Documente Academic
Documente Profesional
Documente Cultură
Organizacin de Sistemas de
Informacin
Visin General
Estrategia de sistemas de informacin
Polticas y procedimientos
Prcticas de administracin de SI
Organizacin, estructura y responsabilidades
de SI
Auditando la administracin, planeamiento y
organizacin de SI
Estrategia de sistemas
de informacin
Planeamiento estratgico
Planeamiento de largo plazo para la
organizacin de sistemas de
informacin.
Generalmente tiene una alcance de
3 a 5 aos.
Estrategia de sistemas
de informacin
Comit de Direccin
La gerencia de mayor nivel de la organizacin debe
convocar un comit de direccin que supervise la
funcin de sistemas de informacin y sus
actividades. Un comit de direccin de alto nivel es
un factor importante en asegurar que los
departamentes de sistemas de informacin se
encuentra en armona con la misin y objetivos de la
organizacin.
Estrategia de sistemas de
informacin
Planeamiento / Comit de direccin
Comit de revisin para projectos de IS
importantes.
Comit de direccin.
Polticas y
Procedimientos
Polticas
Alto nivel
Bajo nivel
Procedimientos
Polticas y
Procedimientos
Alta
Gerencia
Gerencia
Media
Estndares
Polticas Especficas
Gerencia
Operaciones - Ejecucin
Procedimientos
Administrativos y
Operativos
Polticas y
Procedimientos
Las polticas escritas de SI deben
originarse en el nivel Corporativo para
asegurar uniformidad.
Los procedimientos son documentos
detallados. Deben derivarse de la
poltica matriz y debe implementar el
espritu o (intencin) de la declaracin
de la poltica.
Prcticas de administracin
de sistemas de informacin
Administracin de personal
Prcticas de contratacin
Manual del empleado
Polticas de promocin
Entrenamiento
Prcticas de administracin
de sistemas de informacin
Administracin del personal
Programacin y reporte de tiempo
Evaluacin del desempeo del empleado
Vacaciones
Polticas de terminacin
Prcticas de administracin
de sistemas de informacin
Prcticas de Outsourcing (Acuerdos de Niveles de
Servicio)
Razones para considerar el outsourcing
Servicios provistos por un tercero
Posibles ventajas
Posibles desvantajas
Acuerdos de niveles de servicio
Riesgos de negocio
Consideraciones de Auditora y Seguridad
Prcticas de administracin
de sistemas de informacin
Estrategias en la auditora de
outsourcing
Reporte de la auditora de terceros
Revisiones peridicas por el auditor del
usuario del servicio
Prcticas de administracin
de sistemas de informacin
Planeamiento de capacidad y
crecimiento
Satisfaccin del usuario
Comparacin y estndares de la
industria
Administracin del cambio de TI
Prcticas de administracin financiera
Presupuestos de SI
Administracin de la calidad
Prcticas de administracin
de sistemas de informacin
Administracin de la calidad
Desarrollo, mantenimiento e implementacin de
sistemas de informacin
Adquisicin de equipos y programas
Operaciones del da a da
Seguridad
Administracin de recursos humanos
Administracin general
Prcticas de administracin
de sistemas de informacin
Estndares para asistir a la
organizacin
Interpretacin del estndar ISO
Modelo de madurez de la capacidad
Prcticas de administracin
de sistemas de informacin
Administracin de seguridad de informacin
Optimizacin del desempeo
Dificultades para la medicin del desempeo
Usos de la medicin del desempeo
Premios, compensacin y reconocimiento
Estructura de la organizacin y
responsabilidades de SI
Estructura del un departamento de SI
Estructura de la organizacin y
responsabilidades de SI
Estructura general del un departamento de SI
CIO
IS / IT Dir
Development
& Support
Develop.
Application's
Maintenance
User's
Support
Operation
Quality
Assurance
Operations
Independent
Quality
Assurance
Security
Technical
Support
Security
Estructura de la organizacin y
responsabilidades de SI
Roles y responsabilidades de SI
Desarrollo de sistemas
Mesa de ayuda
Operaciones
Libreras
Entrada de datos en linea y en lote
Estructura de la organizacin y
responsabilidades de SI
Roles y responsabilidades de SI
Administracin de sistemas
Administracin de seguridad
Aseguramiento de la calidad
Administracin de la base de datos
Estructura de la organizacin y
responsabilidades de SI
Roles y responsabilidades de SI
Anlisis de sistemas
Arquitectura de seguridad
Programacin de aplicaciones
Programacin de sistemas
Administracin de redes
Estructura de la organizacin y
responsabilidades de SI
Segregaci de funciones en SI
Evita la posibilidad de errores de
apropiacin
Desalienta actos fraudulentos
Limita los accesos a los datos
Estructura de la organizacin y
responsabilidades de SI
Segregation of Duties within IS
Estructura de la organizacin y
responsabilidades de SI
Controles de segregacin de
funciones
Autorizacin de transacciones
Custodia de activos
Acceso a datos
Estructura de la organizacin y
responsabilidades de SI
Controles de segregacin de funciones
/ Continuacin...
Formularios de autorizacin
Tablas de autorizacin de usuario
Controles compensatorios para la falta de
segregacin de funciones
Estructura de administracin de proyectos
Auditora administracin,
planeamiento y organizacin de SI
Indicadores de problemas potenciales
incluyen:
Auditora administracin,
planeamiento y organizacin de SI
Indicadores de problemas potenciales incluyen: (cont.)
