Upload
carloscv
View
6.559
Download
1
Tags:
Embed Size (px)
DESCRIPTION
AUDITORIA DE SISTEMAS
Citation preview
Universidad Cesar Vallejo
“PROYECTO DE AUDITORIA DE SISTEMAS DE INFORMACION CON COBIT”
Docente : Ing. Carlos Alberto Monzón Chávez
Ciclo : VIII
Integrantes: Blas Fermín Jonathan Calderón Valderrama Carlos Córdova Meneses David Delgado Sucari Víctor Miranda Lujan Hugo Vara Medina Martin
2009
HISTORIA
50 años de la Primera y más Grande Siderurgia.
Nace el 9 de mayo de 1956 la primera y más grande siderúrgica del país, con la creación de la Sociedad de Gestión de la Planta Siderúrgica de Chimbote y de la Central Hidroeléctrica del Cañón del Pato (SOGESA), con el fin de administrar la industria pesada y el aprovechamiento hidráulico del Cañón del Pato.
En sus inicios, la siderúrgica estaba constituida por la Planta de Hierro con dos hornos eléctricos de arco, la Planta de Acero equipada con dos hornos eléctricos de arco y la Planta de Laminación No Planos, con un laminador desbastador y un laminador mercantil.
NACIMIENTO DE LA SIDERURGIA
Con el hallazgo de mineral de hierro en 1923 en el Cerro Tunga en San Juan, departamento de Ica, nace la preocupación por desarrollar la industria siderúrgica nacional. La oficina dirigida por Larrañaga envió circulares a los ingenieros e instituciones, solicitando sus opiniones técnicas sobre el sitio adecuado para la instalación de esta industria. De todos los informes presentados, Brassert consideró como el más adecuado el proyecto del Ing. Antúnez de Mayolo, que señalaba como de mayores ventajas la ubicación de Chimbote, por lo adecuado de la Bahía El Ferrol para un gran puerto y astillero, por la gran cantidad de agua del río Santa, por la proximidad de los yacimientos de carbón, antracita y hulla en los valles del Santa, Ancos y Chuquicara y por la utilización de la caída de agua del Cañón del Pato, que abastecería la gran demanda de energía eléctrica, tanto de la planta siderúrgica como las industrias derivadas que no tardarían en formarse. El informe final de Brassert, el 14 de mayo de 1941, después de efectuar proyecciones en Marcona, visitar Chimbote y el Cañón del Pato, recomendaba la instalación de la siderúrgica en este puerto. En el año 1943, el primer gobierno del Dr. Manuel Prado creó la Corporación Peruana del Santa, la cual recibió el encargo de establecer y desarrollar la industria siderúrgica nacional en Chimbote.
Para ese entonces, Chimbote era un pequeño pueblo de pescadores con menos de cinco mil habitantes. El 9 de mayo DE 1956 se crea SOGESA, Sociedad de Gestión que ese mismo año obtiene su partida legal con la Resolución Suprema del 27 de abril, separándose así de la Corporación Peruana del Santa. A partir de esa fecha, esta ciudad costeña atrajo la atención nacional, convirtiéndose en el primer centro industrial y siderúrgico del país para la producción del genuino acero peruano
Vista General de la Antigua Planta de Hierro
Instante en que el Ing. Max Peña Prado, Presidente de la Corporación Peruana del Santa, firma los contratos con los representantes de los consorcios franceses.
Etapa de construcción de la Planta de Acero
INSTITUCIONAL
SIDERPERU es la principal empresa siderúrgica del Perú desde hace 50 años. Contando con instalaciones de reducción, aceración, laminación de productos planos, laminación de productos no planos, productos planos revestidos, productos tubulares, viales y numerosas instalaciones auxiliares. Para el abastecimiento de sus principales insumos, tiene un muelle habilitado para recibir embarcaciones hasta de 50 mil toneladas.
Nuestros productos son requeridos por clientes de los distintos sectores económicos, principalmente al sector Construcción, Minero e Industrial; tanto en el mercado local como extranjero.Desde 1956 nuestra empresa exhibe con orgullo ser la primera y más grande siderúrgica del país que ofrece al mercado nacional e internacional el mejor acero del Perú, gracias a la capacidad y esfuerzo de cada uno de sus trabajadores, quienes aseguran en el futuro la continuidad de SIDERPERÚ.
