Trabajo Práctico 5 y 6

Descripción

TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA

Nombre del Alumno: José Luis Zaracho

Fecha Max. De Entrega: 12/12/2022

1- ) ¿Cuál es la responsabilidad del Gobierno de TI?

               Gobierno de TI es la responsabilidad que tiene la alta dirección de asegurar que las

tecnologías de información sustenten los objetivos y estrategias del negocio. El Gobierno de TI es
una representación simplificada, esquemática y conceptual que proporciona un marco de trabajo

2- ) ¿Cuál es el marco de trabajo?

El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera:

1.Estableciendo un vínculo con los requerimientos del negocio

Organizando las actividades de TI en un modelo de procesos generalmente
aceptado
Identificando los principales recursos de TI a ser utilizados
Definiendo los objetivos de control gerenciales a ser considerados

3- ) ¿Qué es COBIT?

 COBIT es una herramienta de gobierno de TI, se aplica a los sistemas de información de toda la
empresa, vinculando tecnología informática y prácticas de control.

4- ) ¿Qué señala el marco ISACA sobre el COBIT?

 Dominios

 Procesos

 Actividades

5- ) ¿Cómo es el COBIT hoy?

 Compendio de mejores prácticas aceptadas internacionalmente

Orientado al gerenciamiento de las tecnologías

Complementado con herramientas y capacitación

Gratuito

Respaldado por una comunidad de expertos

En evolución permanente

Mantenido por una organización sin fines de lucro, con reconocimiento internacional

Mapeado con otros estándares

Orientado a Procesos, sobre la base de Dominios de Responsabilidad

6- ) ¿Qué modelo brinda el COBIT?

 COBIT brinda un modelo genérico de procesos que representan todos los procesos que
normalmente se encuentran en las funciones de TI, proporcionando un modelo de referencia
general y entendible para las gerencias operacionales de TI y administrativa.

7- ) ¿Cómo logra los objetivos el COBIT?

 Para lograr los objetivos, los gerentes operacionales deben implementar los controles necesarios
dentro de un marco de control definido para todos los procesos TI.
8- ) Habla sobre Control VS Objetivo de Control TI. Define Control y Objetivo de Control TI

 Ya que los objetivos de control de TI de COBIT están

organizados por procesos de TI, el marco de trabajo
brinda vínculos claros entre los requerimientos de
gobierno de TI, los procesos de TI y los controles de TI. 

9- ) Objetivos principales del COBIT

 Asegurar el buen gobierno de TI, protegiendo los intereses de clientes, accionistas,

empleados, etc.

 Garantizar el cumplimiento normativo del sector al que pertenezca la organización

 Mejorar la eficacia y eficiencia de los procesos y las actividades de TI de la organización

 Garantizar la confidencialidad, integridad y disponibilidad de la información

10- ) Beneficios de Implementar el COBIT

 Una visión, entendible para la gerencia, de lo que hace TI

 Propiedad y responsabilidades claras, con base en su orientación a procesos

 Aceptación general de terceros y reguladores

 Entendimiento compartido entre todos los participantes, con base en un lenguaje común

 Cumplimiento de los requerimientos para el ambiente de control de TI

 Mejor alineación, con base en su enfoque de negocios

11- ) Citar usuarios del COBIT

La Gerencia
Los Usuarios Finales
Los Auditores
Los responsables de TI

12- ) Habla sobre los requerimientos de la información del negocio.

            Requerimientos de Calidad: 

Calidad
Costo
Entrega

          Requerimientos Fiduciarios:

 Efectividad

 Eficiencia

 Confiabilidad

 Cumplimiento

Requerimientos de Seguridad:

 Confidencialidad

 Integridad

 Disponibilidad
13- ) Habla sobre COBIT – Recursos de TI

  datos

 Sistemas de aplicación

 tecnología

 instalaciones

 gente

14- ) ¿En base a que premisa se define la estructura de COBIT?

 La estructura de COBIT se define a partir de una premisa simple y pragmática: “Los recursos de
las Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de procesos
agrupados de forma natural para que proporcionen la información que la empresa necesita para
alcanzar sus objetivos”.

