SlideShare una empresa de Scribd logo

Auditoria De La Gestion De Las Tic

D
dcordova923

El documento presenta información sobre la auditoría de la gestión de las tecnologías de la información. Describe brevemente la problemática actual de la gestión TI, haciendo referencia a informes como el Standish Chaos Report. Luego introduce la Metodología para la Auditoría Integral de la Gestión de Tecnología de Información (MAIGTI), la cual se basa en estándares internacionales como COBIT, ISO/IEC 12207 y ISO/IEC 17799. Finalmente, resume los principales procesos cubiertos por estos estándares en relación con

Tecnología
1 de 47
Descargar para leer sin conexión
AUDITORÍA DE LA GESTIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN 31 Mar 2009 Emigdio Alfaro
CONTENIDO 1. Problemática de la Gestión de las TI. 2. MAIGTI. 3. 3 MAIGTI – Desarrollo de la Metodología Metodología. 4. MAIGTI – Aplicaciones. 5. MAIGTI – Procedimientos. 6. Referencias. Emigdio Alfaro 2
1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) 749 entrevistas: CEOs, CIOs, COOs, CFOs, y auditores. 652 entrevistas de manera aleatoria. 71 entrevistas a usuarios de COBIT conocidos. 26 entrevistas a usuarios experimentados de COBIT COBIT. 23 países de todos los continentes. Emigdio Alfaro 3
1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) Emigdio Alfaro 4
1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) Emigdio Alfaro 5
1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) Emigdio Alfaro 6
1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Emigdio Alfaro 7
1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Compound Problem Index = f(Frecuencia, Severidad, Evolución del Último Año, Prioridad para resolución Próximo Año) Emigdio Alfaro 8
1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Emigdio Alfaro 9
1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Emigdio Alfaro 10
1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Standish Group, 1995) 175,000 proyectos de software en USA. Gasto mayor a US$ 250 billones billones. Costo Promedio Proyecto en Gran Empresa: US$ 2’322,000. Costo P C t Promedio P di Proyecto en M di t Mediana E Empresa: US$ 1’331 000 1’331,000. Costo Promedio Proyecto en Pequeña Empresa: US$ 434,000. Proyectos de Software están en CAOS. No se puede seguir actuando igual: no escuchar fallas, no ver fallas, no hablar de fallas. Emigdio Alfaro 11
1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Standish Group, 1995) 31.1% de los proyectos serán cancelados antes de ser completados. 52.7% 52 7% de los proyectos costarán 189% de los costos estimados iniciales iniciales. En promedio se demoraron 222% del tiempo estimado inicial. En promedio, 61% de las especificaciones originales fueron incluidas. 16.2% fueron completados a tiempo y con el presupuesto estimados. Emigdio Alfaro 12
1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Standish Group, 1995) En empresas grandes sólo 9% de los proyectos fueron completados a tiempo y con el presupuesto, y sólo el 42% de ellos cumplieron las especificaciones originales originales. En empresas pequeñas 78.4% de los proyectos completaron al menos 74.2% d l 74 2% de las especificaciones originales. ifi i i i l Agencias del g g gobierno y firmas de USA g gastaron US$ 81 billones en proyectos cancelados. Además, gastarán US$ 59 billones adicionales para completar otros proyectos. Los costos de oportunidad no son medibles; pero, podrían ser trillones. Emigdio Alfaro 13
1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Rubinstein, 2007) Proyectos Exitosos: Año 2006, 32% (antes 16.2%, 1994). Proyectos Cancelados: Año 2006 19% (antes 31 1% 1994) 2006, 31.1%, 1994). Proyectos Desafiados: Año 2006, 46% (antes 52.7%, 1994). Emigdio Alfaro 14
1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información R. M. N 179-2004-PCM, 14 Junio 2004. NTP-ISO/IEC 12207:2004. N° 179 2004 PCM, NTP ISO/IEC Procesos del Ciclo de Vida del Software. R. M. N 224-2004-PCM, R M N° 224 2004 PCM 23 Julio 2004 NTP ISO/IEC 17799:2004 2004. NTP-ISO/IEC 17799:2004. Código de Buenas Prácticas de Gestión de la Seguridad de la Información. R. M. N° 395-2005-PCM y R. M. N° 396-2005-PCM, 8 Noviembre 2005. Modifican plazo hasta el 30 Junio 2006. Emigdio Alfaro 15
1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información 11 Agosto 2006 D U 020 2006 Dictan Normas de Austeridad y 2006. D.U. 020-2006 Racionalidad en el Gasto Público. 18 Agosto 2006. D.U. 021-2006 Dictan Medidas Complementarias al D.U. 020-2006. Emigdio Alfaro 16
1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información 45 entidades convocaron 83 procesos de selección. 45 entidades (4.39%) de las 1026 usuarias de T.I. (en total 2972, según INEI 2002) realizaron acciones para la implementación de las normas técnicas de gestión de T.I. a un costo de S/. 2’760,718. Sólo 13 entidades (1.27%) habrían logrado implementar la NTP- ISO/IEC 12207. El costo total por esta norma fue S/. 912,457. Sólo 13 entidades (1.27%) habrían logrado implementar la NTP- ISO/IEC 17799. El costo total por esta norma fue S/. 1’848,261. Emigdio Alfaro 17
1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información TIPOS DE SERVICIOS EN LOS PROCESOS DE SELECCIÓN RELACIONADOS A LAS NORMAS TÉCNICAS PERUANAS DE GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN TIPO DE SERVICIO ISO 12207 ISO 17799 Diagnóstico 2 11 Diagnóstico y Plan de Implementación 3 10 Plan de Implementación, P líti Pl d I l t ió Políticas, P Procedimientos, y di i t Capacitación (Implementación Completa) 5 2 Diagnóstico, Plan de Implementación, Políticas, Procedimientos, y Capacitación ( p p (Implementación Completa) p ) 8 11 Asesoría 0 3 Auditoría Interna 0 1 Personal de Apoyo para Implementación 10 9 Actualización a versión posterior 0 1 Capacitación 2 5 TOTAL 30 53 Tabla 2: Tipos de servicios prestados como consecuencia de los procesos de selección adjudicados, relacionados con las normas técnicas peruanas de Gestión de TI Emigdio Alfaro 18
1. Problemática de la Gestión de las TI Alfaro (2007). Los ERPs ¿Generan o Destruyen Valor? Algunos errores comunes en la Implantación de Sistemas de Información ERPs son los siguientes: ERPs, A. Proyecto aislado del Plan Estratégico de la Organización. B. No se hace participar al usuario en la definición de requerimientos. C. C El usuario toma a la ligera su responsabilidad en la definición de f requerimientos. D. El personal de Informática no conoce los procesos de gestión a ser soportados por los sistemas de información. Emigdio Alfaro 19
1. Problemática de la Gestión de las TI Alfaro (2007). Los ERPs ¿Generan o Destruyen Valor? Algunos errores comunes en la Implantación de Sistemas de Información ERPs, son los siguientes: E. Se trata de minimizar cambios y se sugiere que la empresa cambie sus procesos de acuerdo a la configuración estándar del ERP . F. Se personaliza el ERP a las necesidades de la empresa; sin embargo, los requerimientos cambian continuamente por no tener claros tanto la estrategia como los procesos para llevarla a cabo. G. G No se sig e los procesos formales del ciclo de vida del soft are En sigue ida software. especial: Plan de Pruebas, Plan de Integración y Plan de Migración. Emigdio Alfaro 20
2. MAIGTI Normas relacionadas a la Gestión de las TI: Normas de Contraloría General de la República. Normas de la SBS. Normas Internacionales: COBIT MAGERIT PMBOK ISO/IEC 12207 IEEE 1058 IEEE-1058 COSO ISO/IEC 17799 MoProSoft ERM ISO/IEC 27001 CMM ISO 9001 ISO/IEC 20000 Métrica 3 ISO 19011 Emigdio Alfaro 21
2. MAIGTI Alfaro (2008). MAIGTI - Metodología para la Auditoría Integral de la Gestión de Tecnología de Información. El objetivo del estudio fue el desarrollo de una metodología para la auditoría integral de la gestión de la tecnología de información (MAIGTI) (MAIGTI), enfocada en procesos, y basada en estándares de calidad internacionales. Emigdio Alfaro 22