MISIONEl grupo Gerdau es una empresa dedicada en siderurgia, que busca satisfacer las necesidades de los clientes y crear valor para los accionistas comprometida con la realización d las personas y con el desarrollo sostenible de la sociedad
VISION Ser una empresa Siderúrgica global, entre las más rentables del sector
VALORES
CLIENTE SATISFECHO SEGURIDAD TOTAL EN EL AMBIENTE DEL TRABAJO PERSONAS COMPROMETIDAS Y REALIZADAS CALIDAD EN TODO LO QUE SE HACE ACTITUD EMPRENDEDORA Y RESPONSABLE INTEGRIDAD CRECIMIENTO Y RENTABILIDAD
ORGANIGRAMA:
FODA:
FORTALEZAS: Se cuenta con un capital relacional que permite encontrar las respuestas y los
expertos para resolver los problemas que se presenten. Colaboradores multifuncionales que posibilita atender la gama de órdenes de
trabajo que se generan en el complejo. Colaboradores motivados a propiciar innovaciones. Laboratorios equipados, taller de calibración, planta de fundición, etc
DEBILIDADES: Capacitación orientada a la parte teórica. Falta de un sistema de motivación que incentive la asistencia a los cursos de
capacitación. Problemas de comunicación efectiva entre ciertos grupos de colaboradores.
OPORTUNIDADES: Empleo de tecnologías de comunicación para capacitación virtual Crecimiento de la producción Introducción de nuevas tecnologías de mantenimiento.
AMENAZAS Transferencia de conocimientos de personal próximo a retirarse sin una estrategia
adecuada para conservarlo.
Transferencia de experiencias externas de capacitación, no se capitaliza como efecto multiplicador.
PRINCIPALES PROCESOS DE LA OFICINA DE FINANZAS DE SIDERPERU S.A.A:
AREA DE MESA DE PARTES:
Recepcionar y Revisar documentosRegistrar documentos correctos en cuadernoEntregar documentos firmados y con su cargo
SUMINISTROS:Emitir en PC/OCAprobacion Virtual del O/CEnviar O/C a Cuentas Por pagarEnviar físicamente la O/C a finanzas Chimbote para pago
ALMACENES:Llegada de los materialesGestionar la conformidad técnica Verificar y Registrar la información Tecnica y se emite la N/I Enviar N/I y Guía de Remisión a Finanzas
CUENTAS POR PAGAR Recepcionar documentos de las aéreas antes mencionadas.Verificar documentos físicos correctos Archivar documentos incorrectosVerificar documentos correctos en el sistema de O/C (orden de compra)
aprobadosArchivar documentos no aprobados Verificar documentos O/C aprobados en el sistema de N/I (Nota de ingreso)Archivar los documentos de N/I incorrectosContrarrestar veracidad de información de O/C, N/I y Factura de documentos de N/I correctos.Registrar Factura y contabilizarlaEnviar el archivo con la documentación para pago en Tesoreria
TESORERIAVerificar documentacionProcesar y Emitir Orden de PagoAutorizacion de firmas de apoderados on-linePagar a proveedoresEnvia el archivo con la documentación para pago en TesoreriaVerificar conformidad del pago en los bancosVerificar pago en el sistema
DIAGRAMA DE CASO DE USO DE NEGOCIO - COBIT
Auditores de TI
Procesar monitoreo y control de TI (4p) (Dominio 4)
Procesar prestaciones y soporte de TI(13p) (Dominio 3)
Proocesar la adquisicion e implementacion de la TI(6p) (Dominio2)
Procesar planificacion y organizacion de las TI (11p) (Dominio 1)
Area de Cuentas por Pagar (personal, todos los que trabajan)
<<include>>
<<include>>
<<include>>
PROCESAR PLANIFICACION Y ORGANIZACIÓN DE LAS TI
P1. DEFINICION DE UN PLAN ESTRATEGICO DE TI
D1PO9: Evaluacion de Riesgos de TI
D1PO10: Administracion de Proyectos de TI
<<include>>
D1PO11: Administracion de la Calidad de TI
<<include>>
