La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Modelo de Gestión de TI Ing. Víctor Manuel Montaño Ardila.

Publicada porClarisa Burgos Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Modelo de Gestión de TI Ing. Víctor Manuel Montaño Ardila."— Transcripción de la presentación:

1 Modelo de Gestión de TI Ing. Víctor Manuel Montaño Ardila

2 RECORDEMOS Para muchas empresas, la información y la tecnología que las soportan representan sus más valiosos activos, aunque con frecuencia son poco entendidos. Las empresas exitosas reconocen los beneficios de la tecnología de información y la utilizan para impulsar el valor de sus interesados (stakeholders). Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI. Ing. Víctor Manuel Montaño Ardila

3 RECORDEMOS Estas empresas también entienden y administran los riesgos asociados, tales como el aumento en requerimientos regulatorios, así como la dependencia crítica de muchos procesos de negocio en TI. Ing. Víctor Manuel Montaño Ardila

4 RECORDEMOS El Gobierno De TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales. Ing. Víctor Manuel Montaño Ardila

5 RECORDEMOS Más aún, el gobierno de TI integra e institucionaliza las buenas prácticas para garantizar que la TI de la empresa sirve como base a los objetivos del negocio. De esta manera, el gobierno de TI facilita que la empresa aproveche al máximo su información, maximizando así los beneficios, capitalizando las oportunidades y ganando ventajas competitivas. Ing. Víctor Manuel Montaño Ardila

6 RECORDEMOS Para que la TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vínculo con los requerimientos del negocio Organizando las actividades de TI en un modelo de procesos generalmente aceptado Identificando los principales recursos de TI a ser utilizados Definiendo los objetivos de control gerenciales a ser considerados Ing. Víctor Manuel Montaño Ardila

7 Ing. Víctor Manuel Montaño Ardila

8 Ing. Víctor Manuel Montaño Ardila

9 Ing. Víctor Manuel Montaño Ardila

10 Modelo COBIT Mejores prácticas para Gestión de Tecnologías Informáticas
Ing. Víctor Manuel Montaño Ardila

11 CONCEPTO BÁSICOS MODELO COBIT
(Control Objectives for Information Systems and related Technology) Modelo para evaluar y/o auditar la gestión y control de los de Sistemas de Información y Tecnología relacionada (IT): Es el resultado de una investigación con expertos de varios paises, desarrollada por la “Information, Systems Audit and Control Association “ISACA”. Esta asociación se ha constituido en el organismo normalizador y orientador en el control y la auditoría de los sistemas de Información y Tecnología (IT). El modelo CobIT ha sido aceptado y adoptado por organizaciones en el ámbito mundial. Ing. Víctor Manuel Montaño Ardila

12 LEGISLADORES / REGULADORES CONSULTORES EN CONTROL/SEG.
CONCEPTO BÁSICOS LEGISLADORES / REGULADORES USUARIOS PRESTADORES DE SERVICIOS Modelo COBIT Origen MARCO UNICO REFERENCIA PRACTICAS SEGURIDAD Y CONTROL USUARIOS DE TI ALTA GERENCIA INVERSION CONTROL TI BALANCE RIESGO/CONTROL BASE BENCHMARKING ACREDITACÍON CONTROL /SEGURIDAD POR AUDITORES O TERCEROS CONFUSIÓN ESTANDARES DESGASTE OPINION V.S. ALTA GCIA. CONSULTORES EN CONTROL/SEG. TI AUDITORES Ing. Víctor Manuel Montaño Ardila

13 CONCEPTO BÁSICOS O b j e t i v o s y B e n e f i c i o s
Proveer un marco único reconocido a nivel mundial de las “mejores prácticas” de control y seguridad de TI Consolidar y armonizar estándares originados en diferentes países desarrollados. Concientizar a la comunidad sobre importancia del control y la auditoría de TI. Enlaza los objetivos y estrategias de los negocios con la estructura de control de la TI, como factor crítico de éxito Aplica a todo tipo de organizaciones independiente de sus plataformas de TI Ratifica la importancia de la información, como uno de los recursos más valiosos de toda organización exitosa O b j e t i v o s y B e n e f i c i o s Ing. Víctor Manuel Montaño Ardila

