Diagnóstico TI. El Diagnóstico o Auditoría de Tecnología de Información (TI) es el proceso de evaluación y recolección de evidencias de los Sistemas de.

Slides:



Advertisements
Presentaciones similares
ESTRATEGIA E-BUSINESS
Advertisements

Administración moderna de la seguridad
PLAN ESTRATÉGICO Introducción 1.- Definición.
SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
SistematizaciÓn DE EXPERIENCIAS.
DISEÑO DE EXPERIMENTOS
PLANEACIÓN ESTRATÉGICA
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
Ejemplo La empresa Producciones Valencianas, en el análisis de sus operaciones del último trimestre, muestra una disminución de la producción en comparación.
¿Como llegar a donde quiere llegar una ciudad? Modulo 5 Programas de actuación y sesiones de priorización Metodología para planificación participativa.
Análisis y gestión de riesgos en un Sistema Informático
COMPONENTES ESTRATÉGICOS
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Ciclo PDCA.
Metodología – Procesos Psicológicos Básicos Prof: Julio Santiago
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
Conjunto de características personales que se relacionan directamente con el desempeño a nivel laboral y son derivadas de la suma de los conocimientos,
Modelo de Comunicación y Operación COPARMEX. Agenda  Introducción  Plan de trabajo y avances  Definición de próximos pasos.
Tema 3. Plan de Mejora.
© Deloitte Todos los derechos reservados Estudio sobre Seguridad de la Información en los Medios de Prensa Escrita Zaragoza, 25 de noviembre de 2005.
NEGOCIACION COLECTIVA
PLANEACIÓN ESTRATÉGICA. PLANEACIÓN ESTRATÉGICA.
NUESTRA MISION Efectuar un aporte al proceso político a través de una mirada nueva sobre evaluación y gestión de políticas públicas, considerando que.
MAESTRÍA DE GERENCIA EN SISTEMA
“Adopción de SGSI en el Sector Gobierno del PERÚ”
Fase Inicial Grupo 6 – PIS – 2013.
PLAN DE VIDA Y CARRERA.
INFORME EVALUACIÓN DE CLIMA ORGANIZACIONAL SUMITEMP SUMISERVIS ALIADOS ESTRATEGICOS 2012.
Análisis y Gestión de Riesgos
Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar.
Función de Auditoría Interna
ETAPAS DE LA PLANEACIÓN
Diagnóstico de Brechas a la Seguridad. Fases Entrevistas Análisis entrevistado principal (Claudio Camblor) Análisis Áreas de Controles ISO/IEC 27000:2005.
UNIVERSIDAD AUTÓNOMA SAN FRANCISCO
OBJETIVOS ESTRATEGICOS
Gestión de la Continuidad del negocio BS BCI
Introducción a la Ingeniería
Santiago, Diciembre 2010 LEVANTAMIENTO DE PERFILES DE COMPETENCIAS:
Maria Isabel Estrada Barón Angie Alejandra Pacheco Tapias Grado: 11°B
Plan de Sistemas de Información (PSI)
MONICA SANCHEZ MARTINEZ
Identificación y Descripción de los Impactos Ambientales
Introducción a Pentaho BI Suite 3.5
1 Tema 2 El Administrador y su necesidad de conocimiento como usuario de los sistemas de información.
PLAN ESTRATEGICO Un Plan Estratégico es el documento más importante que debe redactar la empresa. En él se explica hacia dónde se quiere ir y lo más importante.
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
Análisis Conceptual para la Gestión de Nuevos Negocios Tecnológicos
SGSI: Sistemas de Gestión de la Seguridad de la Información
Fecha: 2/9/98 99CAES012_00.POT IMPLANTACIÓN DE UN MODELO DE CALIDAD MODELO DE CALIDAD OR G A N I Z AC I Ó N MODELO DESARROLLO CLIENTE TECNOLOGÍATECNOLOGÍA.
CONCLUSIONES.
Seguridad de la Información Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una.
©Copyright 2013 ISACA. Todos los derechos reservados. 2.4 Visión general de la gestión de riesgos Desafíos de la gestión de riesgos Existe un alto potencial.
Propuesta de Metodología para la Priorización de Mandatos.
Copyright © 2014 by The University of Kansas Recolectando y análizando datos.
NORMAS INTERNACIONALES DE AUDITORIA (200)
Programa de Administración de Riesgos.
UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS UNAH CENTRO UNIVERSITARIO REGIONAL DEL LITORAL ATLANTICO (CURLA) ASIGNATURA: FUNDAMENTOS DE CALIDAD TOTAL.
ROL DE FORTALECIMIENTO DE LA CULTURA DEL CONTROL.
REUNION INICIAL DE PROYECTO DE SOFTWARE Nombre del Proyecto: SISTEMA DE CONTROL UNIVERSITARIO Tipo de Proyecto: DESARROLLO DE SOFTWARE A LA MEDIDA 7 de.
Angel Rodriguez Carlos Enrique Calderón García Carlos Felipe
ESTADÍSTICA DESCRIPTIVA
EI, Profesor Ramón Castro Liceaga III. METODOLOGIAS PARA LA AUDITORIA EN INFORMATICA UNIVERSIDAD LATINA (UNILA)
EAE DEL PERGT – ETAPA FINAL EVALUACIÓN AMBIENTAL ESTRATÉGICA DEL PLAN DE EXPANSIÓN DE GENERACIÓN Y TRANSMISIÓN – ETAPA FINAL.
Auditoría y Seguridad de Sistemas de Información Auditoria de Sistemas un Desafío Principales Actividades de la Auditoría de Sistemas Cr. Luis Elissondo.
TRABAJO DE WIKI PROCESO DE MARKETING Presentado por: Katherine Rivera Diana María Laverde Doralba Hernández Cecilia Urrego.
NATIONAL UNIVERSITY COLLEGE.  Los Sistemas de Información (SI) y las Tecnologías de Información (TI) han cambiado la forma en que operan las organizaciones.
GERENCIA ESTRATEGICA PLANEACION Y GERENCIA ESTRATEGICA DOCENTE LUIS ALBERTO VASQUEZ MARISOL LUNA LAUDITH ROMERO JHON FREDY MELO LUIS FERNANDO SANCHEZ DIEGO.
FASES DE LA AUDITORÍA ADMINISTRATIVA
TEMA 7 ANÁLISIS DE LOS RESULTADOS TEMA 7 ANÁLISIS DE LOS RESULTADOS.
Transcripción de la presentación:

