Documentos de Académico
Documentos de Profesional
Documentos de Cultura
pruebas de auditoría
Unidad N° 1
Clase 1
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Control y Auditoría de la
Estrategia de TI
Auditoría de la Estrategia de TI
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Contenidos
Introducción
Principios Generales
Estrategia de TI
Comité de Seguimiento
Alineación de TI
Planificación Estratégica de TI
Entrega de valor a través de TI
Fundamentos de gobierno de TI
Organización de TI
Evaluación de la Estrategia de TI
Criterios de Evaluación
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Objetivos
Estos aspectos, entre otros, hacen que resulte de vital importancia contar con una
estrategia de TI que permita gestionar y organizar los recursos tecnológicos en forma
apropiada.
Principios Generales
Para una adecuada gestión de los recursos tecnológicos, es necesario contar con:
Gobierno de TI (sinergia
Alineación Estratégica Planificación Estratégica Entrega de Valor
con las áreas usuarias)
Prácticas gerenciales
efectivas (administración
Administración de
Organización de TI de la calidad, Innovación Tecnológica
riesgos tecnológicos
evaluación, gestión del
desempeño, etc.)
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Estrategia de TI
El proceso de gestionar y mantener una visión estratégica a fin de alinear e integrar las estrategias y
planes de TI con el negocio se denomina gestión estratégica de TI.
Principales Actividades
Evaluar iniciativas y situación actual de TI
Evaluar competencias actuales
Fijar el rumbo tecnológico
Consensuar la estrategia con el Comité de Dirección
Determinar los requerimientos para las iniciativas
Desarrollar y priorizar iniciativas
Supervisar el desarrollo del plan estratégico de TI
Coordinar, facilitar y gestionar actividades de estrategia tecnológica
Supervisar el desarrollo de capacidades
Comunicar el resultado de las actividades
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Estrategia de TI
Las políticas y procedimientos reflejan la guía y dirección de la gerencia para desarrollar controles sobre
los sistemas de información y recursos relacionados.
Comité de Seguimiento
Planificación Estratégica de TI
Alineación de TI
Las necesidades de TI
Para mantener una
Requiere
instalación informática
Que los máximos
La necesidad
funcionando, disponer
de recursos no responsables de la
compañía decidan Es del negocio, no de
obsoletos,
experimentar un nivel afrontar el problema de TI
de reclamos de los TI desde un punto de
usuarios adecuado vista global.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Planificación Estratégica de TI
El proceso de planificación de TI
Fase 0: Determinar
el contexto y el
Fase 1: Determinar Fase 2: Establecer
alcance del plan de
las necesidades de arquitecturas y Fase 3: Determinar Fase 4: Preparar y
los sistemas de
información y opciones de soluciones entregar el plan de
información para la
respaldo para la información para las estratégicas. implementación.
compañía en su
compañía soluciones.
contexto de
negocios
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Planificación Estratégica de TI
Fase 0: Determinar el contexto y el alcance del plan de los sistemas de información para la compañía en su contexto de negocios.
Iniciar el Estudio
Se determina
Participación
el alcance de Organización y Establecimien
Se estudia el e información
Se identifican las actividades sesión to del
contexto, el de otros
los requisitos paralelas informativa cronograma
alcance y las miembros
previos esenciales y se para el grupo inicial para la
atribuciones claves de
da inicio a de conducción entrevista
gestión
ellas
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Planificación Estratégica de TI
Fase 1: Determinar las necesidades de información y respaldo para la compañía.
Planificación Estratégica de TI
Fase 2: Establecer arquitecturas y opciones de información para las soluciones.
a) Evaluación de las aplicaciones actuales y el estado técnico de TI, así como la adaptación de TI a
las necesidades
Esquema del plan de acción para cada área débil de alta prioridad.
Planificación Estratégica de TI
Fase 2: Establecer arquitecturas y opciones de información para las soluciones (Cont.)
Planificación Estratégica de TI
Fase 2: Establecer arquitecturas y opciones de información para las soluciones (Cont.)