14 CONCEPTO BÁSICOS COBIT Representatividad
ISACA paises miembros COBIT Representatividad Investigación: E.U-Europa-Australia-Japón Consolidación y armonización 18 estándares COSO : (Committe Of Sponsoring Org. of the Treadway Commission) OECD : (Organizarion for Economic Cooperation and Development) ISO : (International Standars Organization) NIST : (National Institute of Standars and Technology) DTI : (Departament of Trade and Industry of the U.K´) ITSEC : (Information Technology Security Evaluation Criteria - Europa) TCSEC : (Trusted Computer Evaluación Criteria - Orange Book- E.U) IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control) IS : Auditing Standars Japón Ing. Víctor Manuel Montaño Ardila

15 Requerimientos de calidad
CONCEPTO BÁSICOS Para satisfacer los objetivos del negocio la información debe cumplir con criterios que COBIT extrae de los más reconocidos modelos: Requerimientos de calidad (ISO ) Calidad Costo Entrega Ing. Víctor Manuel Montaño Ardila

16 CONCEPTO BÁSICOS Eficacia y eficiencia Confiabilidad de la información
Cumplimiento con leyes y reglamentaciones Requerimientos fiduciarios (informe COSO) Disponibilidad Integridad Confidencialidad Requerimientos de seguridad (libro rojo, naranja, ISO y otros) Ing. Víctor Manuel Montaño Ardila

17 REGLA DE ORO DEL COBIT A fin, de proveer la información que la organización requiere para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y normalmente aceptada. Ing. Víctor Manuel Montaño Ardila

18 ¿POR QUÉ COBIT? La Tecnología se ve como un costo, no hay una terminología común con el negocio, y se recorta el presupuesto en la seguridad, ya que la falta de difusion de normas y buenas prácticas que ayuden a generar conciencia de los riesgos mantiene la quimera del : “ A mi no me va pasar..” Ing. Víctor Manuel Montaño Ardila

19 Gobierno de Tecnología de Información El rol de la Dirección
¿POR QUÉ COBIT? Gobierno de Tecnología de Información El rol de la Dirección La Dirección, a través de su Gobierno Corporativo debe garantizar la debida diligencia por parte de todos los individuos involucrados en la administración, uso, diseño, desarrollo, mantenimiento u operación de los sistemas de información. Ing. Víctor Manuel Montaño Ardila

20 QUIÉNES NECESITAN REGLAS DE JUEGO DEFINIDAS?
Los Mandos Gerenciales para saber que deben exigir, como medir los resultados y cuales son sus responsabilidades en esos temas. Balancear el riesgo y la inversión en control de un ambiente a menudo impredecible El Auditor para sustentar sus opiniones sobre los riesgos y la adecuación de la tecnología a las mejores prácticas. Ser asesores proactivos del negocio Ing. Víctor Manuel Montaño Ardila

21 ADEMÁS... El Área usuaria para saber que puede pedir a tecnología y que se le va a exigir sobre el control de los procesos del negocio. Son los interesados en saber si los recursos de Tecnología de Información se utilizan adecuadamente y les ayudan a alcanzar sus objetivos El Gerente de Tecnología para definir un acuerdo de servicios y justificar su inversión Los Organismos estatales de control, para saber que es lo mínimo que pueden exigir. Ing. Víctor Manuel Montaño Ardila

22 ORIENTACIÓN DE COBIT Su orientación hacia el negocio consiste en vincular objetivos de negocio con objetivos de TI, facilitar métricas y modelos de madurez para medir su éxito, e identificar las responsabilidades asociadas del negocio y los propietarios de los procesos de TI. “ENFOCADO EN EL NEGOCIO, ORIENTADO A PROCESO, BASADO EN CONTROLES Y DIRIGIDO POR MEDIDAS.” Ing. Víctor Manuel Montaño Ardila

23 DEFINICIONES Las Pólíticas, Procedimientos, Prácticas y Estructuras Organizacionales, diseñadas para asegurar razonablemente el logro de los objetivos del negocio y que los eventos indeseables serán prevenidos o detectados o corregidos. CONTROL Son declaraciones del resultado esperado o del propósito a lograr mediante la implementación de los controles en una actividad de IT específica. Objetivos de Control de IT Ing. Víctor Manuel Montaño Ardila