D1P1. Definicion de un Plan Estrategico de TI D1P2: Definicion de la
Arquitectura de la informacion
<<include>>
D1PO3: Determinar la Direcciòn Tecnológica
<<include>>
D1PO4 Definicion de la organizacion de TI
<<include>>
D1PO5 Manejo de la inversioin T)
<<include>>
D1PO8Cumplir con los Requerimientos
D1PO7 Administracion de Recursos Humanos
<<include>>
D1PO6: Comunicacion de la direccion y aspiraciones
<<include>>
<<include>>
DTI
<<include>>
Definir Objetivos y necesidades de TI en funciòn de los objetivos de Negocios
1. Definir Planes de TI a Corto Plazo (1 año)
Elaborar Diagnostico de PETI a CP
Elaborar Direccionamiento de PETI a CP
2 Definir Planes de TI a Largo Plazo (mas de un año hasta 5)
Elaborar Diagnostico de PETI a LP
Elaborar Direccionamiento de PETI a LP
1. Definir Planes de TI a Corto Plazo (1 año)
Elaborar Diagnostico de PETI a CP
Elaborar Direccionamiento de PETI a CP
Elaborar Diagnostico de PETI a CP
Elaborar Direccionamiento de PETI a CP
2 Definir Planes de TI a Largo Plazo (mas de un año hasta 5)
Elaborar Diagnostico de PETI a LP
Elaborar Direccionamiento de PETI a LP
Elaborar Diagnostico de PETI a LP
Elaborar Direccionamiento de PETI a LP
Procesar el inventario de Soluciones e Infraestructura de TI actuales
1: Evaluar la automatizacion
2: Evaluar la funcionalidad TI
3: Evaluar al Estabilidad TI
6: Evaluar FODA de TI
5: Evaluar costos TI
4: Evaluar la complejidad TI
1: Evaluar la automatizacion
2: Evaluar la funcionalidad TI
3: Evaluar al Estabilidad TI
6: Evaluar FODA de TI
5: Evaluar costos TI
4: Evaluar la complejidad TI
Adaptar los planes de TI a largo plazo a los cambios organizacionales
Estudio oportuno de factibilidad de TI
P2. DEFINICION DE LA ARQUITECTURA DE LA INFORMACION
P3. DETERMINAR LA DIRECCION TECNOLOGICA
Definir la documentacion consistente con las necesidades
Determinar la sintaxis de datos de la organizacion
Determinar la propiedad y clasificacion de la informacion del marco referencial
Determinar la sintaxis de datos de la organizacion
Determinar la propiedad y clasificacion de la informacion del marco referencial
Definir la capacidad y evolucion de la infraestructura
Concordar planes a largo y corto plazo
Evaluar los desarrollos tecnologicos elegidos
Evaluar las contigencias de la infraestructura
Evaluar los planes de adquisicion reflejados en las necesidades de la infraestructura tecnologica
Concordar planes a largo y corto plazo
Evaluar los desarrollos tecnologicos elegidos
Evaluar las contigencias de la infraestructura
Evaluar los planes de adquisicion reflejados en las necesidades de la infraestructura tecnologica
P4. DEFINICION D E LA ORGANIZACIÓN DE TI
P5. MANEJO DE LA INVERSION TI
Control de gasto real
Verificar el sistema de contabilidad
Registrar,procesar y reportar los costos de servicios de informacion
Verificar el sistema de contabilidad
Registrar,procesar y reportar los costos de servicios de informacion
Investigar alternativas
Justificacion de Costos y beneficios
Controlar las ganancias
Garantizar los servicios de informacion
Analizar los beneficios derivados de las actividades de TI
Controlar las ganancias
Garantizar los servicios de informacion
Analizar los beneficios derivados de las actividades de TI
P6. COMUNICACIÓN DE LA DIRECCION Y ASPIRACIONES
codigos establecidos y promovidos por la alta gerencia
codigo de etica
codigo ...
cumplimiento de reglas de etica
Cumplimiento de reglas de conducta
Cumplimiento reglas de seguridad
Estandares de control interno
codigo de etica
codigo ...