2. MAIGTI 2.1 COBIT. 2 1 COBIT Control Objectives for Information and related Technologies Technologies. Grupos de Objetivos de Control de COBIT: a) Planificación y Organización. b) Adquisición e Implementación. c) Entrega de Servicios y Soporte. d) Monitoreo y Control. Emigdio Alfaro 23
2. MAIGTI 2.2 ISO/IEC 12207 Procesos del Ciclo de Vida del Software A. Procesos Principales. Incluye: (a) Adquisición; (b) Suministro; (c) Desarrollo; (d) Operación; y (e) Mantenimiento Mantenimiento. B. Procesos de Apoyo. Incluye: (a) Documentación; (b) Gestión de la Configuración; (c) Aseguramiento de la Calidad; (d) Verificación; (e) Validación; (f) Revisión Conjunta; (h) Auditoría; y (i) Solución de Problemas. C. Procesos Organizativos. Incluye: (a) Gestión; (b) Infraestructura; (c) Mejora; y (d) Recursos Humanos Humanos. Emigdio Alfaro 24
2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la Seguridad de la Información A. Evaluación y Tratamiento del Riesgo. B. Política de Seguridad. Incluye: (a) Documento de Política de Seguridad de la Información; y (b) Revisión y Evaluación. C. Aspectos Organizativos de la Seguridad. Incluye: (a) Estructura para la Seguridad de la Información (Comité Recursos (Comité, Recursos, Responsabilidades, Asesoría de Expertos, Colaboración entre organizaciones y Evaluación Independiente); (b) Seguridad en los accesos de terceras partes; y (c) Outsourcing Outsourcing. D. Clasificación y Control de Activos. Incluye: (a) Responsabilidades sobre los activos; y (b) Clasificación de la Información. Emigdio Alfaro 25
2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la Seguridad de la Información E. Seguridad Ligada al Personal. Incluye: (a) Seguridad en la Definición del Trabajo y Recursos; (b) Formación y capacitación en seguridad de la información; y (c) Respuesta ante incidencias y malos funcionamientos de la seguridad. F. Seguridad Física y del Entorno. Incluye: (a) Áreas Seguras; (b) Seguridad de los equipos; y (c) Controles Generales. G. Gestión de Comunicaciones y Operaciones. Incluye: (a) Procedimientos y Responsabilidades de Operación; (b) Planificación y Aceptación del Sistema; (c) Protección contra software malicioso; (d) Gestión Interna de Respaldo y Manipulación; (e) Gestión de redes; (f) Uso y seguridad de los medios de información; y (g) Intercambio de Información y Software. Emigdio Alfaro 26
2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la g Seguridad de la Información H. Control de A H C t l d Accesos. I l Incluye: ( ) R (a) Requisitos d negocio para el control i it de i l t l de accesos; (b) Gestión de acceso a usuarios; (c) Responsabilidades de los usuarios; (d) Control de acceso a la red; (e) Control de acceso al sistema operativo; (f) Control de acceso a las aplicaciones; (g) Seguimiento de accesos y usos del sistema; (h) Informática móvil y teletrabajo. j I. Adquisición, Desarrollo y Mantenimiento de Sistemas. Incluye: (a) Requisitos de seguridad en los sistemas; (b) Seguridad de las aplicaciones; (c) Controles criptográficos; (d) Seguridad de los archivos del sistema; y (e) Seguridad en los procesos de desarrollo y soporte. Emigdio Alfaro 27
2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la g Seguridad de la Información J. Gestión d I id t d S J G tió de Incidentes de Seguridad de la Información. id d d l I f ió K. Gestión de la Continuidad del Negocio. Incluye: ( ) Planificación; (b) g y (a) ;( ) Prueba; y (c) Mantenimiento y reevaluación de los planes de continuidad. L. Cumplimiento. Incluye: (a) Cumplimiento de los requisitos legales; (b) Revisiones de la política de seguridad y la conformidad técnica; y (c) Consideraciones sobre l auditoría d sistemas. C id i b la di í de i Emigdio Alfaro 28
2. MAIGTI 2.4 ISO/IEC 20000 Modelo de Gestión de Servicios de T.I. (ITIL: ( Information Technology Infrastructure Library) A. Acuerdos d niveles d servicio y procedimientos d atención d A A d de i l de i i di i t de t ió de requerimientos de sistemas en producción (desarrollo de software y soporte técnico). B. Service Desk. C. Gestión de Incidentes. D. Gestión de Problemas. E. E Gestión de Cambios Cambios. F. Gestión de Versiones. G. G Gestión de Configuraciones Configuraciones. Emigdio Alfaro 29
2. MAIGTI 2.5 PROJECT MANAGEMENT BODY OF KNOWLEDGE GRUPOS DE PROCESOS: ÁREAS DE CONOCIMIENTO: a) Inicio. a) Gestión de la Integración. b) Planificación. b) Gestión del Alcance. c) Ejecución. Ejecución c) Gestión del Tiempo Tiempo. d) Seguimiento y Control. d) Gestión del Costo. e) Cierre. Cierre e) Gestión de la Calidad. Calidad f) Gestión de los Recursos Humanos. g) ) Gestión de las Comunicaciones. G ió d l C i i h) Gestión de los Riesgos. i) Gestión de las Adquisiciones. Emigdio Alfaro 30
2. MAIGTI 2.6 Alcances de las Normas con respecto a la Auditoría de la Gestión de Tecnología de Información No se ha encontrado una metodología orientada a la auditoría integral de la gestión de la tecnología de información en una organización, con la excepción del uso del p p proceso ggeneral de auditoría ( (ISO 19011) ) teniendo en cuenta los objetivos de control de las normas gubernamentales o los estándares internacionales. Emigdio Alfaro 31
3. MAIGTI - Desarrollo de la Metodología ISO 200000 ISO 200000 ISO 200000 ISO 200000 ISO 12207 ISO 17799 ISO 12207 ISO 17799 ISO 12207 ISO 17799 ISO 12207 ISO 17799 BOK BOK BOK BOK PMB PMB PMB PMB 1 1 1 1 1 1 1 1 2 2 2 2 PLANIFICACIÓN Y ADQUISICIÓN E ENTREGA DE MONITOREO ORGANIZACIÓN IMPLEMENTACIÓN SERVICIOS Y SOPORTE Y CONTROL COBIT PROCESO GENERAL DE AUDITORÍA Estructura de MAIGTI - Metodología para la Auditoría Integral de la Gestión de la Tecnología de Información Emigdio Alfaro 32
3. MAIGTI - Desarrollo de la Metodología 2. ESPECIFICAR EL 3. SOLICITAR LA ALCANCE Y ELABORAR 1. DETERMINAR INFORMACIÓN PLAN DE TRABAJO (P062) EL OBJETIVO a. Papeles Trabajo b. Informe 5. EJECUTAR EL PROCESO MAIGTI - Introducción 4. RECIBIR LA - Objetivo INFORMACIÓN, 5.1 EVALUAR DOCS - Alcance ORDENARLA E PLANIFICACIÓN Y - Procedimientos INGRESARLA AL ORGANIZACIÓN - Técnicas PROCESO MAIGTI - Evaluación - Opinión 5.2 EVALUAR DOCS 5.4 EVALUAR DOCS SALIDAS ADQUISICIÓN E MONITOREO ENTRADAS IMPLEMENTACIÓN Y CONTROL -Informes auditoría 5.3 EVALUAR DOCS anteriores 6. COMUNICAR, ENTREGA DE - Planes DISCUTIR, Y SERVICIOS Y - Evaluación de Riesgos CORREGIR SOPORTE - Organización INFORME (P060) - Metodologías 5.5 5 5 EJECUTAR - Contratos PROCEDIMIENTOS - Actas - Reportes P052->P059 7. DISTRIBUIR - Sistemas de Inf. INFORME FINAL - Manuales, etc. , (P061) MAIGTI - Metodología para la Auditoría Integral de la Gestión de la T.I. Emigdio Alfaro 33
3. MAIGTI - Desarrollo de la Metodología 5. EJECUTAR EL PROCESO MAIGTI 4. RECIBIR LA INFORMACIÓN, P002->P020 ORDENARLA E INGRESARLA AL 5.1 EVALUAR DOCS PROCESO MAIGTI PLANIFICACIÓN a. Papeles Trabajo Y ORGANIZACIÓN b. b Informe - Introducción - Objetivo 5.2 EVALUAR DOCS 5.4 EVALUAR DOCS - Alcance ENTRADAS ADQUISICIÓN E MONITOREO - Procedimientos IMPLEMENTACIÓN Y CONTROL - Técnicas - Documentos Planificación - Evaluación y Organización. Para cada gerencia: - Documentos Adquisición P021->P035 P042->P051 Para cada hallazgo: 5.3 EVALUAR DOCS e Implementación. - Enunciado ENTREGA DE - Documentos Entrega de - Descripción SERVICIOS Y Servicios y Soporte. - Causa SOPORTE - Documentos Monitoreo - Efecto y Control. - Riesgo P036->P041 - Recomendación - Opinión 5.5 EJECUTAR SALIDAS PROCEDIMIENTOS P052->P059 Proceso MAIGTI Emigdio Alfaro 34
4. MAIGTI - Aplicaciones MAIGTI se ha aplicado de manera integral a 2 empresas de seguros y 1 entidad recaudadora del Estado Peruano. También se ha aplicado de manera parcial a 8 entidades más usuarias más, de tecnologías de información. Emigdio Alfaro 35
