Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Taller Cobit

    Cargado por

    Nazly Moreno
    77 vistas5 páginas
    Taller cobit

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Taller cobit

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    77 vistas5 páginas

    Taller Cobit

    Cargado por

    Nazly Moreno
    Taller cobit

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    FACULTAD DE CONTADURÍA PÚBLICA

    AUDITORIA DE SISTEMAS DE INFORMACION

    ALEJANDRA POLANCO
    DAYANA VILLAMIL FAJARDO
    NAZLY MORENO CASTAÑO
    HACKIN RODRIGUEZ

    TALLER COBIT - CATALIZADOR “PROCESOS”

    PÁGINA 197 DEL DOCUMENTO “COBIT5-PROCESOS CATALIZADORES.PDF”:


    PROCESO: DSS06 GESTIONAR CONTROLES DE PROCESO DE NEGOCIO

    Para dicho proceso resolver el siguiente cuestionario:

    1. Por qué el proceso asignado únicamente describe algunas metas de TI y no las 17


    existentes

    2. Seleccione una meta de TI y una meta de proceso, por cada una explique una de las
    métricas relacionadas

     METAS TI: Entrega de servicios TI de acuerdo a los requisitos del negocio


     METRICA RELACIONADA: Número de interrupciones del negocio debidas a
    incidentes en el servicio
    La situación anterior se presenta cuando dentro de una compañía no se puede
    llevar a cabo un proceso vital que afecta directamente el negocio, debido a una
    falla dentro de los servicios de TI, por ejemplo cuando se da una falla dentro del
    sistema de facturación lo que impide que la compañía pueda entregar sus pedidos
    durante una semana, lo cual interrumpe el negocio.

     META DEL PROCESO: El inventario de roles, responsabilidades y derechos da


    acceso está alineado con las necesidades autorizadas de negocio.
    FACULTAD DE CONTADURÍA PÚBLICA
    AUDITORIA DE SISTEMAS DE INFORMACION

     METRICA RELACIONADA: Porcentaje de roles de proceso de negocio con


    derechos de acceso y niveles de autorización asignados
    Se debe especificar las personas que tendrán acceso al sistema de información y
    definir una política de control de los accesos, procedimientos seguros de inicio de
    sesión, gestión de contraseñas para este tipo de usuario, uso de herramientas de
    administración de sistemas, control de acceso a los softwares y además definir
    cuáles son los límites de dichos accesos.

    3. En la matriz RACI seleccione un rol (o estructura) y explique la asignación de su nivel


    de responsabilidad para una de las prácticas clave de gobierno

    ROL: PROPIETARIOS DE LOS PROCESOS DE NEGOCIO

    DSS06.01 Alinear las actividades de control embebidas en los procesos de negocio


    con los objetivos corporativos.

    En esta práctica los propietarios de los procesos de negocio, son los responsables de
    alinear las actividades de control con los objetivos corporativos en los procesos del
    negocio, además coordina con el equipo de trabajo la implementación de la práctica, son
    los líderes del equipo de trabajo.
    DSS06.02 Controlar el procesamiento de la información

    En esta práctica, los propietarios de los procesos del negocio, al igual que en la anterior,
    son los responsables del control en el proceso de la información relacionada con el
    negocio, deberán determinar los cargos que designaran para el procesamiento de esta y
    hasta qué punto llegaran en este y que información será la que se procesara. Además de
    garantizar la ejecución de las actividades de proceso de negocio y controles relacionados,
    basados en el riesgo corporativo, para asegurar que el procesamiento de la información
    es válido, completo, preciso, oportuno y seguro (es decir, refleja el uso de negocio
    autorizado y legitimado)
    FACULTAD DE CONTADURÍA PÚBLICA
    AUDITORIA DE SISTEMAS DE INFORMACION

    DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de


    autorización

    Los propietarios de los procesos del negocio serán los responsables de gestionar esta
    práctica dentro de la organización, implementando una política de control de los accesos,
    procedimientos seguros de inicio de sesión, gestión de contraseñas para cada tipo de
    usuario, uso de herramientas de administración de sistemas, control de acceso a los
    softwares y además definir cuáles son los límites de dichos accesos.
    Adicionalmente, autoriza el acceso a cualquier activo de información relativo a los
    procesos de información del negocio, incluyendo aquellos bajo la custodia del negocio,
    de TI y de terceras partes. Esto asegura que el negocio sabe dónde están los datos y
    quien los está manejando en su nombre

    DSS06.04 Gestionar errores y excepciones.