24 PRINCIPIOS Se refiere a la información que es relevante para el negocio y que debe ser entregada de manera correcta, oportuna, consistente y usable. Efectividad Se refiere a la provisión de información a través del óptimo (más productivo y económico) uso de los recursos. Eficiencia Relativa a la protección de la información sensitiva de su revelación no autorizada. Confidencialidad Se refiere a la exactitud y completitud de la información, así como su validez, en concordancia con los valores y expectativas del negocio. Integridad Ing. Víctor Manuel Montaño Ardila

25 PRINCIPIOS Se refiere a la que la información debe estar disponible cuando es requerida por los procesos del negocio ahora y en el futuro. Involucra la salvaguarda de los recursos y sus capacidades asociadas. Disponibilidad Se refiere a cumplir con aquellas leyes, regulaciones y acuerdos contractuales, a los que están sujetos los procesos del negocio. Cumplimiento Se refiere a la provisión de la información apropiada a la alta gerencia, para operar la entidad y para ejercer sus responsabilidades finacieras y de cumplir con los reportes de su gestión. Confiabilidad Ing. Víctor Manuel Montaño Ardila

26 NECESIDAD DE RESPUESTA A LOS RETOS DE TI
Qué no se interrumpa el servicio Qué aporte valor Administrar los costos Dominar la complejidad Alineación con el Negocio Cumplimiento de Regulaciones Seguridad. Ing. Víctor Manuel Montaño Ardila

27 BUEN GOBIERNO DE TI Los 4 principios: Dirigir y controlar
Principios, participantes, ámbito, ventajas … Los 4 principios: Dirigir y controlar Con responsabilidad Con imputabilidad (Accountability) Mediante actividades (Procesos) Ing. Víctor Manuel Montaño Ardila

28 NECESIDAD DE RESPUESTA A LOS RETOS DE TI
Principios, participantes, ámbito, ventajas … Los participantes (stakeholders): Internos Externos Ing. Víctor Manuel Montaño Ardila

29 BUEN GOBIERNO DE TI Las 5 áreas:
Principios, participantes, ámbito, ventajas … Las 5 áreas: Alineación estratégica Aportación de Valor Gestión de Riesgos Gestión de Recursos Medidas de Rendimiento Ing. Víctor Manuel Montaño Ardila

30 BUEN GOBIERNO DE TI Las 5 ventajas:
Principios, participantes, ámbito, ventajas … Las 5 ventajas: Confianza de la Alta Dirección TI es co-responsable al negocio Retorno de Inversión Superior Servicios más confiables Mayor transparencia Ing. Víctor Manuel Montaño Ardila

31 MARCOS DE BUEN GOBIERNO Y DE TI
Las 5 características generales de un buen marco: Enfocado al Negocio Orientado a Procesos Generalmente aceptado Utilice un lenguaje común Cumpla con los requisitos regulatorios Ing. Víctor Manuel Montaño Ardila

32 Expectativas sobre COBIT (1)
Propuesta de Solución Expectativas sobre COBIT (1) Alta Gerencia: Utilizar los procesos de COBIT para lograr un lenguaje común entre el negocio y TI y asignar responsabilidades claras Gerencias Usuarias: Utilizar los objetivos de control de COBIT para determinar las necesidades que serán cubiertas por los Acuerdos de Niveles de Servicio Ing. Víctor Manuel Montaño Ardila

33 Expectativas sobre COBIT (2)
Propuesta de Solución Expectativas sobre COBIT (2) Auditoría Interna: Utilizar los objetivos de control de COBIT como un criterio para evaluar y definir el alcance a revisar Gerente TI: Utilizar los objetivos de control de COBIT para: Estructurar los procesos Establecer objetivos de los procesos Medir el desempeño de los procesos / gestión Generar políticas y procedimientos Ing. Víctor Manuel Montaño Ardila

34 Levantamiento de procesos actuales
Fase 1 Levantamiento de procesos actuales Recursos de TI Procesos de trabajo Criterios de Información Datos Sistemas de Aplicación Infraestructura Tecnológica Instalaciones Físicas Recursos humanos Planeación y organización Adquisición e implantación de soluciones Entrega de servicio y soporte Monitoreo Efectividad Eficiencia Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Ing. Víctor Manuel Montaño Ardila

