea comprendido fácil y correctamente por
todos los que se deben regir por ellos.
–Documentan procesos de negocios (administrativos y
operativos) y los controles integrados en los mismos.
–Los auditores revisan los procedimientos para
identificar, evaluar y después de ello probar los
controles sobre los procesos de negocio.

38 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

LECCION: GESTION DE RIESGOS


Proceso de identificar las debilidades y las amenazas
para los recursos de información utilizados por una
organización para lograr los objetivos del negocio y
decidir que contramedidas tomar, si la hubiera alguna,
para reducir el nivel de riesgo hasta un nivel
aceptable basado en el valor del recurso de información
para la organización.
Toda organización debe desarrollar un programa de
administración del riesgo:
–Estableciendo el propósito del programa.
–Asignando responsabilidad para el plan, una
persona o un equipo responsable de conducir el
desarrollo del plan.
39 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Proceso de gestión de riesgos


1. Identificar y clasificar recursos de información o
activos que necesiten protección.
– Ejemplos de activos: Información y datos, HW,
SW, Servicios, documentos, personal, etc.
2. Estudiar las amenazas y vulnerabilidades asociadas
con el recurso de información y la probabilidad de
ocurrencia.
– Amenaza: cualquier circunstancia o evento con
el potencial de dañar un recurso de información,
tales como: destrucción, divulgación,
modificación de datos y/o negación del servicio.
Las clases comunes de amenazas son: Errores,
daño/ataque intencional, fraude, robo, falla del
equipamiento/software.
40 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Proceso de gestión de riesgos


Las amenazas ocurren por causa de las
vulnerabilidades (factores de riesgo) asociadas al uso de
recursos de información. Las vulnerabilidades son
características de los recursos de información que
pueden ser explotadas por una amenaza para causar
daño.
–Ejemplos de vulnerabilidades:
• Falta de conocimiento del usuario
• Falta de funcionalidad de la seguridad
• Elección deficiente de contraseñas
• Tecnología no probada
• Transmisión por comunicaciones no protegidas.

41 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

Proceso de gestión de riesgos


El resultado de cualquiera de estas
amenazas se denomina impacto, y puede
tener como consecuencia una perdida
financiera (en el corto o largo plazo).
–Ejemplos de perdidas:
• Perdida directa de dinero (efectivo o crédito)
• Violación de la legislación
• Perdida de reputación / plusvalia
• Peligro potencial para el personal o los clientes
• Violación de la confianza.
• Perdida de oportunidades de negocio
• Reducción en la eficiencia/desempeño operativo
• Interrupción de la actividad del negocio
42 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Proceso de gestión de riesgos


Establecidos los elementos del riesgo, estos se
combinan para formar una visión general del riesgo.
Identificar los riesgos, calculando la vulnerabilidad del
impacto (probabilidad) para cada amenaza.
Luego evaluar los controles existentes o diseñar nuevos
para reducir las vulnerabilidades hasta un nivel
aceptable de riesgo (contramedidas).
El nivel remanente del riesgo (riesgo residual) es el
resultado de aplicar los controles.
La administración de riesgos opera a tres niveles:
–Nivel operativo, nivel de proyecto y nivel
estratégico.
43 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

Proceso de gestión de riesgos


• Riesgos que comprometen la efectividad de los
sistemas e infraestructura, capacidad de evadir
Nivel
controles, perdida o no disponibilidad de
Operativo recursos clave, falta de cumplimiento de leyes y
regulaciones.

• Capacidad de entender y manejar la complejidad


Nivel de de un proyecto y el riesgo de que los objetivos
Proyecto del proyecto no sean cumplidos.

Nivel • Se enfoca en el grado en que la TI esta alineada


Estratégico con la estrategia del negocio.

