Auditoría de Tecnología de La Información Unidad 1 - Clase 1

Estrategia de TI, seguridad informática,
pruebas de auditoría
Unidad N° 1
Clase 1
Auditoría de la Tecnología de la Información - Estrategia de TI,
seguridad informática, pruebas de auditoría
Control y Auditoría de la
Estrategia de TI
Auditoría de la Estrategia de TI
Contenidos
 Introducción
 Principios Generales
 Estrategia de TI
 Comité de Seguimiento
 Alineación de TI
 Planificación Estratégica de TI
 Entrega de valor a través de TI
 Fundamentos de gobierno de TI
 Organización de TI
 Evaluación de la Estrategia de TI
 Criterios de Evaluación
Objetivos
 Entender que los sistemas y las tecnologías de información juegan un papel

fundamental en la vida de las organizaciones. En algunos casos son imprescindibles,
porque permiten obtener niveles de eficiencia que, sin ellos, son imposibles de
alcanzar (ej. bancos).
 Estos aspectos, entre otros, hacen que resulte de vital importancia contar con una
estrategia de TI que permita gestionar y organizar los recursos tecnológicos en forma
apropiada.
 Comprender que la gestión de los sistemas y tecnologías de información no debe

considerarse como una disciplina separada. Sino que debe constituir un componente
de la gestión misma de la organización y sus negocios.
Principios Generales
 Para una adecuada gestión de los recursos tecnológicos, es necesario contar con:
Gobierno de TI (sinergia
Alineación Estratégica Planificación Estratégica Entrega de Valor
con las áreas usuarias)
Prácticas gerenciales
efectivas (administración
Administración de
Organización de TI de la calidad, Innovación Tecnológica
riesgos tecnológicos
evaluación, gestión del
desempeño, etc.)
Estrategia de TI
 El proceso de gestionar y mantener una visión estratégica a fin de alinear e integrar las estrategias y
planes de TI con el negocio se denomina gestión estratégica de TI.
Principales Actividades
Evaluar iniciativas y situación actual de TI
Evaluar competencias actuales
Fijar el rumbo tecnológico
Consensuar la estrategia con el Comité de Dirección
Determinar los requerimientos para las iniciativas
Desarrollar y priorizar iniciativas
Supervisar el desarrollo del plan estratégico de TI
Coordinar, facilitar y gestionar actividades de estrategia tecnológica
Supervisar el desarrollo de capacidades
Comunicar el resultado de las actividades
Estrategia de TI
 Las políticas y procedimientos reflejan la guía y dirección de la gerencia para desarrollar controles sobre
los sistemas de información y recursos relacionados.
Las políticas son documentos Los procedimientos son

de alto nivel, representan la documentos detallados, deben
filosofía corporativa de una ser derivados de la política
organización y el pensamiento madre y deben implementar el
estratégico de la alta gerencia y espíritu del lineamiento de la
de los propietarios del proceso política.
de negocio.
Comité de Seguimiento
 Debe designarse un comité de planificación o de seguimiento para supervisar

las actividades del departamento de Sistemas de Información.
 El mismo debe estar integrado por miembros que incluyan representantes de

la dirección general, del departamento de sistemas de información y de la
administración del departamento de usuarios.
 Un comité de seguimiento para la tecnología de información es un

mecanismo para asegurar que el departamento de Sistemas de Información
esté en armonía con la misión y con los objetivos corporativos.
Planificación Estratégica de TI
 Una vez que se haya convenido el aporte de TI a la estrategia de negocios,

es preciso diagramar una estrategia propia de TI para alcanzar las metas
impuestas en materia global.
 A partir de la adopción de esta estrategia se podrá establecer en mejor