cumplimiento de reglas de etica
Cumplimiento de reglas de conducta
Cumplimiento reglas de seguridad
Estandares de control interno
Directrices tecnologicas
Asegurar y monitorear la implementacion de sus politicas
Compromiso con la calidad
Filosofia de calidad
definir filosofia de calidad
documentar filosofia de calidad
mantener filosofia de calidad
Servicios de Informacion
Comprender
Implementar
Mantener
Filosofia de calidad
definir filosofia de calidad
documentar filosofia de calidad
mantener filosofia de calidad
definir filosofia de calidad
documentar filosofia de calidad
mantener filosofia de calidad
Servicios de Informacion
Comprender
Implementar
Mantener
Comprender
Implementar
Politica de Seguridad y control interno
Proposito
Objetivos
Estructura gerencial
Alcence dentro de la organizacion
Definicion y asignacion responsabilidades
Proposito
Objetivos
Estructura gerencial
Alcence dentro de la organizacion
Definicion y asignacion responsabilidades
Mantener
P7. ADMINISYTRACION DE RECURSOS HUMANOS
Tener criterio objetivos (educacionm experiencia y la responsabilidad)
Evaluar los requerimientos de calificaciones del personal
Incrementar la capacitacitacion, los programas de educacion de personal
Evaluacion objetiva y medible de desempeño
Evaluar el desempeño de las responsablidades especificas del puesto
Recibir asesoria en momento apropiado
Evaluar el desempeño de las responsablidades especificas del puesto
Recibir asesoria en momento apropiado
P8. CUMPLIR CON LOS REQUERIMIENTOS EXTERNOS
Definicion y mantenimiento de procedimientos
Revisar el requerimiento externo
Coordinacion de Actividades TI.
Cumplimiento continuo de las actividades de TI.
Revisar el requerimiento externo
Coordinacion de Actividades TI.
Cumplimiento continuo de las actividades de TI.
Leyes, regulaciones y contratos
Revisiones regulares en cuanto a cambios
Busqueda de asistencia legal y modificaciones
Brindar Seguridad al ambiente de trabajo de los usuarios y personal
Privada
Propiedad intelectual
Flujo de datos externos y criptografia
P9. EVALUACION DE RIESGOS DE TI
EVALUACION DE RIESGOS
Identificacion, definicion y actualizacion de los diferentes tipos de riesgos de TI
Definir algunos limites de los riesgos y metodologia para evaluacion de los riesgos
Actualizacion de evolucion de riesgos
Metodologia de evaluacion de riesgos
Medicion de riesgos cualitativos y/o cuantitativas
Diferenciacion de un plan de accion contra los riesgos para asegurar que existen controles y medidas de seguridad economicas
Aceptacion de riesgos dependiendo de la identificacion y la medicion de riesgo
P10.ADMINISTRACION DE PROYECTOS TIAdministracion de proyectos
Definir un marco de referencia general, para la administracion de proyectos que defina el alcance de los limites del mismo
Involucramiento de los usuarios en el desarrollo, implementacion, modificacion en los proyectos
Asigancion de responsabilidadfes y autoridades del personal asignado al proyecto
Aprobacion de fasaes de proyecto por parte de usuarios
Presupuesto y metodologias de aseguramiento de calidad que sean revisados y acordados por partes interesadas
Plan de administracion de riesgos para eliminar o minimizar el riesgo
Plan de prueba, post implementacion
P11. ADMINISTRACION DE LA CALIDAD DE TI.
Definicion y mantenimiento regular del plan de calidad
Promover la filosofia de una mejor continua Contestar preguntas basicas
de quien, que y como
Promover la filosofia de una mejor continua Contestar preguntas basicas
de quien, que y como
Responsabilidades de aseguramiento de calidad que determine los tipos de actividades de aseguramiento de calidad
Metodologia de ciclo de vida de sistemas
Proceso de desarrollo Adquisicion Implementaci
on
Mantenimiento S.I
Proceso de desarrollo Adquisicion Implementaci
on
Mantenimiento S.I
Documentacion de pruebas y programas
Revisiones y reportes de aseguramiento de calidad
P.11 Administracion de Calidad
PROCESAR LA ADQUISICION E IMPLEMENTACION DE LA TI
D2. AI1. Identificar Soluciones Automaticas
D2.AI2. Adquirir y Mantener Software Aplicativo
D2.AI3. Adquirir y Mantener la Infraestructura Tecnologica
D2.AI4. Desarrollar y Mantener los Procedimientos
D2.AI5. Instalar y Aceptar los Sistemas
D2.AI6. Administrar los Cambios
DTI
<<include>>
<<include>>
<<include>><<include>>
<<include>>
P1. IDENTIFICAR LAS SOLUCIONES AUTOMATIZADAS
Definicion de requerimiento de TI para aprobar un proyecto de desarrollo.