Auditora de la administracin,
planeamiento y organizacin de SI
Revisin de la documentacin
Entrevistas y observacin del
personal en el desempeo de sus
funciones
Revisin de compromisos
contractuales
Auditora de la administracin,
planeamiento y organizacin de SI
Revisin de documentacin
Estrategias de TI, planes y presupuestos
Polticas de seguridad de documentacin
Organizacin / cuadros funcionales
Descripcin de puestos
Reportes del comite de direccin
Desarrollo de sistemas y procedimientos de
cambios a programas
Procedimientos operativos
Manuales de recursos humanos
Procedimientos de aseguramiento de calidad
Auditora de la administracin,
planeamiento y organizacin de SI
Entrevistas y observaciones del
personal en el desarrollo de sus
responsabilidades
Funciones actuales
Entendimiento de la seguridad
Reporte de relaciones
Auditora de la administracin,
planeamiento y organizacin de SI
Revisin de compromisos contractuales
Desarrollo de requerimientos contractuales
Proceso de contratacin
Procesos de seleccin y contratacin
Aceptacin de contrato
Mantenimiento de contrato
Cumplimiento de contrato
Captulo 2: Glosario
Controles Administrativos
Benchmark
Anlisis de impacto en el negocio (BIA)
Procesamiento centralizado de datos
Gobierno corporativo
Administrador de base de datos (DBA)
Administracin de sistemas de informacin
(MIS)
Pruebas de desempeo
Pedido de propuestas (RFP)
Captulo 2: Recapitulacin
Discusin de Grupo
Preguntas
Captulo 2: Preguntas
1. Cul de las siguientes tareas es
desempeada por la misma persona en un
entorno bien controlado de sistemas en el
centro de cmputo?
A. Administracin y gestion de la seguridad
B. Operacin de computadoras y desarrollo de
sistemas
C. Desarrollo de sistemas y administracin de
cambios
D. Desarrollo de sistemas y mantenimiento de
sistemas
Captulo 2: Preguntas
2. Cul de las siguientes es el control
ms crtico sobre la administracin
de la base de datos?
A. Aprobacin de las activiades del DBA
B. Segregacin de funciones
C. Revisin de las btcoreas de actividad
y de acceso
D. Revisin del uso de las herramientas
de base de datos
Captulo 2: Preguntas
3. Cul de los siguientes estar incluido en
un planeamiento estratgico de sistemas?
A. Especificaciones para las compras planeadas
de equipos
B. Anlisis de objetivos de negocio
C. Fechas objetivo para el desarrollo de proyectos
D. Objetivos presupuestales anuales para el
departamento de SI
Captulo 2: Preguntas
4. La responsabilidad ms importante del
oficial de seguridad de datos en una
organizacin es:
A. Recomendacin y monitoreo de
polticas de seguridad de datos
B. Promocin del conocimiento de
seguridad en la organizacin
C. Establecimiento de procedimientos
para las polticas de seguridad de IT
D. Administracin de controles de acceso
fsicos y lgicos
Captulo 2: Preguntas
5. Cul de las siguientes describe mejor el proceso de
planeamiento estratgico de un departamento de TI?
A. El departamento de TI tendr planes de largo plazo o de corto plazo
dependiendo de los planes y objetivos de la organizacin.
B. El plan estratgico del departamento de TI debe estar orientado al
cronograma y al proyecto, pero no demasiado detallado para poder ayudar
a determinar las prioridades para atender las necesidades del negocio.
C. Planeamiento de largo plazo para el departamenteo de TI debe reconocer
los objetivos organizacionales, avances tecnolgicos y requerimientos
regulatorios.
D. Planeamiento de corto plazo del departamento de TI no necesita estar
integrado en los planes de corto plazo de la organizacin considerando
que los avances tecnolgicos dirigirn los planes del departamento de TI
ms rpidamente que los planes de la organizacin.
Captulo 2: Preguntas
6. Cuando una completa segregacin de
funciones no puede ser realizada en un
ambiente en lnea, cual de las siguientes
funciones debe ser separada de las
dems?
A. Origen
B. Autorizacin
C. Registro
D. Correccin
Captulo 2: Preguntas
7. En una organizacin pequea, donde la segregacin
de funciones no es prctica, un empleado tiene el rol
de operador de computador y programador de
aplicaciones. Cul de los siguientes controles debe
ser recomendado por el auditor de sistemas?
A. Automated logging of changes to development libraries
B. Additional staff to provide segregation of duties
C. Procedures that verify that only approved program
changes are implemented
D. Access controls to prevent the operator from making
program modifications
Chapter 2: Questions
8. Which of the following is MOST likely to
be performed by the security
administrator?
A.
B.
C.
D.
Chapter 2: Questions
9. An IS auditor is auditing the controls relating
to employee termination. Which of the
following is the MOST important aspect to be
reviewed?
the termination
B. User ID and passwords of the employee
have been deleted
C. The details of employee have been removed
from active
payroll files
D. Company property provided to the
employee has been returned
Chapter 2: Questions
10. When reviewing a service level agreement for
an outsourced computer center an IS auditor
should FIRST determine that:
A. the cost proposed for the services is
reasonable.
B. security mechanisms are specified in the
agreement.
C. the services in the agreement are based
on an analysis of business needs.
D. audit access to the computer center is
allowed under the agreement.