El gobierno de la TI y el proceso de negocios Flashcards
El control interno en las empresas es una preocupación? de qué tipo?
Sí, pero discrecional
Para una empresa, el gobierno de TI y la auditoría es de suma importancia `para
detectar y solucionar fallas
asegurar el cumplimiento de regulaciones
apoyo para el diseño y regulaciones
trasmisor de mejores prácticas
Comité de Informática
unidad especializada verifica que se cumplan las políticas TI
Gobierno de TI y Auditoría
1- alta dirección de la empresa aprueba la política de seguridad
2- se desarrolla un programa de auditoría para evaluar el proceso
3 - Se aprueban los lineamientos
4 . Se implementa la política y estándares de auditoría
EL Gobierno de las TI
el liderazgo, las estructuras de organización y los procesos necesarios para asegurar que la TI soporte y amplíe los objetivos y estrategias de la empresa
manejo de la TI es responsabilidad de
la dirección de TI
la administración ejecutiva
propósito (objetivos) del gobierno de TI
- TI alineada con los objetivos y estrategias de la empresa
- TI habilite a la empresa a explotar oportunidades y generar máximos beneficios
- recursos de TI se utilicen responsablemente
- riesgos TI se administren adecuadamente
Decisiones a tomar en Estrategias de Informática
rol de la informática en el negocio
Líder o seguidor
Soporte o estratégico
Decisiones a tomar en Arquitectura Informática
Definiciones estandarización, integración….
Hardware, diccionarios de datos, Sistemas operativos
Decisiones a tomar en Infraestructura Informática
Servicios Centralizados, compartidos…
Redes, servicios mensajería, seguridad
Decisiones a tomar en Necesidades de aplicaciones de negocio
Compra o desarrollo… ERP, CRM, SCM, SAP
Decisiones sobre inversiones y prioridades en informática
En qué invertir, cuánto, etc.
EL Gobierno de las TI responsables tomar decisiones
Consejo del negocio Director General Equipo Directivo Responsable(´s) de Informática Usuarios Claves Usuarios
ENTREGA DE VALOR
Destaca las capacidades de las actividades que agregan un margen de valor a los productos o servicios de la empresa
Qué es el valor?
es la cantidad que los compradores
están dispuestos a pagar por lo que una empresa le proporciona
Cómo contribuyen los sistemas de información a generar valor
- desarrollar nuevos nichos de mercado
- Capturar clientes y proveedores
- Proporcionar productos y servicios únicos
- Proporcionar productos y servicios a menor costo
Objetivos del plan estratégico de TI?
Obtener un conjunto de especificaciones estructuradas de los futuros proyectos de plataforma tecnológica y sistemas de información a implantar
Alcance y ámbito del Plan estratégico de TI
Toda la organización (servicio informátivo centralizado), por estrategia corporativa (determinar servicios locales).
Vigencia y horizonde del plan estratégico de TI
2 a 4 años
Elementos del PETI
organización medio ambiente funciones procesos datos sistemas equipos
Quién Propone un Plan Informático?
Comité informático
Quién aprueba el plan?
Directorio
Quién ejecuta los proyectos?
Unidad de Informática
Quién valida proyectos de desarrollo?
Usuarios
Quién evalúa avances del PETI
Comité informático
Quién ajusta el PETI
Comité informático
Cuáles son las fases de un PETI
- Preparar procesos de planificación
- Analizar estrategias
- Identificar y describir funciones y procesos
- Analizar situación actual
- Formular plan de sistemas de información
- Analizar y proponer plataforma tecnológica y red de comunicaciones
- Evaluar, seleccionar y programar proyectos
- Estrategia de implantación de peoyectos
- Análisis y proposición de organización informática
- Formulación de políticas de capacitación
Qué áreas comprende la gestión y administración informática?
- Administración de la Información
- Administración de Sistemas de Información
- Administración de Infraestructura TIC
Qué es la administración de la información?
Definición, organización y coordinación de información y sus flujos de acuerdo a las necesidades de la organización.
Componente principal: bases de datos de la institución.
Qué es la administración de los sistemas de información (SI)?