5. MAIGTI - Procedimientos P001: MAIGTI: Metodología para la Auditoría Integral de la Gestión de la Tecnología de Información Información. P002: Procedimiento para la auditoría de la Planificación Estratégica. P003: Procedimiento para l auditoría d l Pl P003 P di i t la dit í de los Planes O Operativos. ti P004: Procedimiento para la auditoría de la Evaluación de Riesgos. P005: Procedimiento para la auditoría de la Planificación Estratégica de Tecnologías de Información. P006: Procedimiento para la auditoría de los Planes de Proyecto de Desarrollo de Sistemas de Información. P007: Procedimiento para la auditoría de los Planes de Proyecto de Compra de Sistemas de Información. P008: Procedimiento para la auditoría del Plan de Contingencias de Informática. Emigdio Alfaro 36
5. MAIGTI - Procedimientos P009: Procedimiento para la auditoría del Plan de Continuidad de Negocio. Negocio P010: Procedimiento para la auditoría del Plan de Seguridad de la Información. P011: Procedimiento para la auditoría del Plan de Licenciamiento de Software. P012: Procedimiento para la auditoría del Plan de Capacitación. P013: Procedimiento para la auditoría del Plan de Mantenimiento p Preventivo de Hardware de Computadoras, Redes y Equipos Relacionados. P014: Procedimiento para l auditoría d l Pl d M P014 P di i la di í del Plan de Mantenimiento i i Correctivo de Hardware de Computadoras, Redes y Equipos Relacionados. Emigdio Alfaro 37
5. MAIGTI - Procedimientos P015: Procedimiento para la auditoría de la Planificación de Labores de Rutina relacionadas con las Tecnologías de Información Información. P016: Procedimiento para la auditoría del Plan de Calidad. P017: Procedimiento para l auditoría d l Pl d C P017 P di i t la dit í del Plan de Compras d de Tecnologías de Información. P018: Procedimiento para la auditoría del Reglamento de Organización y Funciones. P019: Procedimiento para la auditoría del Manual de Organización y p g Funciones. P020: Procedimiento para la Evaluación del Currículum Vitae del personal d T l de Tecnología d I f l í de Información. ió P021: Procedimiento para la auditoría del Inventario de Hardware de Tecnología de Información Información. Emigdio Alfaro 38
5. MAIGTI - Procedimientos P022: Procedimiento para la auditoría del Inventario de Software de Base. Base P023: Procedimiento para la auditoría del Inventario de Sistemas de Información. P024: Procedimiento para la auditoría de las Solicitudes y Evaluaciones de Cotizaciones para las compras de hardware de computadoras, redes y equipos relacionados. P025: Procedimiento para la auditoría de las Solicitudes y Evaluaciones de Cotizaciones para las compras de software de base base. P026: Procedimiento para la auditoría de las Solicitudes y Evaluaciones de Cotizaciones para las compras de sistemas de información información. P027: Procedimiento para la auditoría de los contratos de compra de bienes y servicios, de hardware de computadoras, redes y equipos relacionados. Emigdio Alfaro 39
5. MAIGTI - Procedimientos P028: Procedimiento para la auditoría de los contratos para la compra de software de base base. P029: Procedimiento para la auditoría de los contratos para la compra de sistemas de información. P030: Procedimiento para la auditoría de los contratos de seguros para las tecnologías de información. P031: Procedimiento para la auditoría de la metodología de desarrollo de sistemas de información. P032: Procedimiento para la auditoría de la metodología para la atención de requerimientos de soporte técnico. P033: P P033 Procedimiento para l auditoría d l metodología para l atención di i la di í de la d l í la ió de requerimientos de desarrollo de sistemas de información. Emigdio Alfaro 40
5. MAIGTI - Procedimientos P034: Procedimiento para la auditoría de la documentación de los manuales técnicos de los sistemas de información información. P035: Procedimiento para la auditoría de la documentación de los manuales de usuario de los sistemas de información. P036: Procedimiento para la auditoría de la arquitectura de la red de tecnologías de información. P037: Procedimiento para la auditoría de la seguridad de acceso a los sistemas de información. P038: Procedimiento para la auditoría de la seguridad de acceso a las carpetas en los servidores. P039: Procedimiento para l auditoría d l manuales d P039 P di i la di í de los l de procedimientos de soporte técnico. Emigdio Alfaro 41
5. MAIGTI - Procedimientos P040: Procedimiento para la auditoría de los manuales de procedimientos de desarrollo de sistemas de información información. P041: Procedimiento para la Revisión de los Formularios de Control de Entregables de Proyectos y Requerimientos de Desarrollo de Sistemas de Información. P042: Procedimiento para el Seguimiento de Informes de Auditoría Interna. P043: Procedimiento para el Seguimiento de Informes de Auditoría Externa. Externa P044: Procedimiento para la auditoría de las Certificaciones de Calidad de Tecnología de Información Información. P045: Procedimiento para la auditoría de la Evaluación de Desempeño del Área de Tecnología de Información. Emigdio Alfaro 42
5. MAIGTI - Procedimientos P046: Procedimiento para la auditoría de la Evaluación de Desempeño del Personal de Tecnología de Información Información. P047: Procedimiento para la Revisión de los Formularios de Control de Cambios en Proyectos de Compra o Desarrollo de Sistemas de Información. P048: Procedimiento para la Revisión de los Formularios de Control de Riesgos en Proyectos de Compra o Desarrollo de Sistemas de Información. P049: Procedimiento para la Revisión de los Formularios de Seguimiento de Avances en Proyectos de Compra o Desarrollo de Sistemas de Información. P050: Procedimiento para la auditoría del Control de Calidad de los Requerimientos de Compra o Desarrollo de Sistemas de Información. Emigdio Alfaro 43
5. MAIGTI - Procedimientos P051: Procedimiento para la auditoría del Control de Calidad de los Requerimientos de Soporte Técnico Técnico. P052: Procedimiento para Entrevistar a los usuarios de Tecnologías de Información. P053: Procedimiento para la auditoría de las Instalaciones Eléctricas de los Equipos de Cómputo y Redes. P054: Procedimiento para la auditoría de la Seguridad de Acceso al Centro de Cómputo Principal. P055: Procedimiento para la auditoría de las Instalaciones del Centro de Cómputo Principal. P056: Procedimiento para l auditoría d l S P056 P di i la di í de la Seguridad d A id d de Acceso al l Centro de Cómputo Alterno. P057: Procedimiento para la auditoría de las Instalaciones del Centro de Cómputo Alterno. Emigdio Alfaro 44
5. MAIGTI - Procedimientos P058: Procedimiento para la auditoría del Cableado de Redes de Datos. P059: Procedimiento para la auditoría del Cálculo de la Generación de Valor de los Proyectos. P060: P P060 Procedimiento para l El b di i t la Elaboración d l I f ió del Informe P li i Preliminar. P061: Procedimiento para el Envío, Sustentación y Corrección del Informe Final Final. P062: Procedimiento para la Elaboración del Plan de Trabajo de la Auditoría. P063: Procedimiento para la Medición de la Resistencia de la Puesta a Tierra. Emigdio Alfaro 45
6. Referencias Alexander A. (2007). Diseño de un Sistema de Gestión de Seguridad de la Información: Óptica ISO/IEC 27001:2005. Bogotá: Alfa Omega p g g Colombiana. Alfaro, E. A. (2007). Alfaro E A (2007) Los ERPs ¿Generan o Destruyen Valor? Congreso Valor?. Internacional de Ingeniería de Sistemas, Universidad César Vallejo: Trujillo. Alfaro, E. A. (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información. Congreso Internacional SSudamericano de Ingeniería de Sistemas, Computación e í S C ó Informática XII: Arequipa. Alfaro, E. A. (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información. Congreso Internacional Sudamericano de Ingeniería de Sistemas, Computación e Informática XII: Arequipa. Emigdio Alfaro 46
6. Referencias IT Governance Institute (2008). IT Governance Global Status Report 2008. Retrieved f 2008 R i d from h // http://www.isaca.org. i Rubinstein, D. (2007). Standish Group Report: Three’s Less ( ) p p Development Chaos Today. Software Development Times, 169(1), 1. Standish Group (1995) Standish Group Report Retrieved March 8 (1995). Report. 8, 2007, from http://www.standishgroup.com/sample_research/chaos_1994_1.php. Emigdio Alfaro 47