medida el grado de desvío o avance del soporte brindado por TI.
Alineación de TI
Las necesidades de TI
Para mantener una
Requiere
instalación informática
Que los máximos
La necesidad
funcionando, disponer
de recursos no responsables de la
compañía decidan Es del negocio, no de
obsoletos,
experimentar un nivel afrontar el problema de TI
de reclamos de los TI desde un punto de
usuarios adecuado vista global.
El proceso de planificación de TI
Fase 0: Determinar
el contexto y el
Fase 1: Determinar Fase 2: Establecer
alcance del plan de
las necesidades de arquitecturas y Fase 3: Determinar Fase 4: Preparar y
los sistemas de
información y opciones de soluciones entregar el plan de
información para la
respaldo para la información para las estratégicas. implementación.
compañía en su
compañía soluciones.
contexto de
negocios
 Fase 0: Determinar el contexto y el alcance del plan de los sistemas de información para la compañía en su contexto de negocios.
Iniciar el Estudio
Se determina
Participación
el alcance de Organización y Establecimien
Se estudia el e información
Se identifican las actividades sesión to del
contexto, el de otros
los requisitos paralelas informativa cronograma
alcance y las miembros
previos esenciales y se para el grupo inicial para la
atribuciones claves de
da inicio a de conducción entrevista
gestión
ellas
 Fase 1: Determinar las necesidades de información y respaldo para la compañía.
Recopilación de información preparatoria
Inventario y evaluación de toda la Determinar la información, las

información disponible acerca de necesidades de respaldo y las
prioridades de la compañía
•Metas, direcciones y planes de la
organización. •Se definen los resultados previstos.
•Sistemas/Aplicaciones actuales y planificados. •Declaración acordada de la información, las
•Activos e inventario de TI, actual y sobre necesidades de respaldo y las prioridades de la
pedido. organización, sobre la base del consenso.
•Recursos humanos/conocimientos técnicos. •Se elabora el documento que incluye los
detalles de las necesidades.
•Requerimientos regulatorios.
 Fase 2: Establecer arquitecturas y opciones de información para las soluciones.
a) Evaluación de las aplicaciones actuales y el estado técnico de TI, así como la adaptación de TI a
las necesidades
Inventario total de las aplicaciones actuales y activos de TI.
Evaluación de los puntos fuertes y puntos débiles.
Esquema del plan de acción para cada área débil de alta prioridad.
Panorama preliminar de las oportunidades rápidas de desarrollo, en los

casos en que corresponda.
 Fase 2: Establecer arquitecturas y opciones de información para las soluciones (Cont.)
b) Desarrollo de arquitecturas de información
Arquitectura preliminar para la estructura de la

organización.
Arquitectura preliminar de información: requisitos

de las aplicaciones, bases de datos y tecnología.
Identificar las deficiencias y los puntos débiles

claves en el estado actual que constreñirán el
desarrollo de las arquitecturas.
c) Establecer opciones iniciales para soluciones estratégicas
Proporcionar la visión estratégica general del sistema para satisfacer las

necesidades de la organización.
Identificar las deficiencias y los puntos débiles claves en la cobertura

actual, que requieren soluciones de software.
En el caso de necesidades de alta prioridad, determinar un conjunto

preliminar de opciones para soluciones de software.
Modificaciones a las arquitecturas emergentes de información.

 d) Generar una justificación sobre la base de costos y beneficios para satisfacer las necesidades
Plan de acción para que

los casos se transfieran
Lista de los socios y los Casos actuales para
mediante la selección de
participantes directos satisfacer todas las
soluciones y la
comprometidos. necesidades claves.
planificación de
implementación.
 Fase 3: Determinar soluciones estratégicas
a) Identificar e iniciar acciones urgentes
Definición del alcance de un

proyecto para satisfacer cada Desarrollos alcanzados.
necesidad apropiada.
b) Determinar las soluciones para aplicaciones y bases de datos

Definición de las estructuras de
Registro de las opciones
Selección de las soluciones de aplicaciones y bases de datos
consideradas y de las razones
software más apropiadas. más adecuadas para respaldar
para la selección o el rechazo.
las soluciones.
Especificación de volúmenes de
Base para el desarrollo de Actualizaciones a las
trabajo y otros requisitos de
estrategia de migración a la arquitecturas emergentes de
tecnología para respaldar las
solución propuesta. información, según convenga.
soluciones.
 Fase 3: Determinar soluciones estratégicas (Cont.)
c) Evaluar el estado y las oportunidades de TI y determinar las direcciones claves de TI
Evaluación del estado actual de TI, especialmente las deficiencias y

los puntos débiles.
Evaluación de los desarrollos y los proveedores claves, en la medida

en que fueran pertinentes para las necesidades de la organización.
Identificación de las opciones y las oportunidades para satisfacer las

necesidades de aplicaciones de la organización.
Identificación preliminar de las opciones para respaldo de tecnologías.