Estudio de Factibilidad para satisfacer requerimientos del negocio
Arquitectura de Informacion para el modelo de datos
Definir soluciones
Analizar la factibilidad
Definir soluciones
Analizar la factibilidad
Seguridad para controlar que los costos no excedan los beneficios
Pistas de Auditoria - Mecanismos Adecuados
Proteger datos sensitivos
Proteger datos sensitivos
Adquirir productos de calidad y excelente estado
Contratacion de terceros
Contratacion de terceros
Aceptacion de instalacion y tecnologia
Contrato proveedor
Plan de aceptacion para instalaciones y tecnologia
Contrato proveedor
Plan de aceptacion para instalaciones y tecnologia
P2. AQUIRIR Y MANTENER SOFTWARE APLICATIVO
Requerimientos de usuario
Realizar correcto analisis
Obtener un software claro
Realizar correcto analisis
Obtener un software claro
Requerimientos de Archivos
Entrada Proceso SalidaEntrada Proceso Salida
Interface usuario-maquina
Software facil de utilizar
Software capaz de Autodocumentarse
Software facil de utilizar
Software capaz de Autodocumentarse
Personalizacion de paquetes
Realizar pruebas funcionales
plan de prueba de proyecto
pruebas unitarias
pruebas de aplicacion
pruebas de integracion
pruebas de carga
prueba de estres
estandares establecidos
pruebas unitarias
pruebas de aplicacion
pruebas de integracion
pruebas de carga
prueba de estres
plan de prueba de proyecto
pruebas unitarias
pruebas de aplicacion
pruebas de integracion
pruebas de carga
prueba de estres
pruebas unitarias
pruebas de aplicacion
pruebas de integracion
pruebas de carga
prueba de estres
estandares establecidos
pruebas unitarias
pruebas de aplicacion
pruebas de integracion
pruebas de carga
prueba de estres
pruebas unitarias
pruebas de aplicacion
pruebas de integracion
pruebas de carga
prueba de estres
controles de aplicacion
requerimientos funcionales
documentacion
material de consulta
soporte para usuarios
material de consulta
soporte para usuarios
P3. ADQUIRIR Y MANTENER AL INFRAESTRUCTURA TECNOLOGICA
Evaluacion de tecnologia
Identificar el impacto del nuevo software o hardwareIdentificar el impacto del
nuevo software o hardware
Mantenimiento preventivo de hardware
Reducir frecuencia de falla de rendimiento
Reducir impacto de fallas de rendimientos
Reducir frecuencia de falla de rendimiento
Reducir impacto de fallas de rendimientos
Seguridad de Almacenamiento de datos y programas
Seguridad del software de sistema
Seguridad de Instalacion
Seguridad de Mantenimiento
Seguridad del software de sistema
Seguridad de Instalacion
Seguridad de Mantenimiento
P4. DESARROLLO Y MANTENIMIENTO DE PROCEDIMIENTOS
Manla de Procedimientos de usuarios y controles
permanente actualizacion
Mejor desempeño de los usuarios
Mejor control de los usuarios
permanente actualizacion
Mejor desempeño de los usuarios
Mejor control de los usuarios
Manual de Operacione y Controles
Permanente actualizaciònPermanente actualizaciòn
Materiales de entrenamiento enfocado al uso del sistema
P5. INSTALAR Y ACEPTAR LOS SISTEMAS
Capacitaciòn del Personal
Plan de entrenamiento definido
Materiales relacionados
Plan de entrenamiento definido
Materiales relacionados
Elementos necesarios del sistema anterior sean convertidos al sistema
Pruebas especificas