15- ) Los niveles del COBIT

 Dominios

 Procesos

 Actividades

16- ) Citar los dominios del COBIT

 Planificación y Organización

 Adquisición e implementación

 Prestación y Soporte

 Monitoreo y supervisión

17- ) Citar los procesos de dominios Planificación y organización

 PO 1 Definición de plan estratégico de TI

PO 2 Definir la Arquitectura de la Información

PO 3 Determinar la dirección tecnológica

PO 4 Definir la organización de TI y sus relaciones

PO 5 Administrar la inversión tecnológica

PO 6 Comunicación de la orientación administrativa

PO 7 Administración de RRHH

PO 8 Asegurar cumplimiento con requerimientos externos

PO 9 Evaluación de riesgos

PO 10 Administración de Proyectos

PO 11 Administración de Calidad

18- ) Citar los procesos de dominios Adquisición e implementación

AI 1 Identificar soluciones automatizadas

AI 2 Adquirir y mantener aplicaciones
AI 3 Adquirir y mantener infraestructura tecnológica
AI 4 Desarrollar y mantener procedimientos
AI 5 Instalar y acreditar nuevos sistemas
AI 6 Administrar cambios
19- ) Citar los procesos de dominios Prestación y soporte

DS 1 Definir y administrar niveles de servicio

DS 2 Administrar servicios tercerizados
DS 3 Administrar capacidad y rendimiento
DS 4 Asegurar servicio continuo
DS 5 Asegurar sistemas de seguridad
DS 6 Identificar y alocar costos
DS 7 Educar y entrenar usuarios
DS 8 Asistir y aconsejar a clientes
DS 9 Administrar la configuración
DS 10 Administrar problemas e incidentes
DS 11 Administrar datos
DS 12 Administrar infraestructura
DS 13 Administrar operaciones

20- ) Citar los procesos de dominios Procesos

 DS4 – Asegurar la continuidad del servicio: plan de

continuidad, recursos críticos, recuperación de
servicios, copias de seguridad.

 DS5 - Garantizar la seguridad de los sistemas:

gestión de identidades, gestión de usuarios,
monitorización y tests de seguridad, protecciones de
seguridad, prevención y corrección de software
malicioso, seguridad de la red, intercambio de datos
sensibles.

 DS6 - Identificar y asignar costes

DS7 - Formación a usuarios: identificar

necesidades, planes de formación

DS8 - Gestión de incidentes y Help Desk:

registro y escalado de incidencias, análisis
de tendencias.

DS9 - Gestión de configuraciones: definición

de configuraciones base, análisis de
integridad de configuraciones.

21- ) Modelo de Madurez para el control sobre los procesos TI

  No existente

  Inicial.

  Repetible

  Definido

 Administrado

 Optimizado

22- ) Auditoría de la Administración, Planeación y Organización de TI

                              Indicadores de problemas potenciales (Citar mínimo 7 indicadores).

Usuarios disconformes
– Costos excesivos
– Proyectos tardíos
– Rotación elevada de personal
– Errores frecuentes de hardware / software
– Lista excesiva de espera de solicitudes de usuario
 – Numerosos proyectos de desarrollo cancelados
– Compras de hardware / software sin soporte o no
autorizadas
– Frecuentes ampliaciones de capacidad de hardware /
software

23- ) Revisión de los Compromisos Contractuales

El auditor informático debe revisar la participación de la gerencia de TI en:

 Desarrollo de los requisitos del contrato

Proceso de licitación del contrato

Proceso de selección del contrato

Aceptación del contrato

Mantenimiento del contrato

Cumplimiento del contrato

24- ) ¿Que es el Comité de Planeación o Seguimiento?

El comité es un mecanismo para asegurar que el dpto. de sistemas está en armonía con la misión y
con los objetivos corporativos.

25- ) Funciones del Comité de Planeación o Seguimiento (Comentar).

 Revisar los planes a largo y corto plazo de TI para asegurar que estén en concordancia con
los objetivos corporativos

Revisar y aprobar adquisiciones importantes

Aprobar y monitorear proyectos importantes o de alta relevancia, establecer prioridades,

aprobar normas y procedimientos, monitorear el desempeño general de TI

Servir de enlace entre el dpto. de TI y las áreas usuarias

Revisar si los recursos y la asignación de recursos son adecuados

26- ) Habla de la Estructura Organizacional de TI.