Recomendados

Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Arquitecturas ti
Arquitecturas tiArquitecturas ti
Arquitecturas tiFrancisco Marcos Rodriguez Rivera
 
Analisis trafico wireshark
Analisis trafico wiresharkAnalisis trafico wireshark
Analisis trafico wiresharkJcesar Pimentel Palomino
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 

Recomendados

Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Arquitecturas ti
Arquitecturas tiArquitecturas ti
Arquitecturas tiFrancisco Marcos Rodriguez Rivera
 
Analisis trafico wireshark
Analisis trafico wiresharkAnalisis trafico wireshark
Analisis trafico wiresharkJcesar Pimentel Palomino
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Federico Gonzalez
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
ISO 27002
ISO 27002ISO 27002
ISO 27002trabajofinal2
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgosPrimala Sistema de Gestion
 
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALES
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALESINTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALES
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALESFabián Descalzo
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informaticamppc
 
Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery Norberto Figuerola (PMP, ITIL,CGBSS, CSM)
 
Medición y Estimación de Software con Puntos de Función
Medición y Estimación de Software con Puntos de FunciónMedición y Estimación de Software con Puntos de Función
Medición y Estimación de Software con Puntos de FunciónSoftware Guru
 
Gobierno TI
Gobierno TIGobierno TI
Gobierno TIPilar Pardo Hidalgo
 
Arquitectura empresarial
Arquitectura empresarial Arquitectura empresarial
Arquitectura empresarial Jose Luis Bugarin Peche
 
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)PECB
 
Casos practicos puntos_de_funcion1
Casos practicos puntos_de_funcion1Casos practicos puntos_de_funcion1
Casos practicos puntos_de_funcion1Homero Jimenez
 
AUDITORIA DE LAS TICS
AUDITORIA DE LAS TICSAUDITORIA DE LAS TICS
AUDITORIA DE LAS TICSIván Rodríguez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Casos de estudio
Casos de estudioCasos de estudio
Casos de estudioJonathan Imbaquingo Castillo
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/
3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/
3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/Julio Pari
 
mineria de datos
mineria de datosmineria de datos
mineria de datosUNAM Facultad de Contaduría, Administración e Informática
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsLibreCon
 
Iso38500 guia para la contratación pública electrónica 3.2 manuel 11
Iso38500 guia para la contratación pública electrónica 3.2 manuel 11Iso38500 guia para la contratación pública electrónica 3.2 manuel 11
Iso38500 guia para la contratación pública electrónica 3.2 manuel 11Manuel Caño
 

Más contenido relacionado

La actualidad más candente

Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Federico Gonzalez
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de tiRosmery Banr
 
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALES
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALESINTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALES
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALESFabián Descalzo
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informaticamppc
 
Medición y Estimación de Software con Puntos de Función
Medición y Estimación de Software con Puntos de FunciónMedición y Estimación de Software con Puntos de Función
Medición y Estimación de Software con Puntos de FunciónSoftware Guru
 
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)PECB
 
Casos practicos puntos_de_funcion1
Casos practicos puntos_de_funcion1Casos practicos puntos_de_funcion1
Casos practicos puntos_de_funcion1Homero Jimenez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/
3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/
3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/Julio Pari
 

La actualidad más candente (20)

Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Marcos de gobierno de ti
Marcos de gobierno de tiMarcos de gobierno de ti
Marcos de gobierno de ti
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALES
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALESINTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALES
INTEGRACION DE RIESGOS DE IT Y RIESGOS OPERACIONALES
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
Fundamentos de la auditoria informatica
Fundamentos de la auditoria informaticaFundamentos de la auditoria informatica
Fundamentos de la auditoria informatica
 
Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery Continuidad de TI - Estrategias de Disaster Recovery
Continuidad de TI - Estrategias de Disaster Recovery
 
Medición y Estimación de Software con Puntos de Función
Medición y Estimación de Software con Puntos de FunciónMedición y Estimación de Software con Puntos de Función
Medición y Estimación de Software con Puntos de Función
 
Gobierno TI
Gobierno TIGobierno TI
Gobierno TI
 
Arquitectura empresarial
Arquitectura empresarial Arquitectura empresarial
Arquitectura empresarial
 
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
PECB Webinar: ISO 9001 + ITIL = ISO 20000 (Spanish)
 
Casos practicos puntos_de_funcion1
Casos practicos puntos_de_funcion1Casos practicos puntos_de_funcion1
Casos practicos puntos_de_funcion1
 
AUDITORIA DE LAS TICS
AUDITORIA DE LAS TICSAUDITORIA DE LAS TICS
AUDITORIA DE LAS TICS
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Casos de estudio
Casos de estudioCasos de estudio
Casos de estudio
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informática
 
3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/
3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/
3 Clase Ciclo De Vida Del Software - http://blog.juliopari.com/
 
mineria de datos
mineria de datosmineria de datos
mineria de datos
 

Similar a Auditoria De La Gestion De Las Tic

El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsLibreCon
 
Iso38500 guia para la contratación pública electrónica 3.2 manuel 11
Iso38500 guia para la contratación pública electrónica 3.2 manuel 11Iso38500 guia para la contratación pública electrónica 3.2 manuel 11
Iso38500 guia para la contratación pública electrónica 3.2 manuel 11Manuel Caño
 
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logoCAELUM-CMMI
 
Calidad del Software en la Dirección General de Tráfico
Calidad del Software en la Dirección General de TráficoCalidad del Software en la Dirección General de Tráfico
Calidad del Software en la Dirección General de TráficoCIFF Fundación
 
S1 introduccion ce [modo de compatibilidad]
S1 introduccion ce [modo de compatibilidad]S1 introduccion ce [modo de compatibilidad]
S1 introduccion ce [modo de compatibilidad]Stevensch
 
Presentacion caso de exito energia 2005
Presentacion caso de exito energia 2005Presentacion caso de exito energia 2005
Presentacion caso de exito energia 2005Marcelo Sabia
 
Programa de capacitación y asistencia para la gestión tec
Programa de capacitación y asistencia para la gestión tecPrograma de capacitación y asistencia para la gestión tec
Programa de capacitación y asistencia para la gestión tecEzequiel Eliano Sombory
 
CSTIC2015: Modelo de la Gestión de los Datos en la era del Big Data (MAMD, AE...
CSTIC2015: Modelo de la Gestión de los Datos en la era del Big Data (MAMD, AE...CSTIC2015: Modelo de la Gestión de los Datos en la era del Big Data (MAMD, AE...
CSTIC2015: Modelo de la Gestión de los Datos en la era del Big Data (MAMD, AE...Alarcos Quality Center
 
Presentacion BI 2008 en la Universida Catolica del Uruguay
Presentacion BI 2008 en la Universida Catolica del UruguayPresentacion BI 2008 en la Universida Catolica del Uruguay
Presentacion BI 2008 en la Universida Catolica del UruguayMarcelo Sabia
 
ITPS Executive Presentation - Spanish
ITPS Executive Presentation - SpanishITPS Executive Presentation - Spanish
ITPS Executive Presentation - SpanishLilian Schaffer
 
Ingenieria del-software
Ingenieria del-softwareIngenieria del-software
Ingenieria del-softwaremenamigue
 
Presentación penteo 14abril11
Presentación penteo 14abril11Presentación penteo 14abril11
Presentación penteo 14abril11ColumbusSpain
 
CREACIÓN DE UN PLAN INFORMÁTICO UTILIZANDO TECNOLOGÍA OPEN SOURCE
CREACIÓN DE UN PLAN INFORMÁTICO UTILIZANDO TECNOLOGÍA OPEN SOURCE CREACIÓN DE UN PLAN INFORMÁTICO UTILIZANDO TECNOLOGÍA OPEN SOURCE
CREACIÓN DE UN PLAN INFORMÁTICO UTILIZANDO TECNOLOGÍA OPEN SOURCE Bootcamp SCL
 
La ingeniería del software en España: retos y oportunidades
La ingeniería del software en España: retos y oportunidadesLa ingeniería del software en España: retos y oportunidades
La ingeniería del software en España: retos y oportunidadesAntonio Vallecillo
 
Auditoria especifica
Auditoria especificaAuditoria especifica
Auditoria especificajleo23
 