Una guía practica recomendada para la gestión de


riesgos es ISO 27005, NIST SP-800, MAGERIT
44 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

LECCION: PRACTICAS DE GERENCIA


DE SI
Las practicas de gerencia de sistemas de información
reflejan la implementación de políticas y procedimientos
desarrollados para diversas actividades gerenciales
relacionadas con SI.
Los auditores de SI deben entender y apreciar el grado al
que un departamento bien administrado de SI es crucial
para lograr los objetivos de la organización.
Las actividades de la gerencia para revisar las
formulaciones de políticas y procedimientos y su efectividad
dentro del departamento de SI incluiría las siguientes
practicas:
45 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


ADMINISTRACION DEL PERSONAL
Se refiere a las políticas y procedimientos de la
organización para contratación, promoción, retención y
terminación de contratos.
CONTRATACION
Practica importante que permite asegurar que se escoja
el personal mas eficiente y efectivo y que la compañía
cumpla con los requisitos legales de reclutamiento,
algunos controles comunes: verificar antecedentes,
acuerdos de confidencialidad, fianza para empleados,
acuerdos sobre conflictos de intereses, acuerdos de no-
competencia y exclusividad.
Cuales serian los riesgos asociados?????
46 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


MANUAL DEL EMPLEADO / MANUAL DE INDUCCION
En general debe existir un código de conducta publicado
donde se especifiquen las responsabilidades de todos los
empleados para con la organización.
POLITICAS DE PROMOCION
Deben estar basados en criterios objetivos y deben tomar
en consideración el desempeño, la educación, la
experiencia y el nivel de responsabilidad individual.
ENTRENAMIENTO
Los empleados deben recibir entrenamiento sobre una base
justa y regular basado en las áreas en las que les falte
experiencia y conocimiento.
47 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


CRONOGRAMAS Y REPORTE DE TIEMPO
La preparación adecuada de un cronograma permite una
operación y uso eficiente de los recursos de computación.
El reporte del tiempo permite a la administración monitorear
el desarrollo del proceso.
EVALUACIONDES DEL DESEMPEÑO DE LOS
EMPLEADOS
La evaluación debe ser una norma y una característica
habitual para todo el personal de SI. Se deben fijar
metas/resultados esperados, acordados mutuamente. La
evaluación solo puede ser aplicado a los empleados si el
proceso es objetivo y neutral.

48 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


VACACIONES REQUERIDAS
El disfrute de las vacaciones legales y días feriados
asegura que una vez en el año, como mínimo, alguien
que no sea el empleado titular realice una función de
trabajo. Esto reduce la oportunidad de cometer actos
indebidos o ilegales.
La rotación del trabajo provee un control adicional.
POLITICAS DE TERMINACION DE CONTRATO
Se deben establecer políticas escritas para la
terminación de contratos, que indiquen claramente los
pasos para el retiro de un empleado, es necesario tener
en cuenta los siguientes procedimientos de control:
49 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


–Devolución de todas las llaves de acceso, tarjetas
distintivos de identificación.
–Eliminación de la identificación para iniciar sesión (logon
ID) y las contraseñas para prohibir el acceso al sistema.
–Notificación al personal apropiado y al personal de
seguridad respecto al cambio de situación de empleado
retirado.
–Arreglo para eliminar al empleado de los archivos de
nomina vigente.
–Realización de una entrevista de terminación para recoger
una opinión sobre la percepción que tiene el empleado
sobre la administración.
–Devolución de todos los bienes de la compañía a cargo
del empleado retirado.

50 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


PRACTICAS DE OUTSOURCING
Son acuerdos contractuales por los cuales una
organización entrega el control de parte o la totalidad de las
funciones del departamento de SI a un tercero externo.
Razones para decidirse por el outsourcing
–Enfocarse en las actividades centrales
–Presión sobre los márgenes de ganancia
–Aumentar la competencia que exige ahorro en los costos
–Flexibilidad tanto en la organización como en la
estructura.