Diagnóstico TI

El Diagnóstico o Auditoría de Tecnología de Información (TI) es el proceso de evaluación y recolección de evidencias de los Sistemas de Información y recursos relacionados a éstos, dentro de una Organización; por ejemplo: infraestructura, bases de datos, aplicaciones, personal, etc.

Diagnóstico TI El Objetivo General del diagnóstico es determinar la salud del Sistema de Información de la Organización, encontrando las debilidades del mismo para diseñar e implementar los controles necesarios para que los Sistemas de Información de la Organización funcionen correctamente.

Tareas 1. Estudiar a la Organización. Es importante conocer la organización para poder desarrollar conclusiones ad hoc al finalizar el diagnóstico. 2. Se deben conocer la Misión, Visión y Plan Estratégico de la Organización, para entender el negocio de ésta.

Tareas 3. Se deben conocer los procesos de negocio y de apoyo al negocio, para identificar los posibles problemas en los procesos. Si los procesos no están formalizados hay que generar un borrador que nos servirá en el diagnóstico como evidencia, en especial en la etapa de desarrollo de conclusiones.

Tareas 4. Se debe identificar al entrevistado principal y a los entrevistados secundarios. No basta con entrevistar a una persona. Siempre es bueno contar con las respuestas al cuestionario de varios integrantes de la organización. La elección de los entrevistados secundarios no debe obedecer al área de diagnóstico solamente, sino que a todas las áreas en el que el diagnóstico pueda repercutir. En el caso de la seguridad de la información, ésta es transversal a la organización. Es un error pensar que solo obedece al área de las Tecnologías de la Información y Comunicaciones y/o la Informática. El principal objetivo de este ejercicio es por un lado i) validar las respuestas del entrevistado principal y por otro lado, ii) tener una estimación del conocimiento por parte de los integrantes de la organización respecto a los procesos y políticas de la organización (Plan de Comunicaciones de la organización).