Pruebas cambios
Pruebas desempeño
Prueba aceptacion final
prueba de operacion
Pruebas cambios
Pruebas desempeño
Prueba aceptacion final
prueba de operacion
Acreditacion por la gerencia
Resultado de las pruebas
Nivel de seguridad
Riesgo residual existente
Resultado de las pruebas
Nivel de seguridad
Riesgo residual existente
Revision post Implementacion (reportar los beneficios esperados de la manera mas economica)
P6. ADMINISTRAR LOS CAMBIOS
Identificacion de cambios internos y externos
Procedimientos de solicitudes de cambios
procedimiento de categorizacion
procedimiento de priorizacion
procedimiento de emergencia
procedimiento de categorizacion
procedimiento de priorizacion
procedimiento de emergencia
Evaluacion del impacto que provocan los cambios
Automatizacion de cambios
Manejo liberacion de Software
procedimiento de aprobacion
procedimiento de empaque
procedimiento de pruebas de regresion
procedimiento de entrega
procedimiento de aprobacion
procedimiento de empaque
procedimiento de pruebas de regresion
procedimiento de entrega
Asegurar medidas de control especificas para la distribucion de software correcto al lugar correcto, con integridad y de manera oportuna
PROCESAR PRESTACIONES Y SOPORTE DE TI
P1. DEFINICION DE NIVELES DE SERVICIO
D3Ds1.Definicion de niveles de servicio
D3Ds2.Administracion de servicios prestados por terceros
D3Ds3.Administracion de desempeño y capacidad
D3Ds4.Asegurar el servicio continuo
D3Ds5.Garantizar la seguridad de sistemas
D3Ds6.Educacion y entrenamiento de usuarios
D3Ds7.Identificacion y asignacion de costos de TI
D3Ds8.Apoyo y asistencia a los clientes de TI
D3Ds9.Administracion de la configuracion de TI
D3Ds10.Administracion de problemas
D3Ds11.Administracion de datos
D3Ds12.Administracion de las instalacaiones
D3Ds13.Administracion de la operacion
DTI
<<include>>
<<include>>
<<include>>
<<include>> <<include>>
<<include>>
<<include>>
<<include>>
<<include>>
<<include>><<include>>
<<include>>
Definir y comprender los requerimientos de los servicios
1.Definir nivel de servicio por cantidad
2.Definir nivel de servicio por calidad
1.Definir nivel de servicio por cantidad
2.Definir nivel de servicio por calidad
Determinar convenios formales
1.Determinar disponibilidad
2.Determinar confiabilidad
3.Determinar desempeño
4.Determinar capacidad decrecimiento
5.Determinar niveles de soporte proporcionadas al usuario
6.Determinar plan de contingencia/recuperacion
7.Determinar nivel minimo aceptable de funcionalidad del sistema satisfactoriamente liberado
8.Determinar restricciones
9.Determinar cargos de servicios
10.Determinar instalaciones de impresion central
11.Determinar distribucion de impresion central
12.Determinar procedimiento de cambio.
1.Determinar disponibilidad
2.Determinar confiabilidad
3.Determinar desempeño
4.Determinar capacidad decrecimiento
5.Determinar niveles de soporte proporcionadas al usuario
6.Determinar plan de contingencia/recuperacion
7.Determinar nivel minimo aceptable de funcionalidad del sistema satisfactoriamente liberado
8.Determinar restricciones
9.Determinar cargos de servicios
10.Determinar instalaciones de impresion central
11.Determinar distribucion de impresion central
12.Determinar procedimiento de cambio.
