El gobierno de la TI y el proceso de negocios Flashcards Preview

Auditoría Informática > El gobierno de la TI y el proceso de negocios > Flashcards

Flashcards in El gobierno de la TI y el proceso de negocios Deck (76):
1

El control interno en las empresas es una preocupación? de qué tipo?

Sí, pero discrecional

2

Para una empresa, el gobierno de TI y la auditoría es de suma importancia `para

detectar y solucionar fallas
asegurar el cumplimiento de regulaciones
apoyo para el diseño y regulaciones
trasmisor de mejores prácticas

3

Comité de Informática

unidad especializada verifica que se cumplan las políticas TI

4

Gobierno de TI y Auditoría

1- alta dirección de la empresa aprueba la política de seguridad
2- se desarrolla un programa de auditoría para evaluar el proceso
3 - Se aprueban los lineamientos
4 . Se implementa la política y estándares de auditoría

5

EL Gobierno de las TI

el liderazgo, las estructuras de organización y los procesos necesarios para asegurar que la TI soporte y amplíe los objetivos y estrategias de la empresa

6

manejo de la TI es responsabilidad de

la dirección de TI
la administración ejecutiva

7

propósito (objetivos) del gobierno de TI

1. TI alineada con los objetivos y estrategias de la empresa
2. TI habilite a la empresa a explotar oportunidades y generar máximos beneficios
3. recursos de TI se utilicen responsablemente
4. riesgos TI se administren adecuadamente

8

Decisiones a tomar en Estrategias de Informática

 rol de la informática en el negocio
 Líder o seguidor
 Soporte o estratégico

9

Decisiones a tomar en Arquitectura Informática

 Definiciones estandarización, integración….
 Hardware, diccionarios de datos, Sistemas operativos

10

Decisiones a tomar en Infraestructura Informática

 Servicios Centralizados, compartidos…
 Redes, servicios mensajería, seguridad

11

Decisiones a tomar en Necesidades de aplicaciones de negocio

 Compra o desarrollo… ERP, CRM, SCM, SAP

12

Decisiones sobre inversiones y prioridades en informática

 En qué invertir, cuánto, etc.

13

EL Gobierno de las TI responsables tomar decisiones

 Consejo del negocio
 Director General
 Equipo Directivo
 Responsable(´s) de Informática
 Usuarios Claves
 Usuarios

14

ENTREGA DE VALOR

Destaca las capacidades de las actividades que agregan un margen de valor a los productos o servicios de la empresa

15

Qué es el valor?

es la cantidad que los compradores
están dispuestos a pagar por lo que una empresa le proporciona

16

Cómo contribuyen los sistemas de información a generar valor

* desarrollar nuevos nichos de mercado
* Capturar clientes y proveedores
* Proporcionar productos y servicios únicos
* Proporcionar productos y servicios a menor costo

17

Objetivos del plan estratégico de TI?

Obtener un conjunto de especificaciones estructuradas de los futuros proyectos de plataforma tecnológica y sistemas de información a implantar

18

Alcance y ámbito del Plan estratégico de TI

Toda la organización (servicio informátivo centralizado), por estrategia corporativa (determinar servicios locales).

19

Vigencia y horizonde del plan estratégico de TI

2 a 4 años

20

Elementos del PETI

organización
medio ambiente
funciones
procesos
datos
sistemas
equipos

21

Quién Propone un Plan Informático?

Comité informático

22

Quién aprueba el plan?

Directorio

23

Quién ejecuta los proyectos?

Unidad de Informática

24

Quién valida proyectos de desarrollo?

Usuarios

25

Quién evalúa avances del PETI

Comité informático

26

Quién ajusta el PETI

Comité informático

27

Cuáles son las fases de un PETI

1. Preparar procesos de planificación
2. Analizar estrategias
3. Identificar y describir funciones y procesos
4. Analizar situación actual
5. Formular plan de sistemas de información
6. Analizar y proponer plataforma tecnológica y red de comunicaciones
7. Evaluar, seleccionar y programar proyectos
8. Estrategia de implantación de peoyectos
9. Análisis y proposición de organización informática
10. Formulación de políticas de capacitación

28

Qué áreas comprende la gestión y administración informática?

* Administración de la Información
* Administración de Sistemas de Información
* Administración de Infraestructura TIC

29

Qué es la administración de la información?