 Fase 4: Preparar y entregar el plan de implementación
c) Preparar el plan de
a) Preparar el plan para
b) Preparar el plan de desarrollo para la e) Presentar planes y
los proyectos de las d) Integrar costos y
proyectos técnicos para organización y el negociar la
aplicaciones y las bases justificación de casos
TI conocimiento técnico y implementación
de datos
los recursos
•Determinación de las •Determinación de la •Determinación de las •Proporcionar •Planes acordados
soluciones preferidas solución estratégica soluciones para la justificación para los •Aplicación
para aplicaciones preferida de organización y planes de aplicaciones, •Tecnología
estratégicas. tecnología. conocimientos técnicos TI y recursos humanos.
•Conocimientos
•Finalizar el plan de •Finalización del plan y recursos necesarios. •Resultados de las técnicos y recursos
desarrollo e de desarrollo para el •Finalización del plan negociaciones con los
•Compromisos
implementación para equipo informático, el de desarrollo para la participantes directos
presupuestarios
las aplicaciones y las software, las organización de los para asegurar que la
bases de datos, comunicaciones, las sistemas de tasa de entrega y la •Programa de ejecución
vinculado a los planes estaciones de trabajo y información y secuencia final •Base acordada para
de TI y recursos los entornos de conocimiento técnico recomendadas sean mantener y reevaluar
humanos. desarrollo que de los recursos aceptables. los planes ante el
respaldan el plan de humanos y recursos •Integrar el análisis cambio de las
desarrollo de las que apoyan los planes financiero para circunstancias, en el
aplicaciones y las bases de desarrollo para las respaldar las contexto de negocios y
de datos. aplicaciones y TI. soluciones estratégicas necesidades de TI de la
recomendadas. compañía.
Entrega de valor a través de TI

Para obtener ventajas competitivas es necesario integrar las posibilidades de los Sistemas de Información y de la Tecnología
con la estrategia de la organización.
Es preciso pasar a una situación activa de cooperación TI – estrategia de compañía.
 Existen cinco desafíos clave que los administradores deben enfrentar. Con una adecuada resolución de los mismos
estarían en condiciones de afirmar que los sistemas de información representan un verdadero valor para la organización:
El desafío estratégico de los negocios: los negocios deben emplear tecnología de la información para
diseñar organizaciones que sean competitivas y eficaces.
El desafío de la globalización: las organizaciones deben entender los requerimientos de negocios y de

sistemas dentro de un entorno económico global.
El desafío de la arquitectura de información: las organizaciones deben desarrollar una arquitectura de

información que brinde soporte a sus metas organizacionales.
El desafío de la inversión en los sistemas de información: las instituciones deben poder determinar el
valor de negocios de sus sistemas de información.
El desafío de la responsabilidad y el control: las instituciones deben diseñar sistemas que las personas
puedan entender y controlar para utilizarlos en forma ética y responsable.
Entrega de valor a través de TI
 Para asegurar el cumplimiento de estos objetivos, no es suficiente que los administradores

conozcan de sistemas. Es necesario lograr una sinergia con los conocimientos y la experiencia
de las personas provenientes de las diferentes áreas de la organización.
A partir de esta premisa se introduce el concepto de
Gobierno de TI.
Fundamentos de gobierno de TI
 El gobierno de TI es un término que abarca los sistemas de información, la tecnología, las
comunicaciones, los aspectos comerciales, legales y todas las áreas involucradas de alguna
forma con ellos, como son:
Dueños de los
Accionistas Directores Gerencia General
procesos
Proveedores de TI Usuarios Auditores

Fundamentos de gobierno de TI
 El gobierno de TI ayuda a asegurar que los objetivos de TI y de la organización coincidan.
 La gestión de gobierno de TI tiene por objetivo proveer y coordinar una estructura de

gobierno tecnológico y del modelo operativo que establezca el fundamento de crecimiento
y liderazgo, y crear un foro efectivo para balancear las necesidades individuales del
negocio con las de la organización de TI.
Principales actividades de gobierno de TI
Coordinación, facilitación y gestión de las actividades de gobierno de TI.
Análisis de los aspectos organizacionales y tecnológicos dentro del área de sistemas y tecnología.
Definición del modelo operativo y organizacional de TI, especificando roles y responsabilidades y asignándolas a los diferentes
equipos/individuos.
Definición de las políticas de gobierno de TI.
Evaluación de la situación actual de la operación de TI.
Determinación y ejecución de las acciones requeridas.
Establecimiento de planes para las acciones requeridas.
Control de la ejecución de los planes de acción definidos.
Comunicación del resultado de las actividades.

