INTRODUCCION

El auditor de sistemas debe evaluar las estrategias las políticas y los procedimientos para determinar
el nivel de participación de la alta dirección de Tei en la estrategia general de negocio.

Y por igual para evaluar la importancia que sería ofrecer al en este capítulo aprenderemos sobre
gobierno corporativo sobre políticas procedimientos Planes de Continuidad del Negocio segregación
de funciones entre otros aspectos necesarios para comprender cómo han
gestionado.Departamento de Tecnología.

GOBIERNO CORPORATIVO

El gobierno corporativo un gobierno corporativo es un conjunto de responsabilidades y prácticas

usadas por la gerencia de una organización para proveer dirección estratégica.

• Garantizar que las metas se pueden alcanzar.

• Que los riesgos sean manejados de manera adecuada
• Los recursos organizacionales sean utilizados apropiadamente.

El gobierno corporativo incluye un conjunto de relaciones entre la dirección de una compañía su

consejo de dirección sus accionistas y otras partes interesadas.

GOBIERNO DE TI

El Gobierno y el gobierno de y de la empresa es un mecanismo en el cual todas las partes interesadas

incluyendo el Consejo clientes y departamentos internos tales como finanzas contabilidad entre
otros proporcionan una entrada en el proceso de toma de decisiones.

El Gobierno se enfoca en la custodia de los recursos DTI a nombre de las partes interesadas.

Es importante señalar que las partes interesadas o los llamados a éste y otros pueden ser los clientes
proveedores empleados directivos gerentes propietarios y la comunidad.

El Gobierno RTI trata dos temas principales dentro de la organización que son generación de valor
y gestión de riesgos a través de procesos que incluyen gestión de recursos de TI que se basa en un
inventario actualizado de todos los recursos DTI y trata el proceso de gestionar riesgos.

La medición de desempeño que busca asegurar que todos los recursos de TI tengan el desempeño
esperada y gestión de cumplimiento que busca implementar procesos que cubran los
requerimientos de cumplimiento de contratos políticas legales y regulatorias dentro del gobierno y
la seguridad de la información debe convertirse en una actividad a la que se concentra mucha
atención principalmente sobre los temas específicos como confidencialidad integridad
disponibilidad continuidad de servicios y protección de los activos de información de manera que la
seguridad de la información debe convertirse en una parte importante e integral del Gobierno de
TI.
POLÍTICAS Y PROCEDIMIENTOS.

Las políticas son documentos de alto nivel que reflejan la filosofía corporativa de una organización.

éstas deben ser claras y específicas para que sean efectivas.

La gerencia debe realizar acciones necesarias para comunicar y explicar las políticas a los empleados
afectados de manera que entiendan cuál es su propósito.

La gerencia debe revisar todas las políticas periódicamente.

Es preferible que estos documentos especifiquen la fecha de la última revisión de manera que el
auditor de sistemas pueda validar que las revisiones se realicen los auditores de sistemas deben
tomar en cuenta que las políticas de la organización son parte del alcance de la auditoría y deben
comprobar su cumplimiento.

Los controles de los sistemas de información deben fluir de las políticas de la empresa y los auditores
del sistema deben usar las políticas como un punto de comprobación para evaluar el cumplimiento.

Sin embargo en caso de existir políticas que obstaculicen el logro de los objetivos del negocio se
deban reportar para que sean evaluadas y actualizadas.

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Una política de seguridad comunica un estándar de seguridad a los usuarios a la gerencia y al

personal técnico.

Una política de seguridad de la información es el primer paso hacia la construcción de la

infraestructura de seguridad para la organización.

Las políticas a menudo definirán el escenario en términos de qué herramientas y procedimientos se

necesitan para la organización.

Las políticas deben equilibrar el nivel de control con el nivel de productividad el costo de un control
nunca debe exceder el beneficio que se espera obtener.

La política de seguridad debe ser aprobada por Alta Dirección y debe ser documentada y
comunicada a todos los empleados y proveedores de servicios según sea pertinente.

La política de seguridad debe ser usada por los auditores como un marco de referencia para realizar
diferentes asignaciones de auditoría.

La suficiencia y pertinencia de la política de seguridad también está sujeta a revisión.

DOCUMENTACIÓN DE LA POLÍTICA DE LA SEGURIDAD

El estándar ISO veinti siete mil uno así como la directriz ISO veinti siete mil dos pueden
considerarse como referencia para el contenido del documento de la política de seguridad de la
información.

Este documento debe contener una

• definición de seguridad de la información su objetivo su alcance y la importancia de la
misma.
• Una declaración de la intención de la gerencia que apoye las metas y los principios de
seguridad de la información un marco para fijar objetivos de control y los controles
incluyendo la gestión de riesgo.
• Una explicación breve de las políticas estándares y requisitos de cumplimiento de mayor
importancia para la organización incluyendo el cumplimiento de los requisitos legislativos
o regulatorios y contractuales requerimientos de capacitación y concienciación de
seguridad gestión de la continuidad del negocio y consecuencias de la violación de la
política de seguridad de la información.
• Una definición de las responsabilidades generales para la Gerencia de Seguridad de la
información.
• Referencias a la documentación que puede respaldar la política como por ejemplo
estándares el procedimiento detallado de seguridad.
• Esta política de seguridad de la información debe ser comunicada a todos los usuarios de
la organización.
• Debe ser fácil de comprender y accesible.