Planificación Estratégica de TI
Fase 2: Establecer arquitecturas y opciones de información para las soluciones (Cont.)
d) Generar una justificación sobre la base de costos y beneficios para satisfacer las necesidades
Planificación Estratégica de TI
Fase 3: Determinar soluciones estratégicas
Especificación de volúmenes de
Base para el desarrollo de Actualizaciones a las
trabajo y otros requisitos de
estrategia de migración a la arquitecturas emergentes de
tecnología para respaldar las
solución propuesta. información, según convenga.
soluciones.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Planificación Estratégica de TI
Fase 3: Determinar soluciones estratégicas (Cont.)
Planificación Estratégica de TI
Fase 4: Preparar y entregar el plan de implementación
c) Preparar el plan de
a) Preparar el plan para
b) Preparar el plan de desarrollo para la e) Presentar planes y
los proyectos de las d) Integrar costos y
proyectos técnicos para organización y el negociar la
aplicaciones y las bases justificación de casos
TI conocimiento técnico y implementación
de datos
los recursos
•Determinación de las •Determinación de la •Determinación de las •Proporcionar •Planes acordados
soluciones preferidas solución estratégica soluciones para la justificación para los •Aplicación
para aplicaciones preferida de organización y planes de aplicaciones, •Tecnología
estratégicas. tecnología. conocimientos técnicos TI y recursos humanos.
•Conocimientos
•Finalizar el plan de •Finalización del plan y recursos necesarios. •Resultados de las técnicos y recursos
desarrollo e de desarrollo para el •Finalización del plan negociaciones con los
•Compromisos
implementación para equipo informático, el de desarrollo para la participantes directos
presupuestarios
las aplicaciones y las software, las organización de los para asegurar que la
bases de datos, comunicaciones, las sistemas de tasa de entrega y la •Programa de ejecución
vinculado a los planes estaciones de trabajo y información y secuencia final •Base acordada para
de TI y recursos los entornos de conocimiento técnico recomendadas sean mantener y reevaluar
humanos. desarrollo que de los recursos aceptables. los planes ante el
respaldan el plan de humanos y recursos •Integrar el análisis cambio de las
desarrollo de las que apoyan los planes financiero para circunstancias, en el
aplicaciones y las bases de desarrollo para las respaldar las contexto de negocios y
de datos. aplicaciones y TI. soluciones estratégicas necesidades de TI de la
recomendadas. compañía.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Existen cinco desafíos clave que los administradores deben enfrentar. Con una adecuada resolución de los mismos
estarían en condiciones de afirmar que los sistemas de información representan un verdadero valor para la organización:
El desafío estratégico de los negocios: los negocios deben emplear tecnología de la información para
diseñar organizaciones que sean competitivas y eficaces.
El desafío de la inversión en los sistemas de información: las instituciones deben poder determinar el
valor de negocios de sus sistemas de información.
El desafío de la responsabilidad y el control: las instituciones deben diseñar sistemas que las personas
puedan entender y controlar para utilizarlos en forma ética y responsable.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Gobierno de TI.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Fundamentos de gobierno de TI
El gobierno de TI es un término que abarca los sistemas de información, la tecnología, las
comunicaciones, los aspectos comerciales, legales y todas las áreas involucradas de alguna
forma con ellos, como son:
Dueños de los
Accionistas Directores Gerencia General
procesos
Fundamentos de gobierno de TI
Análisis de los aspectos organizacionales y tecnológicos dentro del área de sistemas y tecnología.
Definición del modelo operativo y organizacional de TI, especificando roles y responsabilidades y asignándolas a los diferentes
equipos/individuos.
Organización de TI
Estructuras gerenciales
Es preciso diferenciar dos estructuras gerenciales dentro de una
organización:
la gerencia de línea y
la gerencia de proyecto
Organización de TI
Organización de TI
Desde el punto de vista de la auditoría y el control, es importante que las funciones de las operaciones y de la
programación estén segregadas correctamente. En aquellos ambientes pequeños, en los cuales no se pueda lograr
una adecuada segregación entre dichas funciones, es importante que el auditor de TI identifique los controles
compensatorios pertinentes (ambiente de procesamiento seguro, conciliación por parte del usuario final con los
reportes de control).