Informe Pyme 12
Informe Pyme 12Informe Pyme 12
Informe Pyme 12econred
 
8 Itop Universidad de La Laguna, Caso de éxito de Innovación
8 Itop Universidad de La Laguna, Caso de éxito de Innovación8 Itop Universidad de La Laguna, Caso de éxito de Innovación
8 Itop Universidad de La Laguna, Caso de éxito de InnovaciónMiguel Fernández-Cejas
 
10 - Unidad 3 : Prácticas de Auditoría - 3.1 Auditoria Gobierno de TI - ISO 3...
10 - Unidad 3 : Prácticas de Auditoría - 3.1 Auditoria Gobierno de TI - ISO 3...10 - Unidad 3 : Prácticas de Auditoría - 3.1 Auditoria Gobierno de TI - ISO 3...
10 - Unidad 3 : Prácticas de Auditoría - 3.1 Auditoria Gobierno de TI - ISO 3...Luis Fernando Aguas Bucheli
 

Similar a Auditoria De La Gestion De Las Tic (20)

El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
 
Iso38500 guia para la contratación pública electrónica 3.2 manuel 11
Iso38500 guia para la contratación pública electrónica 3.2 manuel 11Iso38500 guia para la contratación pública electrónica 3.2 manuel 11
Iso38500 guia para la contratación pública electrónica 3.2 manuel 11
 
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
 
Calidad del Software en la Dirección General de Tráfico
Calidad del Software en la Dirección General de TráficoCalidad del Software en la Dirección General de Tráfico
Calidad del Software en la Dirección General de Tráfico
 
S1 introduccion ce [modo de compatibilidad]
S1 introduccion ce [modo de compatibilidad]S1 introduccion ce [modo de compatibilidad]
S1 introduccion ce [modo de compatibilidad]
 
Presentacion caso de exito energia 2005
Presentacion caso de exito energia 2005Presentacion caso de exito energia 2005
Presentacion caso de exito energia 2005
 
Programa de capacitación y asistencia para la gestión tec
Programa de capacitación y asistencia para la gestión tecPrograma de capacitación y asistencia para la gestión tec
Programa de capacitación y asistencia para la gestión tec
 
Portafolio de data factory feb2013
Portafolio de data factory feb2013Portafolio de data factory feb2013
Portafolio de data factory feb2013
 
Portafolio de data factory feb2013
Portafolio de data factory feb2013Portafolio de data factory feb2013
Portafolio de data factory feb2013
 
CSTIC2015: Modelo de la Gestión de los Datos en la era del Big Data (MAMD, AE...
CSTIC2015: Modelo de la Gestión de los Datos en la era del Big Data (MAMD, AE...CSTIC2015: Modelo de la Gestión de los Datos en la era del Big Data (MAMD, AE...
CSTIC2015: Modelo de la Gestión de los Datos en la era del Big Data (MAMD, AE...
 
Presentacion BI 2008 en la Universida Catolica del Uruguay
Presentacion BI 2008 en la Universida Catolica del UruguayPresentacion BI 2008 en la Universida Catolica del Uruguay
Presentacion BI 2008 en la Universida Catolica del Uruguay
 
ITPS Executive Presentation - Spanish
ITPS Executive Presentation - SpanishITPS Executive Presentation - Spanish
ITPS Executive Presentation - Spanish
 
Ingenieria del-software
Ingenieria del-softwareIngenieria del-software
Ingenieria del-software
 
Presentación penteo 14abril11
Presentación penteo 14abril11Presentación penteo 14abril11
Presentación penteo 14abril11
 
CREACIÓN DE UN PLAN INFORMÁTICO UTILIZANDO TECNOLOGÍA OPEN SOURCE
CREACIÓN DE UN PLAN INFORMÁTICO UTILIZANDO TECNOLOGÍA OPEN SOURCE CREACIÓN DE UN PLAN INFORMÁTICO UTILIZANDO TECNOLOGÍA OPEN SOURCE
CREACIÓN DE UN PLAN INFORMÁTICO UTILIZANDO TECNOLOGÍA OPEN SOURCE
 
La ingeniería del software en España: retos y oportunidades
La ingeniería del software en España: retos y oportunidadesLa ingeniería del software en España: retos y oportunidades
La ingeniería del software en España: retos y oportunidades
 
Auditoria especifica
Auditoria especificaAuditoria especifica
Auditoria especifica
 
Informe Pyme 12
Informe Pyme 12Informe Pyme 12
Informe Pyme 12
 
8 Itop Universidad de La Laguna, Caso de éxito de Innovación
8 Itop Universidad de La Laguna, Caso de éxito de Innovación8 Itop Universidad de La Laguna, Caso de éxito de Innovación
8 Itop Universidad de La Laguna, Caso de éxito de Innovación
 
10 - Unidad 3 : Prácticas de Auditoría - 3.1 Auditoria Gobierno de TI - ISO 3...
10 - Unidad 3 : Prácticas de Auditoría - 3.1 Auditoria Gobierno de TI - ISO 3...10 - Unidad 3 : Prácticas de Auditoría - 3.1 Auditoria Gobierno de TI - ISO 3...
10 - Unidad 3 : Prácticas de Auditoría - 3.1 Auditoria Gobierno de TI - ISO 3...
 

Más de dcordova923

Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001dcordova923
 
Estandares ISO 27001
Estandares ISO 27001Estandares ISO 27001
Estandares ISO 27001dcordova923
 
Ttrsi Cardoso Arteaga Clara 07
Ttrsi Cardoso Arteaga Clara 07Ttrsi Cardoso Arteaga Clara 07
Ttrsi Cardoso Arteaga Clara 07dcordova923
 
Iso 27001 Los Controles2
Iso 27001 Los Controles2Iso 27001 Los Controles2
Iso 27001 Los Controles2dcordova923
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 
Iso 27001 Los Controles
Iso 27001 Los ControlesIso 27001 Los Controles
Iso 27001 Los Controlesdcordova923
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
Iso22000y Efqm(Sgs)
Iso22000y Efqm(Sgs)Iso22000y Efqm(Sgs)
Iso22000y Efqm(Sgs)dcordova923
 
Iso27k Iso27001 Overview From Howard Smith
Iso27k Iso27001 Overview From Howard SmithIso27k Iso27001 Overview From Howard Smith
Iso27k Iso27001 Overview From Howard Smithdcordova923
 
Estandares ISO 27001
Estandares ISO 27001Estandares ISO 27001
Estandares ISO 27001dcordova923
 
Estandares Iso 27001 (2)
Estandares Iso 27001 (2)Estandares Iso 27001 (2)
Estandares Iso 27001 (2)dcordova923
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001dcordova923
 
Catedra De Riesgos Oracle
Catedra De Riesgos OracleCatedra De Riesgos Oracle
Catedra De Riesgos Oracledcordova923
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 

Más de dcordova923 (17)

Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001
 
Estandares ISO 27001
Estandares ISO 27001Estandares ISO 27001
Estandares ISO 27001
 
Ttrsi Cardoso Arteaga Clara 07
Ttrsi Cardoso Arteaga Clara 07Ttrsi Cardoso Arteaga Clara 07
Ttrsi Cardoso Arteaga Clara 07
 
Iso 27001 Los Controles2
Iso 27001 Los Controles2Iso 27001 Los Controles2
Iso 27001 Los Controles2
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V A
 
Ponencia148 1
Ponencia148 1Ponencia148 1
Ponencia148 1
 
Iso 27001 Los Controles
Iso 27001 Los ControlesIso 27001 Los Controles
Iso 27001 Los Controles
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004
 
Iso22000y Efqm(Sgs)
Iso22000y Efqm(Sgs)Iso22000y Efqm(Sgs)
Iso22000y Efqm(Sgs)
 
Iso27k Iso27001 Overview From Howard Smith
Iso27k Iso27001 Overview From Howard SmithIso27k Iso27001 Overview From Howard Smith
Iso27k Iso27001 Overview From Howard Smith
 
Estandares ISO 27001
Estandares ISO 27001Estandares ISO 27001
Estandares ISO 27001
 
Estandares Iso 27001 (2)
Estandares Iso 27001 (2)Estandares Iso 27001 (2)
Estandares Iso 27001 (2)
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
 
Curso Iso27001
Curso Iso27001Curso Iso27001
Curso Iso27001
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001
 
Catedra De Riesgos Oracle
Catedra De Riesgos OracleCatedra De Riesgos Oracle
Catedra De Riesgos Oracle
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
 

Último

GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 

Último (20)

GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 

Auditoria De La Gestion De Las Tic

  • 1. AUDITORÍA DE LA GESTIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN 31 Mar 2009 Emigdio Alfaro
  • 2. CONTENIDO 1. Problemática de la Gestión de las TI. 2. MAIGTI. 3. 3 MAIGTI – Desarrollo de la Metodología Metodología. 4. MAIGTI – Aplicaciones. 5. MAIGTI – Procedimientos. 6. Referencias. Emigdio Alfaro 2
  • 3. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) 749 entrevistas: CEOs, CIOs, COOs, CFOs, y auditores. 652 entrevistas de manera aleatoria. 71 entrevistas a usuarios de COBIT conocidos. 26 entrevistas a usuarios experimentados de COBIT COBIT. 23 países de todos los continentes. Emigdio Alfaro 3
  • 4. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) Emigdio Alfaro 4
  • 5. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) Emigdio Alfaro 5
  • 6. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) Emigdio Alfaro 6
  • 7. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Emigdio Alfaro 7
  • 8. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Compound Problem Index = f(Frecuencia, Severidad, Evolución del Último Año, Prioridad para resolución Próximo Año) Emigdio Alfaro 8
  • 9. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Emigdio Alfaro 9
  • 10. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Emigdio Alfaro 10
  • 11. 1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Standish Group, 1995) 175,000 proyectos de software en USA. Gasto mayor a US$ 250 billones billones. Costo Promedio Proyecto en Gran Empresa: US$ 2’322,000. Costo P C t Promedio P di Proyecto en M di t Mediana E Empresa: US$ 1’331 000 1’331,000. Costo Promedio Proyecto en Pequeña Empresa: US$ 434,000. Proyectos de Software están en CAOS. No se puede seguir actuando igual: no escuchar fallas, no ver fallas, no hablar de fallas. Emigdio Alfaro 11
  • 12. 1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Standish Group, 1995) 31.1% de los proyectos serán cancelados antes de ser completados. 52.7% 52 7% de los proyectos costarán 189% de los costos estimados iniciales iniciales. En promedio se demoraron 222% del tiempo estimado inicial. En promedio, 61% de las especificaciones originales fueron incluidas. 16.2% fueron completados a tiempo y con el presupuesto estimados. Emigdio Alfaro 12
  • 13. 1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Standish Group, 1995) En empresas grandes sólo 9% de los proyectos fueron completados a tiempo y con el presupuesto, y sólo el 42% de ellos cumplieron las especificaciones originales originales. En empresas pequeñas 78.4% de los proyectos completaron al menos 74.2% d l 74 2% de las especificaciones originales. ifi i i i l Agencias del g g gobierno y firmas de USA g gastaron US$ 81 billones en proyectos cancelados. Además, gastarán US$ 59 billones adicionales para completar otros proyectos. Los costos de oportunidad no son medibles; pero, podrían ser trillones. Emigdio Alfaro 13
  • 14. 1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Rubinstein, 2007) Proyectos Exitosos: Año 2006, 32% (antes 16.2%, 1994). Proyectos Cancelados: Año 2006 19% (antes 31 1% 1994) 2006, 31.1%, 1994). Proyectos Desafiados: Año 2006, 46% (antes 52.7%, 1994). Emigdio Alfaro 14
  • 15. 1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información R. M. N 179-2004-PCM, 14 Junio 2004. NTP-ISO/IEC 12207:2004. N° 179 2004 PCM, NTP ISO/IEC Procesos del Ciclo de Vida del Software. R. M. N 224-2004-PCM, R M N° 224 2004 PCM 23 Julio 2004 NTP ISO/IEC 17799:2004 2004. NTP-ISO/IEC 17799:2004. Código de Buenas Prácticas de Gestión de la Seguridad de la Información. R. M. N° 395-2005-PCM y R. M. N° 396-2005-PCM, 8 Noviembre 2005. Modifican plazo hasta el 30 Junio 2006. Emigdio Alfaro 15
  • 16. 1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información 11 Agosto 2006 D U 020 2006 Dictan Normas de Austeridad y 2006. D.U. 020-2006 Racionalidad en el Gasto Público. 18 Agosto 2006. D.U. 021-2006 Dictan Medidas Complementarias al D.U. 020-2006. Emigdio Alfaro 16
  • 17. 1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información 45 entidades convocaron 83 procesos de selección. 45 entidades (4.39%) de las 1026 usuarias de T.I. (en total 2972, según INEI 2002) realizaron acciones para la implementación de las normas técnicas de gestión de T.I. a un costo de S/. 2’760,718. Sólo 13 entidades (1.27%) habrían logrado implementar la NTP- ISO/IEC 12207. El costo total por esta norma fue S/. 912,457. Sólo 13 entidades (1.27%) habrían logrado implementar la NTP- ISO/IEC 17799. El costo total por esta norma fue S/. 1’848,261. Emigdio Alfaro 17
  • 18. 1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información TIPOS DE SERVICIOS EN LOS PROCESOS DE SELECCIÓN RELACIONADOS A LAS NORMAS TÉCNICAS PERUANAS DE GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN TIPO DE SERVICIO ISO 12207 ISO 17799 Diagnóstico 2 11 Diagnóstico y Plan de Implementación 3 10 Plan de Implementación, P líti Pl d I l t ió Políticas, P Procedimientos, y di i t Capacitación (Implementación Completa) 5 2 Diagnóstico, Plan de Implementación, Políticas, Procedimientos, y Capacitación ( p p (Implementación Completa) p ) 8 11 Asesoría 0 3 Auditoría Interna 0 1 Personal de Apoyo para Implementación 10 9 Actualización a versión posterior 0 1 Capacitación 2 5 TOTAL 30 53 Tabla 2: Tipos de servicios prestados como consecuencia de los procesos de selección adjudicados, relacionados con las normas técnicas peruanas de Gestión de TI Emigdio Alfaro 18
  • 19. 1. Problemática de la Gestión de las TI Alfaro (2007). Los ERPs ¿Generan o Destruyen Valor? Algunos errores comunes en la Implantación de Sistemas de Información ERPs son los siguientes: ERPs, A. Proyecto aislado del Plan Estratégico de la Organización. B. No se hace participar al usuario en la definición de requerimientos. C. C El usuario toma a la ligera su responsabilidad en la definición de f requerimientos. D. El personal de Informática no conoce los procesos de gestión a ser soportados por los sistemas de información. Emigdio Alfaro 19
  • 20. 1. Problemática de la Gestión de las TI Alfaro (2007). Los ERPs ¿Generan o Destruyen Valor? Algunos errores comunes en la Implantación de Sistemas de Información ERPs, son los siguientes: E. Se trata de minimizar cambios y se sugiere que la empresa cambie sus procesos de acuerdo a la configuración estándar del ERP . F. Se personaliza el ERP a las necesidades de la empresa; sin embargo, los requerimientos cambian continuamente por no tener claros tanto la estrategia como los procesos para llevarla a cabo. G. G No se sig e los procesos formales del ciclo de vida del soft are En sigue ida software. especial: Plan de Pruebas, Plan de Integración y Plan de Migración. Emigdio Alfaro 20
  • 21. 2. MAIGTI Normas relacionadas a la Gestión de las TI: Normas de Contraloría General de la República. Normas de la SBS. Normas Internacionales: COBIT MAGERIT PMBOK ISO/IEC 12207 IEEE 1058 IEEE-1058 COSO ISO/IEC 17799 MoProSoft ERM ISO/IEC 27001 CMM ISO 9001 ISO/IEC 20000 Métrica 3 ISO 19011 Emigdio Alfaro 21
  • 22. 2. MAIGTI Alfaro (2008). MAIGTI - Metodología para la Auditoría Integral de la Gestión de Tecnología de Información. El objetivo del estudio fue el desarrollo de una metodología para la auditoría integral de la gestión de la tecnología de información (MAIGTI) (MAIGTI), enfocada en procesos, y basada en estándares de calidad internacionales. Emigdio Alfaro 22
  • 23. 2. MAIGTI 2.1 COBIT. 2 1 COBIT Control Objectives for Information and related Technologies Technologies. Grupos de Objetivos de Control de COBIT: a) Planificación y Organización. b) Adquisición e Implementación. c) Entrega de Servicios y Soporte. d) Monitoreo y Control. Emigdio Alfaro 23
