Preocupaciones de la Gerencia:
1. Nivel de dependencia de tecnología.
2. Gerencias usuarias no se involucran en manejo ti
3. Falta de integración de tecnología
4. Avance tecnológico
5. Asegurarse que los controles se cumplan
Cuando llevar a cabo la auditoria:
1. Antes de cesar en las funciones como Gerente.
2. Al asumir el cargo de Gerente o que no se haya efectuado la auditoria
3. Al iniciar o culminar el año o periodo de trabajo
5. Cuando se presenta falta de control en organigrama
6. Dentro de un lapso de tiempo prudencial posterior al periodo de prueba
1 PETI: establece planes de acción
2 Organización y funciones del área ti MOF organigrama
3 Comité de sistemas: Toma decisiones para el área TI
4 Políticas y procedimientos sistemas / TI
 gestión de cambios de infraestructura
 Procedimientos de gestión de cambios de aplicaciones
 Procedimientos de creación de usuarios
 Procedimientos de instalación y configuración de sistemas
5 Aseguramiento del cumplimiento de Requerimientos Externos.
• Revisión de Requerimientos Externos
• Prácticas y Procedimientos para el Cumplimiento de Requerimientos
Externos
• Cumplimiento de los Estándares de Seguridad y Ergonomía
• Privacidad, propiedad intelectual y Flujo de Datos
• Cumplimiento con los Contratos de Seguros
6 Evaluación/Análisis de Riesgos.
• Evaluación del Riesgo del Negocio en relación con los sistemas
• Enfoque de Evaluación de Riesgos
• Identificación de Riesgos
• Medición de Riesgos
• Plan de Acción contra Riesgos
• Aceptación de Riesgos
• Selección de seguridades o salvaguardas
• Compromiso con el análisis o evaluación de riesgos
7 Administración de Calidad.
• Enfoque de Aseguramiento de Calidad
• Planeación del Aseguramiento de Calidad
• Revisión del Aseguramiento de Calidad sobre el Cumplimiento de
Estándares y Procedimientos de TI
• Metodología del Ciclo de Vida de Desarrollo de Sistemas
8 Requerimientos de Soluciones Automatizadas.
• Definición de Requerimientos de Información
• Formulación de Cursos de acción Alternativos
• Formulación de la Estrategia de Adquisición
• Requerimientos de Servicios de Terceros
• Estudio de Factibilidad Tecnológica
• Estudio de Factibilidad Económica
• Arquitectura de Información
• Reporte de Análisis de Riesgos
• Controles costo-efectivos de Seguridad
9 Adquisición y Mantenimiento de Infraestructura Tecnológica.
• Evaluación de Nuevo Hardware y Software
• Mantenimiento Preventivo para Hardware
• Seguridad del Software del Sistema
• Instalación del Software del Sistema
• Mantenimiento del Software del Sistema
10 Definición y Administración de Niveles de Servicio.
• Marco de Referencia para los acuerdos de Nivel de Servicio
• Aspectos sobre los Acuerdos de Nivel de Servicio
• Procedimientos de desempeño
• Monitoreo y Reporte
• Revisión de Convenios y Contratos de Nivel de Servicio
• Elementos sujetos a Cargo
• Programa de Mejoramiento del Servicio
11 Administración de Servicios Prestados por Terceros.
• Coordinación con Proveedores
• Contratos con Terceros
• Calificaciones de Terceros
• Contratos con Fuentes Externas
• Continuidad de Servicios
• Relaciones de Seguridad
• Monitoreo
12 Administración de Desempeño y Capacidad.
• Requerimientos de Disponibilidad y Desempeño
• Plan de Disponibilidad
• Monitoreo y Reporte
• Herramientas de Modelado
• Administración Proactiva del desempeño
• Pronóstico de Carga de Trabajo
• Manejo de Capacidad de Recursos
• Disponibilidad de Recursos
13 Asegurar el Servicio Continuo.
• Marco de Referencia para Continuidad de TI
• Estrategia y Filosofía del Plan de Continuidad de TI
• Contenido del Plan de Continuidad de TI
• Requerimientos de Continuidad de TI
• Mantenimiento del Plan de Continuidad de TI
• Prueba del Plan de Continuidad de TI
• Capacitación para el Plan de Continuidad de TI
• Distribución del Plan de Continuidad de TI
• Procedimientos de Respaldo del Procesamiento Alterno en el
Departamento Usuario
• Recursos críticos de TI
• Respaldo del Sitio y del Hardware
• Almacenamiento de respaldos en el sitio alterno
14 Garantizar la Seguridad de Sistemas.
• Manejo de las Medidas de Seguridad
• Identificación, Autenticación y Acceso
• Seguridad de Acceso a Datos en Línea
• Administración de Cuentas de Usuario
• Revisión Gerencial de Cuentas de Usuario
• Reportes de Actividades de Violación y Seguridad
15 (opcional)Identificación y Asignación de Costos.
• Elementos Sujetos a Cargo
• Procedimientos de Costeo
• Procedimientos de Cargo y Facturación a Usuarios
16 Educación y Entrenamiento de Usuarios.
• Identificación de necesidades de entrenamiento
• Organización de Entrenamiento
• Entrenamiento sobre principios y conciencia de Seguridad
17 Administración de la Configuración.
• Registro de la Configuración
• Estándar de la Configuración
• Control de la Configuración
• Software no Autorizado
• Almacenamiento de Software
• Procedimientos para la administración de la configuración
18 Administración de Problemas e Incidentes.
• Sistema de administración de Problemas
• Escalamiento de Problemas
• Seguimiento de Problemas y Pistas de Auditoria
• Autorizaciones de acceso temporales y de emergencia
• Prioridades para procesamiento de emergencia
19 Administración de instalaciones
• Seguridad Física
• Bajo Perfil de las Instalaciones de Tecnología de Información
• Escolta de Visitantes
• Protección contra Factores Ambientales
• Suministro Ininterrumpido de Energía
20 Administración de operaciones
• Manual de Instrucciones y Procedimientos para las Operaciones de
procesamiento
• Programación de Trabajos
• Bitácoras de Operaciones
• Operaciones Remotas