35 Levantamiento de procesos actuales
Fase 1 Levantamiento de procesos actuales Recursos de TI Procesos de trabajo Criterios de Información Recursos de TI Objetivos de Control Factores Críticos de Éxito Indicadores de Resultados Indicadores de Desempeño Ing. Víctor Manuel Montaño Ardila

36 EL MODELO DEL MARCO DE TRABAJO DE COBIT
Administración, Control, Alineación y Monitoreo de Cobit. El marco de trabajo COBIT, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI. El modelo de procesos COBIT permite que las actividades de TI y los recursos que los soportan sean administrados y controlados basados en los objetivos de control de COBIT, y alineados y monitoreados usando las métricas KGI y KPI de COBIT OBJETIVOS DE NEGOCIO Aplicaciones Información Infraestructura Gente Criterios de Recursos de TI Procesos Objetivos de Control de Alto Nivel Indicadores clave de Objetivos de Rendiemiento Resultados de Negocio Drivers de Gobernabilidad Procesos de TI Objetivos de TI Ing. Víctor Manuel Montaño Ardila

37 ALINEANDO CRITERIOS, PROCESOS, RECURSOS Y OBJETIVOS DE CONTROL
Criterios de Información Efectividad Integridad Cumplimiento Eficiencia Disponibilidad Confidencialidad Confiabilidad Dominios Dominios Información Infraestructura Procesos y Objetivos de Control de TI Aplicaciones Procesos Procesos Personas Actividades Actividades Recursos TI Ing. Víctor Manuel Montaño Ardila

38 CLASIFICACIÓN Agrupamiento lógico de procesos, a menudo se concibe como dominios de responsabilidad dentro de una estructura y se relaciona con el ciclo de vida aplicable a los procesos de Tecnología de Información. Una serie de actividades o tareas vinculadas con cortes (de control) naturales. Son necesarias para lograr un resultado mensurable. Las actividades tienen un ciclo de vida mientras que las tareas son discretas. Dominios Procesos Actividades o tareas Ing. Víctor Manuel Montaño Ardila

39 Ing. Víctor Manuel Montaño Ardila

40 CobiT: enfoque e implementación
Resumen Ejecutivo Herramientas de implementación Resumen Ejecutivo Casos de Estudio Preguntas Frecuentes Presentaciones Power Point Guías de Implementación Diagnóstico Conciencia Administrativa Diagnóstico Control de TI Marco Referencial-Esquema Objetivos de Alto Nivel Lineamientos Gerenciales Objetivos de Control Detallados Guías de Auditoría Prácticas de Control Modelos de Madurez Factores Críticos de Exito Indicadores Clave de Rendimiento Indicadores Clave de Logros Ing. Víctor Manuel Montaño Ardila

41 DOMINIOS DEL COBIT Planeación y Organización
Abarca aspectos estratégicos y tácticos Se vincula con la identificación de la forma en que la tecnología de información puede contribuir más adecuadamente con el logro de los objetivos del negocio. Incluye las actividades de planificar, comunicar y administrar la realización de la visión estratégica desde distintas perspectivas. Ing. Víctor Manuel Montaño Ardila

42 DOMINIO Planificación y Organización
Proceso: PO1 Definición de un plan estratégico de TI Proceso: PO2 Definición de la arquitectura de la información Proceso: PO3 Determinación de la dirección tecnológica Proceso: PO4 Definición de la organización y el relacionamiento en TI Proceso: PO5 Administración de la inversión en TI Proceso: PO6 Comunicación de los objetivos y directivas de la gerencia Proceso: PO7 Administración de los recursos humanos Proceso: PO8 Aseguramiento del cumplimiento de los requerimientos externos Proceso: PO9 Evaluación de riesgos Proceso: PO10 Administración de proyectos Proceso: PO11 Administración de la calidad Ing. Víctor Manuel Montaño Ardila

43 DOMINIOS DEL COBIT Adquisición e Implementación
Identificación, desarrollo o adquisición de soluciones de Ti Implantación e integración en el proceso de negocio. Cambios y mantenimiento de los sistemas existentes para garantizar la natural continuidad del ciclo de vida para estos sistemas. Ing. Víctor Manuel Montaño Ardila