Organización de TI
 Estructuras gerenciales
Es preciso diferenciar dos estructuras gerenciales dentro de una
organización:
 la gerencia de línea y
 la gerencia de proyecto
 Debido a que un proyecto es generalmente un esfuerzo de una sola

vez, con objetivos específicos y entregables con fechas específicas de
inicio y de terminación (y que puede dividirse en etapas explícitas)
requiere de una gestión diferente.
Organización de TI
Estructura de gerencia de línea
El departamento de TI es el área de una organización que, mediante la ayuda de la infraestructura

tecnológica, convierte datos en información, encargándose de satisfacer las necesidades de todos
los miembros de una empresa. Es responsable, a su vez, de ofrecer soluciones informáticas y el
equipo necesario para la implementación de las mismas.
Un departamento de sistemas de información puede estar encabezado por un director de

tecnología de la información, o en el caso de las organizaciones grandes, por un funcionario jefe
de información (CIO).
Este tipo de departamentos se encarga de funciones relacionadas con desarrollo y mantenimiento
de aplicaciones, soporte técnico para la red y administración de sistemas, y operaciones.
Organización de TI
Estructura de gerencia de línea (Cont.)

Una persona puede desempeñar varios papeles dentro del departamento de TI, dependiendo de la compañía. Esto
se debe a que la estructura de la gerencia de TI varía considerablemente de una organización a otra, debiéndose,
entre otros factores, al tamaño, las plataformas y a la madurez del sector.
Desde el punto de vista de la auditoría y el control, es importante que las funciones de las operaciones y de la
programación estén segregadas correctamente. En aquellos ambientes pequeños, en los cuales no se pueda lograr
una adecuada segregación entre dichas funciones, es importante que el auditor de TI identifique los controles
compensatorios pertinentes (ambiente de procesamiento seguro, conciliación por parte del usuario final con los
reportes de control).
Organización de TI
Gerente de TI
Estructura de la Gerencia o CIO
Aplicaciones Datos Soporte técnico Operaciones
Administrador de Datos Administrador de Soporte

Desarrollo Administrador de Operaciones
(Adm. de BD) Técnico
Administrador de Redes
(LAN/WAN) Cintotecario
Analista de Sistemas
Administrador de Sistema Operador de Computadora
(Aplicaciones) (Sistema Operativo)
Operador de Captura de Datos
Analista de Sistemas
Programadores (Sistema Operativo)
(Aplicaciones) Programadores de Sistema
(Sistema Operativo)
Organización de TI
Estructura de la gerencia de proyectos

Los proyectos de TI pueden variar en cuanto a dimensiones. Éstos pueden iniciarse desde cualquier parte dentro
de la organización, incluyendo el departamento de TI. Es conveniente que los proyectos de mayor envergadura
sean clasificados por el comité de dirección de TI según su prioridad.
Para que el gerente de proyectos pueda llevarlo a cabo exitosamente, deben asignársele los recursos
apropiados (incluyendo profesionales de TI), además de contar con el control total de la operación. Dicho gerente
no necesariamente debe ser un miembro del equipo de TI.
Puede incluirse en el equipo a los auditores de TI como asesores y expertos en control. Ellos pueden también
proveer una revisión independiente y objetiva para asegurar que el nivel de dedicación (compromiso) de las
partes responsables sea el apropiado.
Organización de TI
Organización de TI
Responsabilidades y deberes de TI
Si bien la estructura de un departamento de TI puede variar en función de factores como
el tamaño y la carga de trabajo existente, generalmente se divide en dos áreas
principales:
• Procesamiento de la información (IP – Information Processing), encargada de los aspectos operativos del
ambiente de sistemas de información.
• Desarrollo y Ampliación de Capacidad de Sistemas, encargada del desarrollo, adquisición y

mantenimiento de los sistemas de aplicación de computadoras. Sus principales funciones son análisis de
sistemas y programación.
Organización de TI
Responsabilidades y deberes de TI
Funciones típicas: Operaciones o IPF (Information Processing Facility)
Administración de red
Aseguramiento de calidad
Administración de base de datos
Análisis de sistemas
Programación de aplicaciones/sistemas
Administración del soporte técnico (Help Desk)