51 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


Los servicios brindados por un tercero puede
incluir:
–Captura de datos
–Diseño y desarrollo de nuevos sistemas
–Mantenimiento de aplicaciones existentes
–Conversión de aplicaciones antiguas a nuevas
plataformas
–Operar la mesa de ayuda (help desk) o el centro de
llamadas (call center)

52 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


Ventajas del outsourcing:
–Las compañías de outsourcing pueden lograr economías de
escala por medio del empleo de componentes de SW reutilizable.
–Los proveedores de outosourcing tienen la posibilidad de
dedicarse mas tiempo y concentrarse con mayor efectividad y
eficiencia en un proyecto dado, que el personal de planta.
–Los proveedores de outosourcing tienen probablemente mas
experiencia con un conjunto mas amplio de problemas, aspectos y
técnicas que el personal de planta.
–El acto de desarrollar especificaciones y acuerdos contractuales
para servicios de outsourcing probablemente tenga como
resultado una mejor especificación que si fueran desarrollados
únicamente por y para el personal de planta.
–Como los proveedores de outosourcing son altamente sensitivos
al control de tiempos, las distracciones y cambios que absorben
tiempo permiten minimizar los errores de funcionalidad.

53 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


Posibles desventajas del outsourcing
–Costos que excedan las expectativas del
cliente
–Perdida de la experiencia interna de SI
–Perdida del control sobre SI
–Falla del proveedor (e interrupción del servicio)
–Acceso limitado al producto
–Dificultad para revertir o cambiar los acuerdos
o contratos del outsourcing
–Deficiente cumplimiento de los requerimientos
legales

54 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


El auditor de SI debe estar consciente de las diversas
formas que puede tomar el outosourcing y de los riesgos
asociados, HAY QUE PREOCUPARSE DE:
–Protección del contrato
–Derechos de auditoria
–Continuidad de las operaciones
–Integridad, confidencialidad y disponibilidad de los
datos
–Personal
–Control de acceso / administración de seguridad
–Reporte de violación y seguimiento
–Control de cambios y pruebas
–Control de red
–Administración del desempeño

55 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


CAPACIDAD Y PLANEACION DEL CRECIMIENTO
Que se debe reflejar en los planes de largo y corto
plazo y debe ser considerado dentro del proceso de
evaluación del presupuesto
SATISFACCION DEL USUARIO
Una de las medidas para asegurar una operación
efectiva de procesamiento de la información es
satisfacer los requerimientos de usuario. El
cumplimiento del acuerdo sobre el nivel del servicio
debe ser auditado periódicamente. Este debe
alcanzarse por medio de entrevistas e inspecciones a
los usuarios.
56 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


NORMAS/PUNTOS DE REFERENCIA DE LA
INDUSTRIA
Proveen un medio para determinar el nivel de
desempeño dado por ambientes similares de
información-procesamiento-instalación.
Estas normas o estadísticas de referencia pueden
ser obtenidas de los grupos de usuarios de los
proveedores, de las publicaciones de la industria y
de las asociaciones profesionales.

57 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


GERENCIAMIENTO DE CAMBIOS DE TI
Consiste en administrar los cambios de TI para la
organización, mediante un proceso definido y
documentado para identificar y aplicar mejoras de
tecnología a nivel de infraestructura y aplicaciones que
son beneficiosos para la organización.
PRACTICAS DE GERENCIAMIENTO FINANCIERO
Es un elemento critico en todas las funciones del
negocio. En un ambiente de computación intensivo en
costos, es imperativo que haya practicas correctas de
gerenciamiento financiero.

58 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


LOS PRESUPUESTOS DE SI
Permiten el pronostico, monitoreo y análisis de la
información financiera, permiten una asignación adecuada
de recursos, en particular en un ambiente de sistemas de
información en que los gastos pueden ser intensivos en
costos.
GERENCIAMIENTO DE LA CALIDAD
La administración de la calidad es el medio por el cual se
controlan los procesos que se realizan en el departamento
de SI. Las áreas de control para la administración de la
calidad pueden incluir lo siguiente:

59 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


–El desarrollo, mantenimiento e implementación del SW.
–La adquisición de hardware y software.
–Operación día a día
–Seguridad
–Administración de recursos
–Administración general
Los estándares pertinentes que reciben amplio
reconocimiento y aceptación son la Organización
Internacional para la Estandarización (ISO) 9001
Sistemas de administración de calidad, específicamente
9001:2000 Sistemas de administración de calidad, que
reemplaza al ISO 9000,9001, 9002 Y 9003.