44 DOMINIO Adquisición e Implementación
Proceso: AI12 Identificación de soluciones Proceso: AI13 Adquisición y mantenimiento de software de aplicación Proceso: AI14 Adquisición y mantenimiento de la infraestructura tecnológica Proceso: AI15 Desarrollo y mantenimiento de procedimientos de TI Proceso: AI16 Instalación y certificación de sistemas Proceso: AI17 Administración de cambios Ing. Víctor Manuel Montaño Ardila

45 DOMINIOS DEL COBIT Entrega y Soporte
Prestación efectiva de los servicios requeridos, que comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta la capacitación. Procesos de soporte necesarios. Procesamiento real de los datos por los sistemas de aplicación. Ing. Víctor Manuel Montaño Ardila

46 DOMINIO Entrega y Soporte
Proceso: DS18 Definición de los niveles del servicio Proceso: DS19 Administración de los servicios prestados terceros Proceso: DS20 Administración de la capacidad y del desempeño del sistema Proceso: DS21 Aseguramiento de la continuidad del servicio Proceso: DS22 Establecimiento de pautas para la seguridad de los sistemas Proceso: DS23 Identificación e imputación de costos Ing. Víctor Manuel Montaño Ardila

47 DOMINIO Entrega y Soporte
Proceso: DS24 Educación y capacitación de los usuarios Proceso: DS25 Asistencia y asesoramiento a los clientes de TI Proceso: DS26 Administración de la configuración Proceso: DS27 Administración de problemas e incidentes Proceso: DS28 Administración de datos Proceso: DS29 Administración de instalaciones Proceso: DS30 Administración de las operaciones Ing. Víctor Manuel Montaño Ardila

48 DOMINIOS DE COBIT Monitoreo
Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control. Seguimiento de la gerencia sobre los procesos de control de la organización Garantía independiente provista por la auditoria interna y externa u obtenida de fuentes alternativas. Ing. Víctor Manuel Montaño Ardila

49 DOMINIO Monitoreo Proceso: ME31 Monitoreo de los procesos
Proceso: ME32 Evaluación de la adecuación del control interno Proceso: ME33 Obtención de aseguramiento independiente Proceso: ME34 Provisión de auditoria independiente Ing. Víctor Manuel Montaño Ardila

50 COBIT DOMINIO AI: AI1 AI2 AI3 AI4 AI5 AI6 P S    P P S S S  P P S
PROCESOS COBIT Navegación (Matriz) DOMINIO AI: Adquisición e Implementación CONFIDENCIALIDAD DISPONIBILIDAD CUMPLIMIENTO CONFIABILIDAD APLICACIONES TECNOCLOGÍA EFECTIVIDAD FACILIDADES INTEGRIDAD EFICIENCIA PERSONAS DATOS AI1 Identificar soluciones de IT P S AI2 P P S Adquirir y mantener software aplicativo S S AI3 Adquirir y mantener arquitectura tecnológica P P S AI4 Desarrollar y mantener procedimientos de IT P P S S S AI5 Instalar y acreditar sistemas P S S AI6 Administrar los cambios P P P P S CRITERIOS RECURSOS Ing. Víctor Manuel Montaño Ardila

51 DEFINICIÓN DE PROCESOS DE TI
PO1: Definir el Plan estratégico de IT La función de servicios de información debería asegurar que hay planes a corto y largo plazo para administrar y orientar todos los recursos de IT de la organización. Estos planes deben ser actualizados de manera correcta y oportuna para adecuarlos a los cambios de las condiciones de la IT. La evaluación de los sistemas existentes debe realizarse antes de desarrollar o modificar el plan estratégico de IT. Así mismo, la función de administración de los servicios de información debe asegurar que el plan estratégico de IT es consistente con los objetivos del negocio, y los planes a corto y largo plazo de la organización. Ing. Víctor Manuel Montaño Ardila