Tareas 5. Se debe elegir el cuestionario adecuado al diagnóstico o auditoría que se quiere realizar; por ejemplo un cuestionario para la norma ISO Si es necesario se puede diseñar un cuestionario a la medida para la organización. Es muy importante recalcar en este punto que las preguntas del cuestionario deben ser lo más claras posibles, no debe haber cabida a la interpretación de éstas. 6. Se debe aplicar el cuestionario rígidamente. En este punto el entrevistador debe ser muy profesional. Cualquier pregunta no respondida o mal respondida puede llevar al diagnóstico al fracaso. Para que esto no suceda, el entrevistador debe pedir evidencia de cada respuesta de los entrevistados.

Tareas 7. Extraer datos del diagnóstico y convertirlos en información. Para esto se pueden generar gráficos de las distintas áreas de incidencia (por ejemplo: terremotos, inundaciones, etc.). La información de los gráficos debe ir normalizada. Para normalizar la información basta con llevar la información del cuestionario a porcentajes. El resultado visual de los gráficos es el porcentaje de completitud del diagnóstico en el área de incidencia.

Tareas 8. Priorizar los resultados. Implantar un Sistema de Gestión de Seguridad de la Información es un proceso largo. Es muy importante al diseñar la implementación de un SGSI partir por un área o departamento, etc. Una metodología, para saber dónde empezar, es la Priorización de las áreas de incidencias. Esta tarea se lleva a cabo tomando en cuenta los siguientes factores: La opinión del entrevistado principal La misión de la organización La visión de la organización Plan estratégico de la organización

Tareas Esto nos llevará a la organización de los gráficos por prioridad en vez de por porcentaje de completitud. La priorización es factor multiplicativo que se le aplica a los gráficos obtenidos. Un ejemplo sencillo sería utilizar la siguiente priorización: 1: Nivel de Prioridad Alto 0: Nivel de Prioridad Medio -1: Nivel de Prioridad Bajo Así, las áreas de incidencia prioritarias ‘1’ serán siempre positivas y se fijarán sobre el eje X de la gráfica, la ‘2’ se fijarán en el eje X de la gráfica y las ‘-1’ serán negativas y se fijarán bajo el eje X de la gráfica. En este punto es importante mencionar que el entrevistador debe llevar la entrevista de prioridades respecto a los 3 últimos factores mencionados en el párrafo anterior (Misión, Visión y Estrategia). Así se refuerza el punto 1 y 2 de este texto, donde se manifiesta la importancia de estudiar a la organización. Observación: solo como recordatorio s importante recalcar lo importante que es que el entrevistador tenga conocimiento de la organización, de otro modo, la priorización de áreas de incidencia podría no funcionar, pues para el entrevistado principal todas las áreas de incidencias tienen, por lo general, igual relevancia.

Tareas 9. Elección áreas de incidencia para su análisis. Como se dijo en el punto 8 la priorización es la metodología que se utilizará para la elección de las áreas de incidencias a analizar, sin embargo hay que tomar otro factor en cuenta, el tiempo. Generalmente los proyectos a largo plazo como la implementación de un SGSI deben ser ingresados dentro del Plan operativo Anual del Gerente TI, por lo que las áreas a analizar deben cumplir con esta restricción de tiempo.

Tareas 10. Clasificación de los Riesgos. Si bien en el punto 8 y 9 se puede desprender una suerte de clasificación, no lo es, pues solo nos ayuda a saber qué riesgos tratar primero y cuales después. Para entender un poco mejor este punto, aclaremos que cada pregunta del cuestionario es un posible y latente riesgo o amenaza. Los riesgos o amenazas, se pueden clasificar en:

Tareas Tratados: son los riesgos en que la organización utilizará recursos para tratarlos, es decir, la organización se hará cargos de ellos. Generalmente estos riesgos son críticos para la continuidad del negocio y no se pueden tercerizar. Las razones pueden ser variadas, pero por lo general están relacionadas a la confidencialidad de los procesos de negocio de la organización. Tercerizados: son los riesgos que la empresa por alguna razón no puede tratar y debe darle esta responsabilidad a un tercero. Generalmente son riesgos, que aunque puedan afectar a la continuidad del negocio, no tienen tanto impacto como los riesgos tratados. Adoptados: son riesgos con los cuales la Organización vive. Estos no afectan a la continuidad del negocio.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.