RIESGO OBJETIVOS DE CONTROL DEL MGCTI REFERENCIA NARRATIVA FRECUENCIA (1) TIPO DE PRUEBA (2) PASOS DE TRABAJO (3)

ERENCIA NARRATIVA FRECUENCIA (1) TIPO DE PRUEBA (2) PASOS DE TRABAJO (3) RESULTADOS REFERENCIA DOCUMENTAL OBSERVACIÓN
GG01. Establecer y mantener Marco de Gobierno
01. Evaluar sistema de gobierno
02. Orientar sistema de gobierno
03. Supervisar sistema de gobierno
PO01. Definir marco de gestión 1.- Analizar que el organigrama se encuentre actualizado
01. Definir estructura organizativa 2.- Analizar que las funciones se encuentren actualizadas
02. Establecer roles, responsabilidades y funciones 3.- Verificar que las políticas de TI se encuentren actualizadas, o se comprueben mecanismos de actualización
03. Definir y mantener políticas 4.- Verificar que los propietarios de datos designados, se encuentren nombrados oficialmente en actas de directorio o comité
04. Comunicar los objetivos y dirección de la gestión
05. Optimizar la ubicación de la gestión de TI
06. Definir la propiedad de la información y/o sistemas
07. Mantener el cumplimiento de las políticas y procedimientos
08. Optimizar la ubicación de la función de SI
PO02. Gestionar estrategia 1.- Verificar que la planificación estratégica se encuentre actualizada y acorde a las políticas de la financiera
01. Desarrollar la planificación estratégica de TI 2.- Verificar que lo plasmado en el Plan Estratégico, se va ejecutando de acuerdo a lo previsto, analizando si, en caso de no ejecución, los motivos debidamente justificados
02. Comunicar la estrategia y la dirección de TI
03. Monitorear la planificación estratégica de TI
PO03. Gestionar arquitectura 1.- Verificar que exista un modelo de clasificación de la información actualizado
01. Definir la arquitectura de TI 2.- Verificar si existe un mecanismo de actualización del Diccionario de Datos
02. Actualizar la arquitectura de TI
PO04. Gestionar Presupuesto 1.- Solicitar el presupuesto de TI aprobado
01. Priorizar la asignación de recursos 2.- Analizar la ejecución presupuestaria de acuerdo a lo establecido en el manual:
02. Crear y mantener el presupuesto 2.1.- Verificar la correcta documentación de los presupuestos
03. Monitorear el presupuesto 2.2.- Analizar si la ejecución presupuestaria, se encuentra acorde a los objetivos de la financiera
PO08. Gestionar seguridad 1.- Solicitar el programa de trabajo anual del oficial de seguridad
01. Establecer y mantener el SGSI 2.- Verificar si existen los informes elevados al Directorio, respecto a la gestión
02. Identificar y evaluar riesgos 3.- Verificar la existencia de una matriz de riesgo de seguridad
03. Definir y gestionar el plan de tratamiento de riesgos de la seguridad de la información 4.- Verificar la gestión de riesgos de seguridad, por parte del Oficial de Seguridad
04. Supervisar y revisar el SGSI
ALTO - MEDIO AI01 Gestionar Proyectos
01. Definir estándar para la gestión de proyectos DIARIA MUESTRAL/ANÁLISIS 1.- Tomar universo de proyectos VER REF EN:
02. Realizar estudio de viabilidad 2.- Si los proyectos son sólo mantenimiento
03. Planificar el proyecto 2.1.- Listar los objetos puestos en producción
04. Gestionar la calidad del proyecto 2.2.- Seleccionar una muestra de 25 casos
05. Gestionar los riesgos del proyecto 3.- Verificar que existan:
06. Gestionar y controlar los proyectos 3.1.- Solicitud, aprobación, prioridad
07. Cerrar los proyectos 3.2.- Pruebas del usuario y conformidad
AI02. Gestionar requerimientos de soluciones 4.- Paso a Producción
01. Definir y mantener requerimientos técnicos y funcionales 4.1.- Listar desde el ambiente de desarrollo todos los usuarios incluídos
02. Gestionar riesgos de los requerimientos 4.2.- Verificar los permisos que tiene (administración, programador)
03. Obtener aprobación de los requerimientos 4.3.- Listar desde el ambiente de producción todos los usuarios
AI03. Construir y mantener soluciones 4.4.- Cruzar la información entre el listado de desarrollo y el de producción
01. Diseñar soluciones 5.- Versionamiento
02. Desarrollar soluciones 5.1- Analizar si se lleva a cabo un proceso de versionamiento de objetos que se ponen en producción