52 OBJETIVOS DE CONTROL DE TI - DETALLADOS
DOMINIO PO: Planeación y Organización PROCESO: PO1: Definir el Plan Estratégico de TI Y tiene en consideración: Objetivos de Control - Detallados 4 Cambios al Plan a largo plazo de la TI 5 1 La TI como parte de los planes a corto/largo plazo de la empresa 2 Plan a largo plazo de la TI 3 Enfoque y estructura del Plan a largo plazo de la TI Plan corto plazo de la función de servicios de TI Evaluación objetivos de control detallados Ing. Víctor Manuel Montaño Ardila

53 PRODUCTOS DE COBIT Ing. Víctor Manuel Montaño Ardila

54 INTERRELACIÓN DE LOS COMPONENTES DE COBIT
Negocio Requerimientos Información Procesos de TI Controlado por Medida para … Objetivos de Control Efectividad y Eficiencia con Logrando Auditado por Transformado en Implementado con Para Madurez Para desempeño Para resultados Metas de las Actividades Guías de Auditoría Practicas de Control Indicadores Clave de Desempeño Indicadores Clave de Metas Modelo de Madurez Ing. Víctor Manuel Montaño Ardila

55 CONTROLES GENERALES Desarrollo de soluciones Administración de Cambios
Seguridad Operación del Computador Controles Generales sobre procesos de TI Integridad (completitud) Precisión Validez Autorización Segregación de Funciones Controles sobre procesos de negocio que utilizan TI Ing. Víctor Manuel Montaño Ardila

56 CONTROLES DE APLICACIÓN - ORIGEN
Preparación de Datos (AC1) Autorización de documentos fuente (AC2) Recolección de datos fuente (AC3) Manejo de errores en documentos fuente (AC4) Retención de documentos fuente (AC5) Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS Ing. Víctor Manuel Montaño Ardila

57 Preparación de Datos (AC1) Autorización de documentos fuente (AC2)
Los procedimientos garantizan que todos los documentos fuente autorizados son completos y precisos, debidamente justificados y transmitidos de manera oportuna para su captura. Los procedimientos de manejo de errores durante la generación de los datos aseguran de forma razonable la detección, el reporte y la corrección de errores e irregularidades. Preparación de Datos (AC1) Autorización de documentos fuente (AC2) Recolección de datos fuente (AC3) Manejo de errores en documentos fuente (AC4) Retención de documentos fuente (AC5) Existen procedimientos para garantizar que los documentos fuente originales son retenidos o pueden ser reproducidos por la organización durante un lapso adecuado de tiempo para facilitar el acceso o reconstrucción de datos así como para satisfacer los requerimientos legales. El personal autorizado, actuando dentro de su autoridad, prepara los documentos fuente de forma adecuada y existe una segregación de funciones apropiada con respecto a la generación y aprobación de los documentos fuente. Los departamentos usuarios implementan y dan seguimiento a los procedimientos de preparación de datos. En este contexto, el diseño de los formatos de entrada asegura que los errores y las omisiones se minimicen. Los procedimientos de manejo de errores durante la generación de los datos aseguran de forma razonable que los errores y las irregularidades son detectadas, reportadas y corregidas Ing. Víctor Manuel Montaño Ardila

58 CONTROLES DE APLICACIÓN - INPUT
Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS Ing. Víctor Manuel Montaño Ardila

59 Procedimientos de autorización de captura de datos (AC6)
Los datos de transacciones, ingresados para ser procesados (generados por personas, por sistemas o entradas de interfases) están sujetos a una variedad de controles para verificar su precisión, integridad y validez. Los procedimientos también garantizan que los datos de entrada son validados y editados tan cerca del punto de origen como sea posible. Existen y se siguen procedimientos para la corrección y re-captura de datos que fueron ingresados de manera incorrecta. Procedimientos de autorización de captura de datos (AC6) Verificación de precisión, integridad y autorización (AC7) Manejo de errores en la entrada de datos (AC8) Los procedimientos aseguran que solo el personal autorizado capture los datos de entrada. Ing. Víctor Manuel Montaño Ardila

60 CONTROLES DE APLICACIÓN - PROCESAMIENTO
Integridad en el procesamiento de datos (AC9) Validación y edición del procesamiento de datos (AC10) Manejo de errores en el procesamiento de datos (AC11) Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS Ing. Víctor Manuel Montaño Ardila