Definir responsibilidades de los usuarios y de la funcion de servicio
Asegurar relaciones de desempeño
Definicion de dependencias del servicio
Criterios de desempeño
monitoreo reportar
Criterios de desempeño
monitoreo reportarmonitoreo reportar
Comparar y seleccionar niveles de servicios contra su costo
Garantizar integridad
Confidelizar convenios Implementar software de
mejoramiento de servicio
P2. ADMINISTRACION DE SERVICIO S PRESTADOS POR TERCEROS
Acuerdos de servicios con terceros
Basado en niveles
Procesamiento requerido
seguridad
monitoreo
requerimientos de contingencia
Requerimiento legales regulatorios
Asegurar acuerdos
Identificados
Declarados
Acordados
Monitoreo de la entrega de servicio
Asegurar cumplimiento de contrato
Acuerdos de confidencionalidad
Calificacion de terceros
Definicion y acuerdo para cada relacion
Cumplimiento y continuidad en la satisfaccion de los requerimientos por terceros
Basado en niveles
Procesamiento requerido
seguridad
monitoreo
requerimientos de contingencia
Procesamiento requerido
seguridad
monitoreo
requerimientos de contingencia
Requerimiento legales regulatorios
Asegurar acuerdos
Identificados
Declarados
Acordados
Asegurar acuerdos
Identificados
Declarados
Acordados
Identificados
Declarados
Acordados
Monitoreo de la entrega de servicio
Asegurar cumplimiento de contrato
Asegurar cumplimiento de contrato
Acuerdos de confidencionalidad
Calificacion de terceros
Definicion y acuerdo para cada relacion
Calificacion de terceros
Definicion y acuerdo para cada relacion
P3. ADMINISTRACION DE DESEMPEÑO Y CAPACIDAD
Disponibilidad y utilizacion de la capacidad adecuada de TI
Controles de manejo de capacidad y desempeño
Requerimientos de disponibilidad y desempeño
Monitoreo y reporte de los recursos TI
Utilizacion de herramientas de modelado
Administracion de capacidad para el desempeño y calidad
Prevencion de perdida disponibilidad de recursos
Requerimientos de disponibilidad y desempeño
Monitoreo y reporte de los recursos TI
Utilizacion de herramientas de modelado
Administracion de capacidad para el desempeño y calidad
Prevencion de perdida disponibilidad de recursos
P4. ASEGURAR EL SERVICIO CONTINUO
Mantenimiento de servicio disponible segun requerimiento y prevension caso interrupcion
Plan de continuidad del negocio y requerimiento de negocio
Planificacion de serenidad
Plan documentado
Respaldo de recuperacion Pruebas y entrenimiento sistematico y singular
Procedimiento alternativo
Plan de continuidad del negocio y requerimiento de negocio
Planificacion de serenidad
Plan documentado
Respaldo de recuperacion Pruebas y entrenimiento sistematico y singular
Procedimiento alternativo
Planificacion de serenidad
Plan documentado
Respaldo de recuperacion Pruebas y entrenimiento sistematico y singular
Procedimiento alternativo
P5. GARANTIZAR LA SEGURIDAD DE SISTEMAS
Control de acceso logico
Instrumentacion de mecanismo de autenticacion de usuarios identificados
Autorizacion, autentificacion y el acceso logico
Identificacion de usuarios
Administracion de llaves criptograficas
Manejar, reportar y seguir incidentes de implementacion de capacidad de atencion
Prevencion y deteccion de virus
Utilizacion de firewalls
Autorizacion, autentificacion y el acceso logico
Identificacion de usuarios
Administracion de llaves criptograficas
Manejar, reportar y seguir incidentes de implementacion de capacidad de atencion
Prevencion y deteccion de virus
Utilizacion de firewalls
P6. EDUCACION Y ENTRENAMIENTO DE USUARIOS
Asegurar uso efectivo del TI por los usuarios
Plan completo de entrenamiento y desarrollo
Curriculum de entrenamiento
Campañas de concientiacion
Tecnica de concientizacion y entrenamiento wetico del TI
Curriculum de entrenamiento
Campañas de concientiacion
Tecnica de concientizacion y entrenamiento wetico del TI
P7. IDENTIFICACION Y ASIGNACION DE COSTOS DE TI
Asegurar conocimiento costos de TI
Sistema de contabilidad
Identificar, medir y predecir elementos sujetos a cargo
Procedimientos y politicos de cargo que formulen el buen uso de recursos TI
Definir e implementar procedimientos de costos de prestamiento del servicio
Identificar, medir y predecir elementos sujetos a cargo
Procedimientos y politicos de cargo que formulen el buen uso de recursos TI
Definir e implementar procedimientos de costos de prestamiento del servicio
P8.APOYO Y ASISTENCIA LOS CLIENTES DE TI
Atencion rapida y apropiada del problema experimentado por el usuario