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Organización de TI
Gerente de TI
Estructura de la Gerencia o CIO
Administrador de Redes
(LAN/WAN) Cintotecario
Analista de Sistemas
Administrador de Sistema Operador de Computadora
(Aplicaciones) (Sistema Operativo)
Operador de Captura de Datos
Analista de Sistemas
Programadores (Sistema Operativo)
(Aplicaciones) Programadores de Sistema
(Sistema Operativo)
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Organización de TI
Para que el gerente de proyectos pueda llevarlo a cabo exitosamente, deben asignársele los recursos
apropiados (incluyendo profesionales de TI), además de contar con el control total de la operación. Dicho gerente
no necesariamente debe ser un miembro del equipo de TI.
Puede incluirse en el equipo a los auditores de TI como asesores y expertos en control. Ellos pueden también
proveer una revisión independiente y objetiva para asegurar que el nivel de dedicación (compromiso) de las
partes responsables sea el apropiado.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Organización de TI
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Organización de TI
Responsabilidades y deberes de TI
Si bien la estructura de un departamento de TI puede variar en función de factores como
el tamaño y la carga de trabajo existente, generalmente se divide en dos áreas
principales:
• Procesamiento de la información (IP – Information Processing), encargada de los aspectos operativos del
ambiente de sistemas de información.
Organización de TI
Responsabilidades y deberes de TI
Administración de red
Aseguramiento de calidad
Análisis de sistemas
Programación de aplicaciones/sistemas
Organización de TI
La separación de funciones representa un método para asegurar que las transacciones estén
debidamente autorizadas y registradas y que los activos de la compañía estén salvaguardados.
Si el departamento de TI cuenta con una correcta separación de funciones, el daño potencial
por las acciones de cualquier persona queda reducido; ya que se limita el acceso a los datos y
los programas de producción, la documentación de programación, el sistema operativo y las
utilidades asociadas.
Si el departamento de TI está integrado por un grupo reducido de personas, debe haber
controles compensatorios; estos controles internos tienen el propósito de reducir el riesgo de
una debilidad de control existente o potencial ocasionada por una falta de segregación de
funciones.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Evaluación de la Estrategia de TI
El análisis de la situación actual de TI, como así también de la estrategia adoptada, debe
realizarse en función del nivel de eficiencia de TI como soporte efectivo de los procesos de
negocio de la Compañía.
Evaluación de la Estrategia de TI
Los componentes típicos de la infraestructura de TI en las compañías son:
Centro de
Cómputos
Redes y
Dispositivos
Servidores
de
Networking
Software de
Base
Estaciones (Sistemas
de trabajo Operativos +
Bases de
Datos)
Copias de
Resguardo
(Backups)
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Evaluación de la Estrategia de TI
A través del análisis del nivel de madurez de cada sistema de información como también de los
componentes de la infraestructura de TI, se podrá arribar al nivel de madurez de cada proceso
de negocio.
Tiempo de procesamiento promedio del sistema / Picos en fechas específicas o ante operaciones
particulares.
Accesibilidad de la información
Nivel de optimización
Control de interfaces
Documentación técnica
Documentación funcional
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Módulo de Seguridad
Condiciones contractuales
Flexibilidad
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Nivel de
Homogeneidad
Actualización Costos
Transversal
Tecnológica
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Performance en
Capacidad de Capacidad de Capacidad de
las
procesamiento transmisión almacenamiento
comunicaciones
Performance en
Performance en
la transferencia
el procesamiento
de la información
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Medidas para la
Actualizaciones o
Registro de eventos continuidad del
aplicación de
de seguridad procesamiento (ante
parches
contingencias).
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Actualización con
Nivel de obsolescencia de
respecto a las tecnologías
la tecnología
de punta
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Cantidad personas
Horas hombre de Horas hombre de
afectadas en el
mantenimiento técnico soporte
mantenimiento / soporte
Costos de recursos
Costo de soporte / tecnológicos tercerizados
Costo de licencias
mantenimiento de (Centro de Cómputos,
mensuales / anuales
terceros Storage / Backup,
Servidores, etc.)
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
La situación consolidada para cada Proceso de Negocio se encuentra constituida por el nivel promedio
de madurez de los Sistemas de Información / Infraestructura de TI que los soportan.
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Fin Clase
Muchas gracias