Ciclo de vida de los sistemas de información (concepción, construcción, desarrollo/compra, operación, mantenimiento, evaluación).
Componente principal: portafolio de aplicaciones de software.
Qué es la administración de la infraestructura TIC?
Actividades para proveer, mantener y dimensionar equipos, redes y servicios necesarios para operación de los SI y el manejo de info.
Componente tecnológico principal: infraestructura tecnológica de bases (hardware, software, redes, BD y servicios).
Cómo se unen las tres áreas de administración informática (Administración de información, administración de sistemas de información, administración de infraestructura TIC)?
Mediante un área funcional de la organización (centro/departamento/unidad/gerencia/dirección de informática)
Cuáles son los tres elementos que se consideran en las res áreas de administración informática (Administración de información, administración de sistemas de información, administración de infraestructura TIC)?
Arquitectura de la información
Implementación de estrategias
Tecnologías disponibles en el mercado
Cuáles son los elementos de control de la administración informática?
Arquitectura tecnológica existente
Estrategias definidas en la planificación informática
Tecnologías disponibles en el mercado.
Qué es el Balanced Score Card?
Sistema que conecta el día a día con la visión de futuro de la empresa
Qué tipos de medidas incluye el BSC?
Financieras y no Financieras
A corto y largo plazo
que reflejan resultados pasados y medidas de acción futura
Qué es un indicador?
Una medición de un factor crìtico de éxito, un problema o un objetivo o meta
Qué es el estado del indicador?
Medición de la realidad vs lo esperado. Alerta sobre las decisiones a tomar
Qué es el Cuadro de Mando Integral?
Múltiples indicadores sobre una serie de objetivos consistentes y mutuamente reforzantes.
Qué son las relaciones causa efecto?
Se establecen explicitamente las relaciones entre los objetos que representan causa y efectos
Qué son los inductores de la actuación?
Son indicadores de previsión.
Los indicadores de resultados sin los inductores no reflejan la forma en que se conseguirán los resultados.
Qué es la perspectiva financiera?
resume las consecuencias económicas.
indicadores fácilmente mensurables indican si la estrategia está contribuyendo a la mejora.
Qué es la perspectiva del cliente?
indicadores clave sobre los clientes, su satisfacción, fidelidad, retención, adquisición y rentabilidad, en los sectores y mercados seleccionados.
Qué es la perspectiva del proceso interno?
Busca la satisfacción del cliente y de los objetivos financieros a través de la mejora y la medición de los procesos actuales y los procesos nuevos.
Qué es la perspectiva de formación y crecimiento?
Identifica la estructura necesaria para crear crecimiento a largo plazo.
Qué 3 fuentes mide la perspectiva de formación y crecimiento?
Personas
Sistemas de información
Procedimientos
Cuáles son las orientaciones del BSC para las TI?
Orientación al usuario
Contribución al negocio
Excelencia Operacional
Orientación al futuro
Cómo se usa un BSC basado en COBIT?
1) Seleccionando las metas del negocio
2) Usando alguno de los más de 300 indicadores predefinidos relacionados con los 34 procesos de TI y las 28 metas de TI que soportan las 17 metas del Negocio, relacionadas a las 4 perspectivas del BSC
Qué funciones debe desempeñar un área de seguridad informática a nivel Normativo?
Documentación de políticas, procedimientos y estándares.
Cumplimiento de estándares internacionales y regulaciones
Qué funciones debe desempeñar un área de seguridad informática a nivel de Operaciones?
Implementación, configuración y operación de controles de seguridad informática
Monitoreo de indicadores de seguridad
Primer nivel de respuesta ante incidentes
Soporte a usuarios
Qué funciones debe desempeñar un área de seguridad informática a nivel de Supervisión?
Evaluaciones de efectividad de controles, de cumplimiento de normas
Investigación de incidentes de seguridad y cómputo forense
Qué funciones debe desempeñar un área de seguridad informática a nivel de Desarrollo?