Soporte y asesoria
Consultas y respuestas a problemas duro de ayuda
Monitoreo y despacho de consultas reagsinadas el nivel adecuado
Analisis y reporte de preguntas y solucion adecuadas
Consultas y respuestas a problemas duro de ayuda
Monitoreo y despacho de consultas reagsinadas el nivel adecuado
Analisis y reporte de preguntas y solucion adecuadas
P9.ADMINISTRACION DE LA CONFIGURACION DE TI
Conteo de componentes de TI, prevencion verificar y proporcionar sano manejo
Control de identificacion y registro activos de TI
Registro de activos
Administracion de cambios
Chequeo de software
Control de almacenamiento
Registro de activos
Administracion de cambios
Chequeo de software
Control de almacenamiento
P10.ADMINISTRACION DE PROBLEMAS
Resolucion e investigacion de problemas e incidentes
Sistemas de manejo de problemas
Registro SeguimientoRegistro Seguimiento
P11.ADMINISTRACION DE DATOS
Asegurar datos completos, precisos y validados
Control general y de aplicacion sobre operaciones TI
Control de documentos fuentes
Validacion de datos
Definicion e implementacion de procedimientos de seguridad
Control de documentos fuentes
Validacion de datos
Definicion e implementacion de procedimientos de seguridad
P12.ADMINISTRACION DE LAS INSTALACIONES
Control fisico y ambiental
P13.ADMINISTRACION DE LA OPERACIÓN
Mantenimiento soporte TI regular y ordenado
Organizacion de soporte
Calendarizacion de actividades de soporte
Documentacion y reporte periodicamente
Calendarizacion de actividades de soporte
Documentacion y reporte periodicamente
PROCESAR MONITOREO Y CONTROL DE TI
D4M1. Monitoreo del proceso
D4M2. Evaluar lo adecuado del control interno
D4M3. Obtencion de aseguramiento independiente
D4M4. Proveer Auditoria Independiente
DTI
<<include>>
<<include>><<include>>
P1. MONITOREO DEL PROCESO
Definir los objetivos establecidos para los procesos de TI
Definir reportes de P. de TI
Definir indicadores claves de desempeño y/o factores criticos de exito
Inplementacion de Sistema de soporte de TI
Atencion regular a los reportes emitidos
Definir reportes de P. de TI
Definir indicadores claves de desempeño y/o factores criticos de exito
Inplementacion de Sistema de soporte de TI
Atencion regular a los reportes emitidos
Comparacion de desempeño y factores criticos de exito con objetivos propuestos
Evaluar desempeño de procesos de TI
Medir grado de satisfaccion de los clientes con respecto a los servicios de TI
Identificar deficiencias de servicios de TI
Establecer objetivos de mejoramiento de TI
Establecer sus objetivos y confeccionamiento de informe que indiquen el avance d ela organizacion hacia los objetivos propuestos
Identificar deficiencias de servicios de TI
Establecer objetivos de mejoramiento de TI
Establecer sus objetivos y confeccionamiento de informe que indiquen el avance d ela organizacion hacia los objetivos propuestos
P2. EVALUAR LO ADECUADO DEL CONTROL INTERNOMonitorear efectividad de los controles internos
Realizar actividad administrativa
Realizar actividad de supervision
Realizar comparacion
Reconciliaciones
Otras acciones rutinarias
Evaluar efectividad de controles internos de TI
Emitir reportes de efectividad de controles internos en forma regular
Realizar actividad administrativa
Realizar actividad de supervision
Realizar comparacion
Reconciliaciones
Otras acciones rutinarias
Evaluar efectividad de controles internos de TI
Emitir reportes de efectividad de controles internos en forma regular
Revisar existencia de puntos vulnerables
Revisar existencia de problemas de seguridad
P3. OBTENCION DE ASEGURAMIENTO INDEPENDIENTE
obtener certificacion o acreditacion independiente de seguridad y control interna
Implementar nuevos servicios de TI que resulten criticos como asi tambien para trabajar con nuevos proveedores de servicios de TI
Adoptar trabajo rutinario tanto hacer evaluaciones periodicas sobre la efectividad de los servicios de Ti y proveedores de estos servicios de TI
Asegurar el cumplimiento de los compromisos contractuales de los servicios de TI y d elos proveedores de estos servicios
P 4. PREVEER AUDITORIA INDEPENDIENTE
Establecer los estatutos para la funcion de auditoria
Establecer los estatutos para la funcion de Auditoria
Responsabilidad
Auditoria
Obligaciones
Responsabilidad
Auditoria
Obligaciones
El auditor debera respetar la etica y estandares profesionales
Seleccionar auditores que sean tecnicamente competente
Asegurar tareas efectivas y eficientes