Organización de TI
 La separación de funciones representa un método para asegurar que las transacciones estén
debidamente autorizadas y registradas y que los activos de la compañía estén salvaguardados.
 Si el departamento de TI cuenta con una correcta separación de funciones, el daño potencial
por las acciones de cualquier persona queda reducido; ya que se limita el acceso a los datos y
los programas de producción, la documentación de programación, el sistema operativo y las
utilidades asociadas.
 Si el departamento de TI está integrado por un grupo reducido de personas, debe haber
controles compensatorios; estos controles internos tienen el propósito de reducir el riesgo de
una debilidad de control existente o potencial ocasionada por una falta de segregación de
funciones.
Evaluación de la Estrategia de TI
 El análisis de la situación actual de TI, como así también de la estrategia adoptada, debe
realizarse en función del nivel de eficiencia de TI como soporte efectivo de los procesos de
negocio de la Compañía.
 Los procesos de negocio se encuentran soportados a través de Sistemas de Información

(software / aplicaciones), los cuales a su vez, se encuentran soportados por la infraestructura
de TI de la Compañía.
 Los componentes típicos de la infraestructura de TI en las compañías son:
Centro de
Cómputos
Redes y
Dispositivos
Servidores
de
Networking
Software de
Base
Estaciones (Sistemas
de trabajo Operativos +
Bases de
Datos)
Copias de
Resguardo
(Backups)
 A través del análisis del nivel de madurez de cada sistema de información como también de los
componentes de la infraestructura de TI, se podrá arribar al nivel de madurez de cada proceso
de negocio.
 Con la evaluación de madurez de cada proceso de negocio, es posible visualizar el nivel de

integración y soporte que existe entre el negocio y TI, lo cual permitirá realizar una evaluación
de la estrategia de TI y definir un plan de acción para remediar las brechas identificadas.
Criterios de Evaluación – Sistemas de Información

La evaluación de madurez de los Sistemas de Información, puede realizarse mediante el análisis de los
siguientes parámetros:
Costo Eficiencia Eficiencia Mantenimiento Situación

Crecimiento Seguridad
Operativo Funcional Técnica / Management Contractual

 Crecimiento: Nivel de flexibilidad del sistema para tolerar el crecimiento de la Compañía.
Se deben tener en cuenta:
Volumen operación del sistema, actual y proyección a futuro.
Volumen de sucursales que procesa / soporta el sistema (en caso de corresponder)
Usuarios que utilizan el sistema
Seguridad implementada y soportada
Capacity Planning sobre el sistema, considerando parámetros como nivel de respuesta,

capacidad de procesamiento, almacenamiento de información, conectividad, etc.

 Costo Operativo: Esfuerzo en términos monetarios y de personal que insume la operación del
sistema.
Se debe considerar:
Horas hombre Cantidad Costo de

Horas hombre Costo de Costo de
Horas hombre soporte a los personas Costo de Servidores (en
de licencias soporte /
de análisis usuarios afectadas en el Storage / caso de
mantenimiento mensuales / mantenimiento
funcional entorno al desarrollo / Backup procesamiento
técnico anuales de terceros
sistema mantenimiento tercerizado)

 Eficiencia Funcional: Satisfacción de los usuarios finales que utilizan el sistema en términos de
operatividad y flexibilidad del sistema.
Se debe considerar:
Nivel Satisfacción de los usuarios del sistema
Tiempo de resolución ante requerimientos de los usuarios
Flexibilidad operativa en las acciones y operaciones que

pueden realizar los usuarios para concretar sus tareas.
Nivel de dependencia del área de Sistemas para el uso

cotidiano del sistema.
Nivel en el cual el sistema, su usabilidad y su interfaz

resulta “amigable” para el usuario.