Diseño y programación de controles de seguridad
Preparación de librerías con funciones de sefuridad
Soporte de seguridad
Consultoría de desarrollos seguros
Responsabilidades del Chief Information Security Officer
Planificar desarrollar controlar gestionar políticas, procedimientos y acciones paramejorar la seguridad de informacion basado en condifencialidad, integridad y disponibilidad
¿Qué es El Marco de Riesgos de TI (The Risk IT Framework)?
Un framework cuya misión es facilitar a la alta Gerencia una administración efectiva de los riesgos de TI relacionados con el negocio
Cómo puede ser visto un riesgo?
Como riesgo y como oportunidad
¿Qué es un riesgo de TI?
Eventos adversos que destruyen valor
Valor de negocio no realizado o reducido a través de la TI
Oportunidades omitidas de asistencia de TI
¿Qué es una oportunidad de TI?
Identificación de nuevas oportunidades de negocio
Incremento de valor del negocio a través del uso óptimo de las capacidades TI
A qué ayuda el marco de riesgos de TI?
A integrar la administración de riesgos TI dentro de la administración general de riesgos empresariales
A tomar decisiones acerca del apetito al riesgo y su nivel de tolerancia
Entender cómo responder al riesgo
Qué métodos de análisis de administración de riesgos existen?
Identificar debilidades
Identificar amenazas
Qué información se obtiene del análisis de administración de riestos?
Amenazas del sistema
Vulnerabilidades específicas del sistema
A qué está expuesto un activo de información?
A amenazas
Qué tiene un artivo de información
Vulnerabilidades
Qué ocurre cuando una amenaza explota una vulnerabiliada?
Hay un riesgo intríseco
Qué consecuencias podría tener un riesgo intríseco?
podría ocasionar impacto
Qué se hace con los riestos intrísecos?
Se aplican controles
Qué tienen los controles?
costes
Qué queda luego de los controles a los riesgos?
Un riesgo residual
Qué pasos se usan para administrar riesgos?
- Identificar y clasificar recursos y activos de información
- Estudiar amenazas y vulnerabilidades
- Calcular impacto y consecuencias
- Formar una visión general del riesgo
- Evaluar controles existentes
- Emplear metodología de evaluación de riesgos
Qué es la administración de riesgo?
Estimar el grado de exposición a que una amenaza se materialice sobre uno o más activos
Qué es el análisis de riesgos?
La utilización sistemática de la información disponible, identificando peligros y estimando riesgos
Qúé es la gestión de riesgos?
Seleccionar e implantar medidas técnicas y organizativas necesarias para impedir, reducir o controlar riesgos identificados
Cómo se espera que sea un área de auditoría informática?
Independencia funcional. Libertad de acción. Facultad para la toma de decisiones Negociación con los niveles gerenciales Involucramiento en proyectos de alto impacto en el negocio
Qué funciones básicas tiene la auditoría informática?
a) Evaluación, verificación e implantación de los controles y procedimientos
b) Aseguramiento de la existencia y cumplimiento de los controles y
procedimientos
c) Desarrollar la auditoría en informática conforme normas y políticas
d) Evaluar las áreas de riesgo
e) Elaborar un plan de auditoria
f) Obtener la aprobación formal de los proyectos del plan
g) Administrar o ejecutarlos proyectos del plan
Metodología para la realización de la auditoría de la función de informática
Estudio inicial. Requiere:
1) Organigrama
2) Departamentos
3) Relaciones jerárquicas y funcionales entre órganos de la organización
4) Flujos de información
5) Número de puestos de trabajo
6) Número de personas por puesto de trabajo
Recopilación de la información organizacional
observación y entrevistas de fondo:
A) Estructura Orgánica
B) Se deberá revisar la situación de los recursos humanos.
C) Entrevistas con el personal de procesos electrónicos
D) Conocer la situación presupuestal y financiera
E) Levantamiento del censo de recursos humanos y análisis de situación
F) Revisar el grado de cumplimiento de los documentos administrativos.
El departamento de informática básicamente puede estar dentro de alguno de estos tipos de dependencia
a) Depende de alguna dirección o gerencia
b) Dependa de la gerencia general
c) para estructuras muy grandes en la que hay bases de datos, redes o bien equipos en diferentes lugares
d) Creación de una compañía independiente que dé servicio de informática a la organización.