Definición, organización y coordinación de información y sus flujos de acuerdo a las necesidades de la organización.
Componente principal: bases de datos de la institución.

30

Qué es la administración de los sistemas de información (SI)?

Ciclo de vida de los sistemas de información (concepción, construcción, desarrollo/compra, operación, mantenimiento, evaluación).
Componente principal: portafolio de aplicaciones de software.

31

Qué es la administración de la infraestructura TIC?

Actividades para proveer, mantener y dimensionar equipos, redes y servicios necesarios para operación de los SI y el manejo de info.
Componente tecnológico principal: infraestructura tecnológica de bases (hardware, software, redes, BD y servicios).

32

Cómo se unen las tres áreas de administración informática (Administración de información, administración de sistemas de información, administración de infraestructura TIC)?

Mediante un área funcional de la organización (centro/departamento/unidad/gerencia/dirección de informática)

33

Cuáles son los tres elementos que se consideran en las res áreas de administración informática (Administración de información, administración de sistemas de información, administración de infraestructura TIC)?

Arquitectura de la información
Implementación de estrategias
Tecnologías disponibles en el mercado

34

Cuáles son los elementos de control de la administración informática?

Arquitectura tecnológica existente
Estrategias definidas en la planificación informática
Tecnologías disponibles en el mercado.

35

Qué es el Balanced Score Card?

Sistema que conecta el día a día con la visión de futuro de la empresa

36

Qué tipos de medidas incluye el BSC?

Financieras y no Financieras
A corto y largo plazo
que reflejan resultados pasados y medidas de acción futura

37

Qué es un indicador?

Una medición de un factor crìtico de éxito, un problema o un objetivo o meta

38

Qué es el estado del indicador?

Medición de la realidad vs lo esperado. Alerta sobre las decisiones a tomar

39

Qué es el Cuadro de Mando Integral?

Múltiples indicadores sobre una serie de objetivos consistentes y mutuamente reforzantes.

40

Qué son las relaciones causa efecto?

Se establecen explicitamente las relaciones entre los objetos que representan causa y efectos

41

Qué son los inductores de la actuación?

Son indicadores de previsión.
Los indicadores de resultados sin los inductores no reflejan la forma en que se conseguirán los resultados.

42

Qué es la perspectiva financiera?

resume las consecuencias económicas.
indicadores fácilmente mensurables indican si la estrategia está contribuyendo a la mejora.

43

Qué es la perspectiva del cliente?

indicadores clave sobre los clientes, su satisfacción, fidelidad, retención, adquisición y rentabilidad, en los sectores y mercados seleccionados.

44

Qué es la perspectiva del proceso interno?

Busca la satisfacción del cliente y de los objetivos financieros a través de la mejora y la medición de los procesos actuales y los procesos nuevos.

45

Qué es la perspectiva de formación y crecimiento?

Identifica la estructura necesaria para crear crecimiento a largo plazo.

46

Qué 3 fuentes mide la perspectiva de formación y crecimiento?

Personas
Sistemas de información
Procedimientos

47

Cuáles son las orientaciones del BSC para las TI?

Orientación al usuario
Contribución al negocio
Excelencia Operacional
Orientación al futuro

48

Cómo se usa un BSC basado en COBIT?

1) Seleccionando las metas del negocio
2) Usando alguno de los más de 300 indicadores predefinidos relacionados con los 34 procesos de TI y las 28 metas de TI que soportan las 17 metas del Negocio, relacionadas a las 4 perspectivas del BSC

49

Qué funciones debe desempeñar un área de seguridad informática a nivel Normativo?

Documentación de políticas, procedimientos y estándares.
Cumplimiento de estándares internacionales y regulaciones

50

Qué funciones debe desempeñar un área de seguridad informática a nivel de Operaciones?

Implementación, configuración y operación de controles de seguridad informática
Monitoreo de indicadores de seguridad
Primer nivel de respuesta ante incidentes
Soporte a usuarios

51

Qué funciones debe desempeñar un área de seguridad informática a nivel de Supervisión?

Evaluaciones de efectividad de controles, de cumplimiento de normas
Investigación de incidentes de seguridad y cómputo forense

52

Qué funciones debe desempeñar un área de seguridad informática a nivel de Desarrollo?