  • 24. 2. MAIGTI 2.2 ISO/IEC 12207 Procesos del Ciclo de Vida del Software A. Procesos Principales. Incluye: (a) Adquisición; (b) Suministro; (c) Desarrollo; (d) Operación; y (e) Mantenimiento Mantenimiento. B. Procesos de Apoyo. Incluye: (a) Documentación; (b) Gestión de la Configuración; (c) Aseguramiento de la Calidad; (d) Verificación; (e) Validación; (f) Revisión Conjunta; (h) Auditoría; y (i) Solución de Problemas. C. Procesos Organizativos. Incluye: (a) Gestión; (b) Infraestructura; (c) Mejora; y (d) Recursos Humanos Humanos. Emigdio Alfaro 24
  • 25. 2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la Seguridad de la Información A. Evaluación y Tratamiento del Riesgo. B. Política de Seguridad. Incluye: (a) Documento de Política de Seguridad de la Información; y (b) Revisión y Evaluación. C. Aspectos Organizativos de la Seguridad. Incluye: (a) Estructura para la Seguridad de la Información (Comité Recursos (Comité, Recursos, Responsabilidades, Asesoría de Expertos, Colaboración entre organizaciones y Evaluación Independiente); (b) Seguridad en los accesos de terceras partes; y (c) Outsourcing Outsourcing. D. Clasificación y Control de Activos. Incluye: (a) Responsabilidades sobre los activos; y (b) Clasificación de la Información. Emigdio Alfaro 25
  • 26. 2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la Seguridad de la Información E. Seguridad Ligada al Personal. Incluye: (a) Seguridad en la Definición del Trabajo y Recursos; (b) Formación y capacitación en seguridad de la información; y (c) Respuesta ante incidencias y malos funcionamientos de la seguridad. F. Seguridad Física y del Entorno. Incluye: (a) Áreas Seguras; (b) Seguridad de los equipos; y (c) Controles Generales. G. Gestión de Comunicaciones y Operaciones. Incluye: (a) Procedimientos y Responsabilidades de Operación; (b) Planificación y Aceptación del Sistema; (c) Protección contra software malicioso; (d) Gestión Interna de Respaldo y Manipulación; (e) Gestión de redes; (f) Uso y seguridad de los medios de información; y (g) Intercambio de Información y Software. Emigdio Alfaro 26
  • 27. 2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la g Seguridad de la Información H. Control de A H C t l d Accesos. I l Incluye: ( ) R (a) Requisitos d negocio para el control i it de i l t l de accesos; (b) Gestión de acceso a usuarios; (c) Responsabilidades de los usuarios; (d) Control de acceso a la red; (e) Control de acceso al sistema operativo; (f) Control de acceso a las aplicaciones; (g) Seguimiento de accesos y usos del sistema; (h) Informática móvil y teletrabajo. j I. Adquisición, Desarrollo y Mantenimiento de Sistemas. Incluye: (a) Requisitos de seguridad en los sistemas; (b) Seguridad de las aplicaciones; (c) Controles criptográficos; (d) Seguridad de los archivos del sistema; y (e) Seguridad en los procesos de desarrollo y soporte. Emigdio Alfaro 27
  • 28. 2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la g Seguridad de la Información J. Gestión d I id t d S J G tió de Incidentes de Seguridad de la Información. id d d l I f ió K. Gestión de la Continuidad del Negocio. Incluye: ( ) Planificación; (b) g y (a) ;( ) Prueba; y (c) Mantenimiento y reevaluación de los planes de continuidad. L. Cumplimiento. Incluye: (a) Cumplimiento de los requisitos legales; (b) Revisiones de la política de seguridad y la conformidad técnica; y (c) Consideraciones sobre l auditoría d sistemas. C id i b la di í de i Emigdio Alfaro 28
  • 29. 2. MAIGTI 2.4 ISO/IEC 20000 Modelo de Gestión de Servicios de T.I. (ITIL: ( Information Technology Infrastructure Library) A. Acuerdos d niveles d servicio y procedimientos d atención d A A d de i l de i i di i t de t ió de requerimientos de sistemas en producción (desarrollo de software y soporte técnico). B. Service Desk. C. Gestión de Incidentes. D. Gestión de Problemas. E. E Gestión de Cambios Cambios. F. Gestión de Versiones. G. G Gestión de Configuraciones Configuraciones. Emigdio Alfaro 29
  • 30. 2. MAIGTI 2.5 PROJECT MANAGEMENT BODY OF KNOWLEDGE GRUPOS DE PROCESOS: ÁREAS DE CONOCIMIENTO: a) Inicio. a) Gestión de la Integración. b) Planificación. b) Gestión del Alcance. c) Ejecución. Ejecución c) Gestión del Tiempo Tiempo. d) Seguimiento y Control. d) Gestión del Costo. e) Cierre. Cierre e) Gestión de la Calidad. Calidad f) Gestión de los Recursos Humanos. g) ) Gestión de las Comunicaciones. G ió d l C i i h) Gestión de los Riesgos. i) Gestión de las Adquisiciones. Emigdio Alfaro 30
  • 31. 2. MAIGTI 2.6 Alcances de las Normas con respecto a la Auditoría de la Gestión de Tecnología de Información No se ha encontrado una metodología orientada a la auditoría integral de la gestión de la tecnología de información en una organización, con la excepción del uso del p p proceso ggeneral de auditoría ( (ISO 19011) ) teniendo en cuenta los objetivos de control de las normas gubernamentales o los estándares internacionales. Emigdio Alfaro 31
  • 32. 3. MAIGTI - Desarrollo de la Metodología ISO 200000 ISO 200000 ISO 200000 ISO 200000 ISO 12207 ISO 17799 ISO 12207 ISO 17799 ISO 12207 ISO 17799 ISO 12207 ISO 17799 BOK BOK BOK BOK PMB PMB PMB PMB 1 1 1 1 1 1 1 1 2 2 2 2 PLANIFICACIÓN Y ADQUISICIÓN E ENTREGA DE MONITOREO ORGANIZACIÓN IMPLEMENTACIÓN SERVICIOS Y SOPORTE Y CONTROL COBIT PROCESO GENERAL DE AUDITORÍA Estructura de MAIGTI - Metodología para la Auditoría Integral de la Gestión de la Tecnología de Información Emigdio Alfaro 32
  • 33. 3. MAIGTI - Desarrollo de la Metodología 2. ESPECIFICAR EL 3. SOLICITAR LA ALCANCE Y ELABORAR 1. DETERMINAR INFORMACIÓN PLAN DE TRABAJO (P062) EL OBJETIVO a. Papeles Trabajo b. Informe 5. EJECUTAR EL PROCESO MAIGTI - Introducción 4. RECIBIR LA - Objetivo INFORMACIÓN, 5.1 EVALUAR DOCS - Alcance ORDENARLA E PLANIFICACIÓN Y - Procedimientos INGRESARLA AL ORGANIZACIÓN - Técnicas PROCESO MAIGTI - Evaluación - Opinión 5.2 EVALUAR DOCS 5.4 EVALUAR DOCS SALIDAS ADQUISICIÓN E MONITOREO ENTRADAS IMPLEMENTACIÓN Y CONTROL -Informes auditoría 5.3 EVALUAR DOCS anteriores 6. COMUNICAR, ENTREGA DE - Planes DISCUTIR, Y SERVICIOS Y - Evaluación de Riesgos CORREGIR SOPORTE - Organización INFORME (P060) - Metodologías 5.5 5 5 EJECUTAR - Contratos PROCEDIMIENTOS - Actas - Reportes P052->P059 7. DISTRIBUIR - Sistemas de Inf. INFORME FINAL - Manuales, etc. , (P061) MAIGTI - Metodología para la Auditoría Integral de la Gestión de la T.I. Emigdio Alfaro 33
  • 34. 3. MAIGTI - Desarrollo de la Metodología 5. EJECUTAR EL PROCESO MAIGTI 4. RECIBIR LA INFORMACIÓN, P002->P020 ORDENARLA E INGRESARLA AL 5.1 EVALUAR DOCS PROCESO MAIGTI PLANIFICACIÓN a. Papeles Trabajo Y ORGANIZACIÓN b. b Informe - Introducción - Objetivo 5.2 EVALUAR DOCS 5.4 EVALUAR DOCS - Alcance ENTRADAS ADQUISICIÓN E MONITOREO - Procedimientos IMPLEMENTACIÓN Y CONTROL - Técnicas - Documentos Planificación - Evaluación y Organización. Para cada gerencia: - Documentos Adquisición P021->P035 P042->P051 Para cada hallazgo: 5.3 EVALUAR DOCS e Implementación. - Enunciado ENTREGA DE - Documentos Entrega de - Descripción SERVICIOS Y Servicios y Soporte. - Causa SOPORTE - Documentos Monitoreo - Efecto y Control. - Riesgo P036->P041 - Recomendación - Opinión 5.5 EJECUTAR SALIDAS PROCEDIMIENTOS P052->P059 Proceso MAIGTI Emigdio Alfaro 34
  • 35. 4. MAIGTI - Aplicaciones MAIGTI se ha aplicado de manera integral a 2 empresas de seguros y 1 entidad recaudadora del Estado Peruano. También se ha aplicado de manera parcial a 8 entidades más usuarias más, de tecnologías de información. Emigdio Alfaro 35
  • 36. 5. MAIGTI - Procedimientos P001: MAIGTI: Metodología para la Auditoría Integral de la Gestión de la Tecnología de Información Información. P002: Procedimiento para la auditoría de la Planificación Estratégica. P003: Procedimiento para l auditoría d l Pl P003 P di i t la dit í de los Planes O Operativos. ti P004: Procedimiento para la auditoría de la Evaluación de Riesgos. P005: Procedimiento para la auditoría de la Planificación Estratégica de Tecnologías de Información. P006: Procedimiento para la auditoría de los Planes de Proyecto de Desarrollo de Sistemas de Información. P007: Procedimiento para la auditoría de los Planes de Proyecto de Compra de Sistemas de Información. P008: Procedimiento para la auditoría del Plan de Contingencias de Informática. Emigdio Alfaro 36