03. Adquirir los componentes de la solución 6.- Eficiencia.
04. Construir las soluciones 6.1.- Si existen usuarios programadores que pasan a producción, todo el proceso no tiene sentido
05. Realizar controles de calidad
06. Mantener soluciones 2.- Para los casos de proyectos grandes
AI04. Implementar soluciones 2.1.- Analizar todo el proceso escrito en el MGCTI, respecto a la documentación requerida
01. Elaborar el plan de implementación 2.2.- En caso de existir migración de datos, verificar la documentación
02. Planificar la conversión de sistemas y datos 2.3.- Verificar el análisis completo del proyecto
03. Planificar las pruebas de aceptación
04. Establecer el entorno de pruebas
05. Ejecutar las pruebas de aceptación
06. Transferir a producción
07. Entregar soporte
08. Realizar revisión post-implementación
AI05.Gestionar cambios
01. Evaluar, priorizar y autorizar las solicitudes de cambio
02. Gestionar los cambios de emergencia
03. Realizar seguimiento e informar de los cambios de estado
04. Cerrar y documentar los cambios
AI06. Gestionar activos 1.- Verificar las altas de hardware y software
01. Identificar y registrar activos 2.- Verificar que se encuentren documentadas las facturas de compras correspondientes
02. Gestionar ciclo de vida de activos 3.- Verificar que las compras se encuentren debidamente justificadas, y se encuentren dentro de los parámetros de análisis de presupuestos
03. Gestionar licencias 4.- Verificar que se hayan actualizado los intentarios de software y hardware
ES01. Gestionar operaciones
01. Ejecutar los procedimientos operativos
02. Monitorear los servicios tercerizados de TI
03. Supervisar la infraestructura de TI
04. Gestionar las instalaciones
ES02. Gestionar solicitudes e incidentes de servicios 1.- Solicitar el universo de incidentes
01. Definir la clasificación de incidentes y solicitudes de servicio 2.- Analizar la resolución correspondiente que quede plasmada en RED MINE
02. Registrar, clasificar y priorizar los incidentes y solicitudes de servicios 3.- Analizar que todos los tickets hayan sido cerrados, una vez que finaliza
03. Verificar, aprobar y resolverlas soluciones de servicio 4.- Analizar el tiempo de resolución de los incidentes
04. Investigar, diagnosticar y escalar incidentes
05. Resolver los incidentes
06. Cerrar los incidentes y las solicitudes de servicio
07. Realizar el seguimiento de los incidentes y las solicitudes de servicio
ES04. Gestionar continuidad 1.- Verificar que se haya realizado el análisis de impacto del negocio
01. Definir la política de continuidad de TI 2.- Verificar que se haya probado en forma anual el plan de contingencias
02. Evaluar la estrategia de continuidad de TI 3.- Verificar que se haya probado con los proveedores críticos
03. Implementar la estrategia de continuidad de TI 4.- Analizar si el plan se encuentra desactualizado
04. Probar el plan de continuidad de TI
05. Mantener el plan de continuidad de TI
06. Planificar y realizar los entrenamientos
07. Gestionar el respaldo y la restauración de los datos
ES05. Gestionar servicios de seguridad 1.- Solicitar las Altas/Bajas/Modificaciones y ver si cumplen con los controles establecidos
01. Implementar la protección contra software malicioso (malware) 2.- Verificar que los servicios de Seguridad, se encuentren contemplados en el plan de seguridad
02. Gestionar la seguridad de redes y conexiones 3.- Verificar que existan reportes a la alta gerencia sobre incidentes de seguridad
03. Gestionar la seguridad de equipos y dispositivos 4.- Analizar los accesos al Centro de Cómputos y como se documenta
04. Gestionar la identidad y el acceso
05. Gestionar el acceso físico a los activos de TI
06. Gestionar los eventos de seguridad
ES06. Gestionar controles de procesos 1.- Verificar que existan procedimientos de control de errores y excepciones de datos
01. Controlar el procesamiento de la información 2.- Verificar que se documenten las soluciones, respecto a los errores
02. Gestionar errores y excepciones
03. Asegurar la protección y trazabilidad
REFERENCIA MATRIZ DE RIESGO

ALTO - ALTO
ALTO - MEDIO
ALTO -BAJO

MEDIO - ALTO
MEDIO - MEDIO
MEDIO - BAJO

BAJO - ALTO
BAJO - MEDIO
BAJO - BAJO