 Eficiencia Técnica: Satisfacción de los usuarios finales que utilizan el sistema en términos de
rendimiento técnico del sistema.
Performance general del sistema
Integridad / Velocidad / Eficiencia de comunicaciones e interfaces con otros sistemas
Tiempo de procesamiento promedio del sistema / Picos en fechas específicas o ante operaciones
particulares.
Capacidad de almacenamiento de la información.
Accesibilidad de la información
Nivel de optimización
Nivel de actualización de la Tecnología


 Mantenimiento / Management: Administración general del sistema en términos operativos.
Se debe considerar:
Proceso de control de cambios
Separación de ambientes (Desarrollo – Prueba – Producción)
Esquema de administración de seguridad
Control de interfaces
Documentación técnica
Documentación funcional

 Seguridad: Nivel o posibilidad de implementación de apropiadas medidas de seguridad sobre el
sistema.
Se debe tener en cuenta:
Módulo de Seguridad
Perfiles y niveles de acceso
Usuarios de máximos privilegios
Registro de eventos de seguridad
Controles de integridad de la información
Medidas para la continuidad del procesamiento (ante contingencias).


 Situación Contractual: Existencia de acuerdos con los proveedores del sistema.
Se debe considerar:
Dependencia estratégica del proveedor
Nivel de respuesta del proveedor ante requerimientos
Condiciones contractuales
Formalización del contrato
Condiciones contractuales de salida
SLAs (Service Level Agreements)
Flexibilidad
Criterios de Evaluación – Infraestructura de soporte

La evaluación de madurez de los componentes de la infraestructura de TI, puede realizarse mediante el
análisis de los siguientes parámetros:
Capacidad y Administración Escalabilidad y

Seguridad
Performance y Monitoreo Crecimiento
Nivel de
Homogeneidad
Actualización Costos
Transversal
Tecnológica

 Capacidad y Performance
Nivel de performance de los componentes de la infraestructura, considerando:
Performance en
Capacidad de Capacidad de Capacidad de
las
procesamiento transmisión almacenamiento
comunicaciones
Performance en
Performance en
la transferencia
el procesamiento
de la información

 Seguridad
Nivel o posibilidad de implementación de medidas de seguridad en la infraestructura de soporte. Se debe
tener en cuenta:
Perfiles y niveles de Parámetros de Usuarios de

acceso contraseñas máximos privilegios
Medidas para la
Actualizaciones o
Registro de eventos continuidad del
aplicación de
de seguridad procesamiento (ante
parches
contingencias).

 Administración y Monitoreo
Niveles de administración y monitoreo de la infraestructura de soporte, considerando:
Capacidad de Personal dedicado Disponibilidad de

Facilidad de
administración y a administración y herramientas de
administración y
monitoreo monitoreo de los administración y
monitoreo
centralizados equipos monitoreo

 Escalabilidad y Crecimiento
Capacidad de la infraestructura de soporte para soportar el crecimiento de las operaciones de la
Organización. Se deberá considerar:
Procesos de negocio Capacidad de escalar en Capacidad de escalar en Capacidad de escalar en

soportados conectividad volumen transaccional almacenamiento

 Homogeneidad Transversal
Capacidad de la infraestructura de soporte para vincularse y/o acoplarse a tecnologías existentes y
estandarizadas. Se deberá considerar:
Homogeneización de Compatibilidad con otras Capacidad de unificación

tecnologías tecnologías / estándares con otras tecnologías

 Nivel de Actualización Tecnológica:
Grado de actualización en los componentes de la infraestructura de soporte, considerando:
Actualización con
Nivel de obsolescencia de
respecto a las tecnologías
la tecnología
de punta

 Costos
Costos insumidos en la operación y mantenimiento de la infraestructura de soporte. Se debe considerar:
Cantidad personas
Horas hombre de Horas hombre de
afectadas en el
mantenimiento técnico soporte
mantenimiento / soporte
Costos de recursos
Costo de soporte / tecnológicos tercerizados
Costo de licencias
mantenimiento de (Centro de Cómputos,
mensuales / anuales
terceros Storage / Backup,
Servidores, etc.)
Criterios de Evaluación – Métricas