 Pero la estructura organizacional no es el fin, es el medio, que correctamente aplicado

podría resolver la mayoría de los problemas que afectan la percepción que el negocio
tiene de TI.

Con frecuencia la organización ve a TI como una estructura que:

No se integra con las necesidades del negocio: No es ágil. Es costosa. Tiene recursos
tecnológicos y humanos ociosos

Ejecuta proyectos que no finalizan a tiempo (o no finalizan)

No es trasparente en la gestión financiera o no habla el mismo idioma que el negocio

No tiene la capacidad de brindar a la organización lo que necesita en el momento que lo

necesita
27- ) Habla de los Roles y Responsabilidades de TI

 Los roles y responsabilidades del personal de TI deberían estar documentados de forma

adecuada y comunicados de manera efectiva.

Deberá resultar evidente que todo el personal staff y contratado conoce sus roles, así
como las expectativas de la gerencia para con ellos.

Algún grado de responsabilidad por la seguridad y los controles internos debería estar
incluida en la descripción del puesto de cada funcionario de TI

28- ) Es Responsabilidad de la Alta Dirección

                Es una parte integral del gobierno corporativo y consiste en que el liderazgo, las
estructuras organizativas y los procesos aseguren que la TI sostiene y extiende los objetivos y
estrategias de la Organización.

29- ) ¿Como se lleva a cabo la implementación del gobierno de TI?

  En esta época en la que la tecnología se apodera cada vez más del mercado es común
escuchar en las empresas frases como: “No es posible gobernar lo ingobernable”, “Es un
gasto operativo importante sin ningún valor” o “No se puede controlar lo que no se puede
medir”. Hoy más que nunca es necesario acabar con estas posiciones, pues es medular
comprender la necesidad de visualizar el área de Tecnologías de Información de la
empresa como un apoyo vital que es transversal a todos los demás procesos que
interactúan dentro de las diferentes unidades de negocio. Pero para lograr esto, es
necesario primero contar con un adecuado gobierno de Tecnologías de Información (TI),
entendiéndolo como aquel órgano de alto nivel, tomador de decisiones cuyo rol principal
es la evaluación, dirección y supervisión de las tecnologías de información.

 Sin embargo, esa tarea que a simple vista pareciera titánica, tiene un inicio trascendental y
es lograr infundir en los altos jerarcas tomadores de decisión, la necesidad de gestionar y
gobernar las tecnologías de información, y que tengan claro que esto no debe ser un
método antojadizo ni debe ser por regulación, sino, por un sentido común de hacer las
cosas bajo una perspectiva de mejores prácticas y con el objetivo de generar valor a las
diferentes partes interesadas de la organización. Es ahí donde se encuentran algunas
respuestas y se determina que realmente podemos tener modelos de gobierno de TI que
nos faciliten manejar aquello que se pensó no era posible.

30- ) ¿Que debe garantizar un buen gobierno de TI?

 Un buen Gobierno de TI debe garantizar que:

Las actividades de TI están alineadas con la estrategia del negocio.

Los servicios y funciones de TI se proporcionan con el máximo valor posible o de la forma

más eficiente.

Todos los riesgos relacionados con TI son conocidos y administrados y los recursos de TI
están seguros.

31- ) ¿Cuál son los objetivos del Gobierno Corporativo TI?

•Proveer una dirección estratégica.

Asegurar que los objetivos sean alcanzados.
Determinar que los riesgos sean administrados apropiadamente.
Verificar que los recursos organizacionales sean utilizados con responsabilidad.
32- ) Citar las Áreas del Gobierno de TI.

 Alineamiento estratégico

 Entrega de valor

 Gestión del Riesgo

 Administración de Recursos

 Medición del Rendimiento

33- ) Citar Prácticas para un buen gobierno TI

 Conocer el valor estratégico de la compañía

 Clasificar las iniciativas

 Comunicar prioridades y avances claramente

 Controlar los proyectos frecuentemente

34- ) Citar los procesos de implementación de Gobierno TI

  Identificar necesidades.

Análisis de la solución.

Planificación de la solución.

Implementar la solución.

35- ) Un buen Gobierno de TI es importante porque:

  Para mayor facilidad

 Se trabaja más eficientemente

 Asegura el futuro de la empresa

 Ayuda a explotar la creatividad