60 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

PRACTICAS DE GERENCIA DE SI - cont


GERENCIAMIENTO DE LA SEGURIDAD DE
INFORMACION.
Provee la función rectora para garantizar que la información
y los recursos de procesamiento de la organización bajo su
control estén debidamente protegidos.
OPTIMIZACION DEL DESEMPEÑO
La medición del desempeño de TI es un proceso dinámico.
Es impulsado por indicadores de desempeño. La
optimización se refiere al proceso de mejorar la
productividad de los sistemas de información al máximo
nivel posible sin inversión adicional innecesaria en
infraestructura de tecnología de la información.

61 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

LECCION: ESTRUCTURA ORGANIZACIONAL Y


RESPONSABILIDAD DE SI

Un departamento de SI esta generalmente estructura


como se muestra a continuación:
Gerente de TI o CIO

Seguridad y Soporte Operaciones


control Aplicaciones Data Técnico

Administrador de Desarrollo / Administrador de Administrador de Administrador de


Seguridad Administrado de Datos/ Administrador Soporte Técnico Operaciones
Control de Calidad Soporte De Base de datos

Programadores Administrador de Programadores de Cintotecario


(Aplicaciones) Redes (LAN/WAN) Sistemas (Sistema Operador de
Analista de Administrador de Operativo) Computadora
Sistemas Sistemas Analista Sistemas Operador de
(Aplicaciones) (Sistema Operativo) (Sistema Operativo) Captura de Datos

62 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDAD


DE SI - cont

SEGREGACION DE FUNCIONES DENTRO DE TI


Los títulos de puestos de trabajo reales y estructuras
organizacionales pueden variar mucho de una organización
a otra, dependiendo del tamaño y de la naturaleza del
negocio.
Es importante determinar la relación entre las funciones,
responsabilidad y autoridad de los puestos de trabajo, para
determinar la adecuada segregación de funciones.
La segregación de funciones es un importante medio por el
cual se pueden prevenir y disuadir actos fraudulentos o
maliciosos.

Tuesday, May 7, 2019 ©


63Edwin Valencia Castillo
Gobierno de Tecnologías de Información

ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDAD


DE SI - cont

• Autorización de transacción
CONTROLES • Custodia de activos
DE • Acceso a los datos
SEGREGACION • Formularios de actualización
DE FUNCIONES • Tablas de autorización de
usuario

64 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDAD


DE SI - cont
CONTROLES COMPENSATORIOS POR FALTA DE
SEGREGACION DE FUNCIONES
En una empresa pequeña donde el departamento de TI puede estar
constituido por cuatro o cinco personas, deben existir medidas de
control compensatorio para mitigar el riesgo resultante de una falta
de segregación de funciones, estos serian:
–Pistas de auditoria
–Conciliación
–Reportes de excepción
–Registros (logs) de transacciones
–Revisiones de supervisión
–Revisiones independientes

65 Tuesday, May 7, 2019 © Edwin Valencia Castillo


Gobierno de Tecnologías de Información

CONTROL DE SEGREGACION DE FUNCIONES

Mesa de ayuda y gerente 

Programador de sistemas
Administrador de redes
Analista de sistemas

Control de calidad
Administrador de 

Administrador de 
Grupo de control

Programador de 

Ingreso de datos

computadores
Operador de 
Usuario final

Cintotecario
aplicaciones

de soporte

seguridad
sistemas
DBA
Grupo de control X X X X X X X X X
Analista de sistemas X X X X X X
Programador de 
aplicaciones X X X X X X X X X X X
Mesa de ayuda y 
gerente de soporte X X X X X X X X X X
Usuario final X X X X X X X X X
Ingreso de datos X X X X X X X X X
Operador de 
computadores X X X X X X X X X X
DBA X X X X X X X X X
Administrador de redes X X X X X X X X
Administrador de 
sistemas X X X X X X X
Administrador de 
seguridad X X X X X X
Cintotecario X X X X X X X X
Programador de 
sistemas X X X X X X X X X X
Control de calidad X X
66 Tuesday, May 7, 2019 © Edwin Valencia Castillo
Preguntas?

© Edwin Valencia Castillo