  • 37. 5. MAIGTI - Procedimientos P009: Procedimiento para la auditoría del Plan de Continuidad de Negocio. Negocio P010: Procedimiento para la auditoría del Plan de Seguridad de la Información. P011: Procedimiento para la auditoría del Plan de Licenciamiento de Software. P012: Procedimiento para la auditoría del Plan de Capacitación. P013: Procedimiento para la auditoría del Plan de Mantenimiento p Preventivo de Hardware de Computadoras, Redes y Equipos Relacionados. P014: Procedimiento para l auditoría d l Pl d M P014 P di i la di í del Plan de Mantenimiento i i Correctivo de Hardware de Computadoras, Redes y Equipos Relacionados. Emigdio Alfaro 37
  • 38. 5. MAIGTI - Procedimientos P015: Procedimiento para la auditoría de la Planificación de Labores de Rutina relacionadas con las Tecnologías de Información Información. P016: Procedimiento para la auditoría del Plan de Calidad. P017: Procedimiento para l auditoría d l Pl d C P017 P di i t la dit í del Plan de Compras d de Tecnologías de Información. P018: Procedimiento para la auditoría del Reglamento de Organización y Funciones. P019: Procedimiento para la auditoría del Manual de Organización y p g Funciones. P020: Procedimiento para la Evaluación del Currículum Vitae del personal d T l de Tecnología d I f l í de Información. ió P021: Procedimiento para la auditoría del Inventario de Hardware de Tecnología de Información Información. Emigdio Alfaro 38
  • 39. 5. MAIGTI - Procedimientos P022: Procedimiento para la auditoría del Inventario de Software de Base. Base P023: Procedimiento para la auditoría del Inventario de Sistemas de Información. P024: Procedimiento para la auditoría de las Solicitudes y Evaluaciones de Cotizaciones para las compras de hardware de computadoras, redes y equipos relacionados. P025: Procedimiento para la auditoría de las Solicitudes y Evaluaciones de Cotizaciones para las compras de software de base base. P026: Procedimiento para la auditoría de las Solicitudes y Evaluaciones de Cotizaciones para las compras de sistemas de información información. P027: Procedimiento para la auditoría de los contratos de compra de bienes y servicios, de hardware de computadoras, redes y equipos relacionados. Emigdio Alfaro 39
  • 40. 5. MAIGTI - Procedimientos P028: Procedimiento para la auditoría de los contratos para la compra de software de base base. P029: Procedimiento para la auditoría de los contratos para la compra de sistemas de información. P030: Procedimiento para la auditoría de los contratos de seguros para las tecnologías de información. P031: Procedimiento para la auditoría de la metodología de desarrollo de sistemas de información. P032: Procedimiento para la auditoría de la metodología para la atención de requerimientos de soporte técnico. P033: P P033 Procedimiento para l auditoría d l metodología para l atención di i la di í de la d l í la ió de requerimientos de desarrollo de sistemas de información. Emigdio Alfaro 40
  • 41. 5. MAIGTI - Procedimientos P034: Procedimiento para la auditoría de la documentación de los manuales técnicos de los sistemas de información información. P035: Procedimiento para la auditoría de la documentación de los manuales de usuario de los sistemas de información. P036: Procedimiento para la auditoría de la arquitectura de la red de tecnologías de información. P037: Procedimiento para la auditoría de la seguridad de acceso a los sistemas de información. P038: Procedimiento para la auditoría de la seguridad de acceso a las carpetas en los servidores. P039: Procedimiento para l auditoría d l manuales d P039 P di i la di í de los l de procedimientos de soporte técnico. Emigdio Alfaro 41
  • 42. 5. MAIGTI - Procedimientos P040: Procedimiento para la auditoría de los manuales de procedimientos de desarrollo de sistemas de información información. P041: Procedimiento para la Revisión de los Formularios de Control de Entregables de Proyectos y Requerimientos de Desarrollo de Sistemas de Información. P042: Procedimiento para el Seguimiento de Informes de Auditoría Interna. P043: Procedimiento para el Seguimiento de Informes de Auditoría Externa. Externa P044: Procedimiento para la auditoría de las Certificaciones de Calidad de Tecnología de Información Información. P045: Procedimiento para la auditoría de la Evaluación de Desempeño del Área de Tecnología de Información. Emigdio Alfaro 42
  • 43. 5. MAIGTI - Procedimientos P046: Procedimiento para la auditoría de la Evaluación de Desempeño del Personal de Tecnología de Información Información. P047: Procedimiento para la Revisión de los Formularios de Control de Cambios en Proyectos de Compra o Desarrollo de Sistemas de Información. P048: Procedimiento para la Revisión de los Formularios de Control de Riesgos en Proyectos de Compra o Desarrollo de Sistemas de Información. P049: Procedimiento para la Revisión de los Formularios de Seguimiento de Avances en Proyectos de Compra o Desarrollo de Sistemas de Información. P050: Procedimiento para la auditoría del Control de Calidad de los Requerimientos de Compra o Desarrollo de Sistemas de Información. Emigdio Alfaro 43
  • 44. 5. MAIGTI - Procedimientos P051: Procedimiento para la auditoría del Control de Calidad de los Requerimientos de Soporte Técnico Técnico. P052: Procedimiento para Entrevistar a los usuarios de Tecnologías de Información. P053: Procedimiento para la auditoría de las Instalaciones Eléctricas de los Equipos de Cómputo y Redes. P054: Procedimiento para la auditoría de la Seguridad de Acceso al Centro de Cómputo Principal. P055: Procedimiento para la auditoría de las Instalaciones del Centro de Cómputo Principal. P056: Procedimiento para l auditoría d l S P056 P di i la di í de la Seguridad d A id d de Acceso al l Centro de Cómputo Alterno. P057: Procedimiento para la auditoría de las Instalaciones del Centro de Cómputo Alterno. Emigdio Alfaro 44
  • 45. 5. MAIGTI - Procedimientos P058: Procedimiento para la auditoría del Cableado de Redes de Datos. P059: Procedimiento para la auditoría del Cálculo de la Generación de Valor de los Proyectos. P060: P P060 Procedimiento para l El b di i t la Elaboración d l I f ió del Informe P li i Preliminar. P061: Procedimiento para el Envío, Sustentación y Corrección del Informe Final Final. P062: Procedimiento para la Elaboración del Plan de Trabajo de la Auditoría. P063: Procedimiento para la Medición de la Resistencia de la Puesta a Tierra. Emigdio Alfaro 45
  • 46. 6. Referencias Alexander A. (2007). Diseño de un Sistema de Gestión de Seguridad de la Información: Óptica ISO/IEC 27001:2005. Bogotá: Alfa Omega p g g Colombiana. Alfaro, E. A. (2007). Alfaro E A (2007) Los ERPs ¿Generan o Destruyen Valor? Congreso Valor?. Internacional de Ingeniería de Sistemas, Universidad César Vallejo: Trujillo. Alfaro, E. A. (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información. Congreso Internacional SSudamericano de Ingeniería de Sistemas, Computación e í S C ó Informática XII: Arequipa. Alfaro, E. A. (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información. Congreso Internacional Sudamericano de Ingeniería de Sistemas, Computación e Informática XII: Arequipa. Emigdio Alfaro 46
  • 47. 6. Referencias IT Governance Institute (2008). IT Governance Global Status Report 2008. Retrieved f 2008 R i d from h // http://www.isaca.org. i Rubinstein, D. (2007). Standish Group Report: Three’s Less ( ) p p Development Chaos Today. Software Development Times, 169(1), 1. Standish Group (1995) Standish Group Report Retrieved March 8 (1995). Report. 8, 2007, from http://www.standishgroup.com/sample_research/chaos_1994_1.php. Emigdio Alfaro 47