Diseño y programación de controles de seguridad
Preparación de librerías con funciones de sefuridad
Soporte de seguridad
Consultoría de desarrollos seguros

53

Responsabilidades del Chief Information Security Officer

Planificar
desarrollar
controlar
gestionar
políticas, procedimientos y acciones paramejorar la seguridad de informacion basado en condifencialidad, integridad y disponibilidad

54

¿Qué es El Marco de Riesgos de TI (The Risk IT Framework)?

Un framework cuya misión es facilitar a la alta Gerencia una administración efectiva de los riesgos de TI relacionados con el negocio

55

Cómo puede ser visto un riesgo?

Como riesgo y como oportunidad

56

¿Qué es un riesgo de TI?

Eventos adversos que destruyen valor
Valor de negocio no realizado o reducido a través de la TI
Oportunidades omitidas de asistencia de TI

57

¿Qué es una oportunidad de TI?

Identificación de nuevas oportunidades de negocio
Incremento de valor del negocio a través del uso óptimo de las capacidades TI

58

A qué ayuda el marco de riesgos de TI?

A integrar la administración de riesgos TI dentro de la administración general de riesgos empresariales
A tomar decisiones acerca del apetito al riesgo y su nivel de tolerancia
Entender cómo responder al riesgo

59

Qué métodos de análisis de administración de riesgos existen?

Identificar debilidades
Identificar amenazas

60

Qué información se obtiene del análisis de administración de riestos?

Amenazas del sistema
Vulnerabilidades específicas del sistema

61

A qué está expuesto un activo de información?

A amenazas

62

Qué tiene un artivo de información

Vulnerabilidades

63

Qué ocurre cuando una amenaza explota una vulnerabiliada?

Hay un riesgo intríseco

64

Qué consecuencias podría tener un riesgo intríseco?

podría ocasionar impacto

65

Qué se hace con los riestos intrísecos?

Se aplican controles

66

Qué tienen los controles?

costes

67

Qué queda luego de los controles a los riesgos?

Un riesgo residual

68

Qué pasos se usan para administrar riesgos?

1. Identificar y clasificar recursos y activos de información
2. Estudiar amenazas y vulnerabilidades
3. Calcular impacto y consecuencias
4. Formar una visión general del riesgo
5. Evaluar controles existentes
6. Emplear metodología de evaluación de riesgos

69

Qué es la administración de riesgo?

Estimar el grado de exposición a que una amenaza se materialice sobre uno o más activos

70

Qué es el análisis de riesgos?

La utilización sistemática de la información disponible, identificando peligros y estimando riesgos

71

Qúé es la gestión de riesgos?

Seleccionar e implantar medidas técnicas y organizativas necesarias para impedir, reducir o controlar riesgos identificados

72

Cómo se espera que sea un área de auditoría informática?

Independencia funcional.
Libertad de acción.
Facultad para la toma de decisiones
Negociación con los niveles gerenciales
Involucramiento en proyectos de alto impacto en el negocio

73

Qué funciones básicas tiene la auditoría informática?

a) Evaluación, verificación e implantación de los controles y procedimientos
b) Aseguramiento de la existencia y cumplimiento de los controles y
procedimientos
c) Desarrollar la auditoría en informática conforme normas y políticas
d) Evaluar las áreas de riesgo
e) Elaborar un plan de auditoria
f) Obtener la aprobación formal de los proyectos del plan
g) Administrar o ejecutarlos proyectos del plan

74

Metodología para la realización de la auditoría de la función de informática

Estudio inicial. Requiere:
1) Organigrama
2) Departamentos
3) Relaciones jerárquicas y funcionales entre órganos de la organización
4) Flujos de información
5) Número de puestos de trabajo
6) Número de personas por puesto de trabajo

75

Recopilación de la información organizacional

observación y entrevistas de fondo:
A) Estructura Orgánica
B) Se deberá revisar la situación de los recursos humanos.
C) Entrevistas con el personal de procesos electrónicos
D) Conocer la situación presupuestal y financiera
E) Levantamiento del censo de recursos humanos y análisis de situación
F) Revisar el grado de cumplimiento de los documentos administrativos.

76

El departamento de informática básicamente puede estar dentro de alguno de estos tipos de dependencia

a) Depende de alguna dirección o gerencia
b) Dependa de la gerencia general
c) para estructuras muy grandes en la que hay bases de datos, redes o bien equipos en diferentes lugares
d) Creación de una compañía independiente que dé servicio de informática a la organización.