 La evaluación de los parámetros puede realizarse asignando a cada uno de ellos una calificación con
un rango de 0% al 100%, donde 100% indica el valor de mayor grado de madurez; se entiende por
mayor grado de madurez: la mejor situación del Sistema de Información ó Infraestructura Tecnológica
de Soporte respecto a dicho parámetro.
 La situación consolidada para cada Proceso de Negocio se encuentra constituida por el nivel promedio
de madurez de los Sistemas de Información / Infraestructura de TI que los soportan.
Fin Clase
Muchas gracias

Auditoría de Tecnología de La Información Unidad 1 - Clase 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditoría de Tecnología de La Información Unidad 1 - Clase 1

Cargado por

Copyright:

Formatos disponibles

Estrategia de TI, seguridad informática,

 Entender que los sistemas y las tecnologías de información juegan un papel

 Comprender que la gestión de los sistemas y tecnologías de información no debe

Las políticas son documentos Los procedimientos son

 Debe designarse un comité de planificación o de seguimiento para supervisar

 El mismo debe estar integrado por miembros que incluyan representantes de

 Un comité de seguimiento para la tecnología de información es un

 Una vez que se haya convenido el aporte de TI a la estrategia de negocios,

 A partir de la adopción de esta estrategia se podrá establecer en mejor

Recopilación de información preparatoria

Inventario y evaluación de toda la Determinar la información, las

Inventario total de las aplicaciones actuales y activos de TI.

Evaluación de los puntos fuertes y puntos débiles.

Panorama preliminar de las oportunidades rápidas de desarrollo, en los

b) Desarrollo de arquitecturas de información

Arquitectura preliminar para la estructura de la

Arquitectura preliminar de información: requisitos

Identificar las deficiencias y los puntos débiles

c) Establecer opciones iniciales para soluciones estratégicas

Proporcionar la visión estratégica general del sistema para satisfacer las

Identificar las deficiencias y los puntos débiles claves en la cobertura

En el caso de necesidades de alta prioridad, determinar un conjunto

Modificaciones a las arquitecturas emergentes de información.

Plan de acción para que

a) Identificar e iniciar acciones urgentes

Definición del alcance de un

b) Determinar las soluciones para aplicaciones y bases de datos

c) Evaluar el estado y las oportunidades de TI y determinar las direcciones claves de TI

Evaluación del estado actual de TI, especialmente las deficiencias y

Evaluación de los desarrollos y los proveedores claves, en la medida

Identificación de las opciones y las oportunidades para satisfacer las

Identificación preliminar de las opciones para respaldo de tecnologías.

Entrega de valor a través de TI

Es preciso pasar a una situación activa de cooperación TI – estrategia de compañía.

El desafío de la globalización: las organizaciones deben entender los requerimientos de negocios y de

El desafío de la arquitectura de información: las organizaciones deben desarrollar una arquitectura de

Entrega de valor a través de TI

 Para asegurar el cumplimiento de estos objetivos, no es suficiente que los administradores

A partir de esta premisa se introduce el concepto de

Proveedores de TI Usuarios Auditores

 El gobierno de TI ayuda a asegurar que los objetivos de TI y de la organización coincidan.

 La gestión de gobierno de TI tiene por objetivo proveer y coordinar una estructura de

Principales actividades de gobierno de TI

Coordinación, facilitación y gestión de las actividades de gobierno de TI.

Definición de las políticas de gobierno de TI.

Evaluación de la situación actual de la operación de TI.

Determinación y ejecución de las acciones requeridas.

Establecimiento de planes para las acciones requeridas.

Control de la ejecución de los planes de acción definidos.

Comunicación del resultado de las actividades.

 Debido a que un proyecto es generalmente un esfuerzo de una sola

Estructura de gerencia de línea

El departamento de TI es el área de una organización que, mediante la ayuda de la infraestructura

Un departamento de sistemas de información puede estar encabezado por un director de

Estructura de gerencia de línea (Cont.)

Aplicaciones Datos Soporte técnico Operaciones

Administrador de Datos Administrador de Soporte

Estructura de la gerencia de proyectos

• Desarrollo y Ampliación de Capacidad de Sistemas, encargada del desarrollo, adquisición y

Funciones típicas: Operaciones o IPF (Information Processing Facility)

Administración de base de datos

Administración del soporte técnico (Help Desk)

 Los procesos de negocio se encuentran soportados a través de Sistemas de Información