    Los propietarios del proceso de negocio serán los que dan cuentas de esta práctica,
    además son los responsables de la implementación o no de la práctica y responden por el
    porqué de su decisión, además facilitan la corrección de dichos errores, incluyen
    escalada errores y excepciones en los procesos de negocio y la ejecución de acciones
    correctivas definidas. Esto proporciona garantía de precisión e integridad del proceso de
    información del negocio.

    DSS06.05 Asegurar la trazabilidad de los eventos y responsabilidades de


    información.

    Los propietarios del proceso de negocio dan cuentas y responden por la implementación
    de esta práctica para asegurar que la información de negocio puede ser rastreada hasta
    los responsables y eventos de negocio que la originan. Esto permite trazabilidad de la
    información a lo largo de su ciclo de vida y procesos relacionados. Proporciona garantías
    de que la información que conduce el negocio es de confianza y ha sido procesada
    acorde a los objetivos definidos.
    FACULTAD DE CONTADURÍA PÚBLICA
    AUDITORIA DE SISTEMAS DE INFORMACION

    DSS06.06 Asegurar los activos de información.

    Asegurar los activos de información accesibles por el negocio a través de los métodos
    aprobados, incluyendo la información en formato electrónico (tales como métodos para
    crear nuevos activos en cualquier forma, dispositivos portátiles, aplicaciones de usuario y
    dispositivos de almacenamiento), información en formato físico (tales como documentos
    fuente o informes de salida) e información en tránsito. Esto beneficia al negocio
    proporcionando una salvaguarda de la información de comienzo a fin.
    En esta práctica los propietarios del proceso de negocio, son los que dan cuentas de la
    respectiva aplicación de políticas de clasificación de datos y uso aceptable y seguridad y
    los procedimientos para proteger los activos de información bajo el control del negocio, de
    proporcionar concienciación y formación de un uso aceptable, de restringir el uso, la
    distribución y el acceso físico a la información acorde a su clasificación, de identificar e
    implementar procesos, herramientas y técnicas para verificar razonablemente el
    cumplimiento y de informar al negocio y otros grupos de interés acerca de violaciones y
    desviaciones.

    4. Justifique una de las entradas al proceso, una salida del proceso y una actividad del
    proceso

    DSS06.03 Gestionar roles, responsabilidades, privilegios de acceso y niveles de


    autorización. Gestionar los roles de negocio, responsabilidades, niveles de autoridad y
    segregación de tareas necesarias para apoyar los objetivos del proceso de negocio.
    Autorizar el acceso a cualquier activo de información relativo a los procesos de
    información del negocio, incluyendo aquellos bajo la custodia del negocio, de TI y de
    terceras partes. Esto asegura que el negocio sabe dónde están los datos y quien los está
    manejando en su nombre.
    FACULTAD DE CONTADURÍA PÚBLICA
    AUDITORIA DE SISTEMAS DE INFORMACION

    ENTRADA. EDM04.02 Responsabilidades asignadas para la gestión de recursos.


    A través de esta práctica se puede identificar las responsabilidades asignadas a los
    diferentes roles de la organización, así como el nivel de autoridad; es por esta razón que
    se debe contar con un formato de roles y responsabilidades que permita establecer,
    acordar, delimitar y comunicar roles y responsabilidades relativos a TI para todo el
    personal de la empresa así como el nivel de autoridad, de acuerdo con las necesidades y
    los objetivos del negocio.

    SALIDA: Responsabilidades y roles asignados.

    Al contar con los roles y responsabilidades definidos y delimitados se puede identificar


    quién es el responsable de la realización de alguna tarea teniendo en cuenta que se debe
    ajustar al rol, responsabilidad y nivel de autoridad acordado para este, además permite
    identificar quien la realizó y si este tiene acceso o privilegios sobre determinada opción del
    sistema.

    ACTIVIDAD

    2. Asignar niveles de autoridad para la aprobación de transacciones, límites y


    cualquier otra decisión relativa a los procesos de negocio, basadas en los roles de
    trabajo aprobado.

    Esta actividad indica que se debe definir quién es el personal encargado sobre alguna
    actividad de la organización, que se debe delimitar quien aprueba las transacciones,
    quienes tienen asignadas las actividades de acuerdo a los procesos del negocio, todo
    esto teniendo en cuenta los roles que le han sido asignados.

    También podría gustarte