61 Procedimientos de autorización de captura de datos (AC6)
Los procedimientos garantizan que la validación, la autenticación y la edición del procesamiento de datos se realizan tan cerca como sea posible del punto de generación. Los individuos aprueban decisiones vitales que se basan en sistemas de inteligencia artificial. Los procedimientos de manejo de errores en el procesamiento de datos permiten que las transacciones erróneas sean identificadas sin ser procesadas y sin una indebida interrupción del procesamiento de otras transacciones válidas. Los procedimientos para el procesamiento de datos aseguran que la separación de funciones se mantiene y que el trabajo realizado de forma rutinaria se verifica. Los procedimientos garantizan que existen controles de actualización adecuados, tales como totales de control de corrida-a-corrida, y controles de actualización de archivos maestros Procedimientos de autorización de captura de datos (AC6) Verificación de precisión, integridad y autorización (AC7) Manejo de errores en la entrada de datos (AC8) Ing. Víctor Manuel Montaño Ardila

62 CONTROLES DE APLICACIÓN - OUTPUT
Manejo y retención de salidas (AC12) Distribución de Salidas (AC13) Cuadre y conciliación de salidas (AC14) Revisión de Salidas y Manejo de errores (AC13) Provisión de seguridad para reportes de salida (AC14) Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS Ing. Víctor Manuel Montaño Ardila

63 Manejo y retención de salidas (AC12) Distribución de Salidas (AC13)
Existen procedimientos para garantizar que se mantiene la seguridad de los reportes de salida, tanto para aquellos que esperan ser distribuidos como para aquellos que ya están entregados a los usuarios. Manejo y retención de salidas (AC12) Distribución de Salidas (AC13) Cuadre y conciliación de salidas (AC14) Revisión de Salidas y Manejo de errores (AC13) Provisión de seguridad para reportes de salida (AC14) Los procedimientos garantizan que tanto el proveedor como los usuarios relevantes revisan la precisión de los reportes de salida. También existen procedimientos para la identificación y el manejo de errores contenidos en las salidas. Las salidas cuadran rutinariamente con los totales de control relevantes. Las pistas de auditoría facilitan el rastreo del procesamiento de las transacciones y la conciliación de datos alterados. Los procedimientos para la distribución de las salidas de TI se definen, se comunican y se les da seguimiento. El manejo y la retención de salidas provenientes de aplicaciones de TI siguen procedimientos definidos y tienen en cuenta los requerimientos de privacidad y de seguridad. Ing. Víctor Manuel Montaño Ardila

64 CONTROLES DE APLICACIÓN – ENTORNO CON TERCEROS
Autorización de Datos ORIGEN Ingreso de Datos INPUT Procesamiento de Datos Salida de Datos OUTPUT ENTORNO CON TERCEROS Autenticidad e Integridad (AC15) Protección de información sensitiva durante su transmisión y transporte (AC16) Ing. Víctor Manuel Montaño Ardila

65 Autenticidad e Integridad (AC15)
Se proporciona una protección adecuada contra accesos no autorizados, modificaciones y envíos incorrectos de información sensitiva durante la transmisión y el transporte. Autenticidad e Integridad (AC15) Protección de información sensitiva durante su transmisión y transporte (AC16) Se verifica de forma apropiada la autenticidad e integridad de la información generada fuera de la organización, ya sea que haya sido recibida por teléfono, por correo de voz, como documento en papel, fax o correo electrónico, antes de que se tomen medidas potencialmente críticas. Ing. Víctor Manuel Montaño Ardila

Descargar ppt "Modelo de Gestión de TI Ing. Víctor Manuel Montaño Ardila."

Presentaciones similares

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Diagnóstico de la Organización de la Calidad PDVSA

Diagnóstico de la Organización de la Calidad PDVSA
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.

NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Comprimido ARCHIformativo

Comprimido ARCHIformativo
COBIT Objetivos de Control para la Información y Tecnologías Afines

COBIT Objetivos de Control para la Información y Tecnologías Afines
Enfoque de Control Interno..COBIT

Enfoque de Control Interno..COBIT
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS

CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Enrique Cardenas Parga

Enrique Cardenas Parga
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Presentaciones similares

Anuncios Google