Semana 7 - Ejecucion De Auditoria Al Gobierno De Ti, Gobierno Si Y La Gestion De Servicio Flashcards
Alcance
Hay que incluir en la auditoría únicamente aspectos relevantes a las responsabilidades del gobierno, cualquiera que este sea:
✓ Corporativo
✓ De TI
✓ De seguridad
• Típico error: incluir “revisar un software”
Criterios para auditorías de Gobierno de TI
- Gobierno de TI / Seguridad
- Estrategia de TI o SI
- Actividades del Comité de TI o SI
- Estructura del departamento de TI y funciones (segregación)
- Gestión de presupuestos de TI / SI
- Gestión de recursos humanos de TI / SI
- Gobierno de Seguridad de la información
- Política y plan de seguridad de la información
- Comité de seguridad de la información
- Estructura y funciones del área de seguridad de la información
Fuentes de evidencia
- Estructura organizacional de la empresa
- Documentación relacionada con los procedimientos y políticas de seguridad de la información y la actividad de los comités respectivos
- lista de políticas
- Documentación relacionada con la prestación de servicios de TI
Estructura organizacional de la empresa
✓ Organigrama
✓ ROF, MOF, documentación de los procesos de negocio.
✓ Contratos con empleados y con proveedores
✓ Actas de reuniones de los comités
✓ Informes de auditorías internas o externas anteriores.
Documentación relacionada con la prestación de servicios de TI
✓ Mesa de ayuda
✓ Procedimientos de atención
✓ Procedimientos relacionados a cambios
✓ Evaluaciones y autorizaciones de servicios.
✓ Políticas y procesos para la creación de servicios de TI
✓ Relaciones con los proveedores
Resultados esperados habituales
- Alineación estratégica TI-NEGOCIO
- Gestión de riesgos adecuada
- Entrega de valor en forma de servicios de TI
- Gestión de recursos adecuada
- Medición del desempeño adecuada y sostenible en el tiempo.
