Capitulo 2 GOBIERNO DE TI ‘Manual de Preparacién al Examen CISA 2008 oTCapitulo 2 GOBIERNO DE TI 2.1 INTRODUCCION 85 21 OBJETIVO 24.2 TAREAS.. 243 DECLARACIONES DE CONOCIMIENTO. 21114 RELACION ENTRE DECLARACIONES DE TAREA Y DECLARACIONES DE CONOCIMIENTO 86 2.2 GOBIERNO CORPORATIVO.... 23 PRACTICAS DE MONITOREO ¥ ASEGURAMIENTO PARA LA JUNTA Y LA GERENCIA EIECUTIVA 89 2.3.1 MEJORES PRACTICAS PARA EL GOBIERNO DE TI . Rol de la Auditoria en el Gobiemo de TI... m9 2.3.2 COMITE DE ESTRATEGIA DE TI. 2.33 SCORECARD BALANCEADO ESTANDAR DE Tl 2.3.4 GOBIERNO DE SEGURIDAD DE INFORMACION Panorama General del Gobierno de Seguridad de Informacién IMPORTANCIA DEL GOBIERNO DE SEGURIDAD DE INFORMACION. RESULTADOS DEL GOBIERNO DE SEGURIDAD... 89 Gobierno Efectivo de Seguridad de Informacién ROLES ¥ RESPONSABILIDADES DE LA ALTA GERENCIA Y JUNTAS DIRECTIVAS.. Juntas Directivas /Alta Gerenia we connn DirecciénEjecutiva. Comité de Direccién. Director de Seguridad de Informacién MATRIZ DE RESULTADOS Y RESPONSABILIDADES 2.3.5 ARQUITECTURA DE EMPRESA... 2.4 ESTRATEGIA DE SISTEMAS DE INFORMACION... 2.4.1 PLANEACION ESTRATEGICA .. 2.4.2 COMITE DE DIRECCION. 2.5 POLITICAS Y PROCEDIMIENTO: 2.5.1 POLITICAS 106 Politica de Seguridad de Informacién. DOCUMENTO DE POLITICA DE SEGURIDAD DE INFORMACION REVISION DE LA POLITICA DE SEGURIDAD DE INFORMACIO! 2.5.2 PROCEDIMIENTOS...... 2.6 ADMINISTRACION DEL RIESGO..... 2.6.1 DESARROLLO DE UN PROGRAMA DE ADMINISTRACION DEL RIESGO. 2.6.2 PROCESO DE ADMINISTRACION DE RIESGOS.. 2.6.3 METODOS DE ANALISIS DEL RIESGO... Métodos de Anilisis Cuantitatvo... PROBABILIDAD Y EXPECTATIVA -2- METODO DE EXPECTATIVA DE PERDIDA ANUAL (ALE) 2.7 PRACTICAS DE GERENCIA DE SISTEMAS DE INFORMACION .. 2.7.1 ADMINISTRACION DE PERSONAL...... sant a ‘Manual de Preparacion al Examen CISA 2008Politicas de Promocién Entrenamiento.... Cronogramas y Reportes de Tiempo... Evaluaciones del Desempefio de los Empleados...... Vacaciones Requeridas Politicas de Terminacién de Contrato, 2.7.2 PRACTICAS DE SOURCING Practicas y Estrategias de Tercerizacién o Contratacién Externa, Practicas y Estrategias de Globali Tercerizacién e Informes de Auditoria de Terceros ... Gobierno en Outsourcing. ‘Actuales Métodos de Gobiemo de Outsourcing... Capacidad y Planeacién del Crecimiento.... Administracién de Entrega de Servicios por Terceros ENTREGA DE SERVICIO...... MONITOREO Y REVISION DE LOS SERVICIOS DE TERCEROS. ADMINISTRACION DE CAMBIOS A LOS SERVICIOS DE TERCEROS.. Mejoramiento del Servicio y Satisfaecién del Usuario... a Esténdares de la Industria/ Puntos de Referenci 2.73 GERENCIA DE CAMBIOS ORGANIZACIONALES 2.7.4 PRACTICAS DE GERENCIA FINANCIERA .. Los Presupuestos de SI... 2.7.5 GERENCIA DE LA CALID. 2.7.6 GERENCIA DE SEGURIDAD DE INFORMACION 2. 7.7 OPTIMIZACION DEL DESEMPENO . 2.8 ESTRUCTURA ORGANIZACIONAL Y RESPONSABILIDADES DE SI... 2.8.1 ROLES Y RESPONSABILIDADES DE SI. sev ‘Administracion de Vendedor/Proveedores y Outsourcer Operaciones y Mantenimiento de Infraestructura.... Cintotecario Ingreso de Datos ‘Administracién de Sistemas ‘Administracién de Seguridad .. ‘Aseguramiento de Calidad.. ‘Administracién de Base de Datos... Andlisis de Sistemas... Arquitecto de Seguridad . Desarrollo y Mantenimiento de Aplicaciones... Desarrollo y Mantenimiento de Infraestructura ‘Administracién de Red 2.82 SEGREGACION DE FUNCIONES DENTRO DE SI. 2.8.3 CONTROLES DE SEGREGACION DE FUNCIONES ‘Autorizacién de Transaccién Custodia de Activos Controles Compensatorios por Falta de Segregacién ‘de Fungiones.... 2.9 AUDITORIA DE LA ESTRUCTURA E IMPLEMENTACION DE GOBIERNO DE TI .. Manual de Preparacion al Examen CISA 20082.9.1 REVISION DE DOCUMENTACION.. saat 2.9.2 REVISION DE LOS COMPROMISOS CONTRACTUALES 2.10 CAPITULO 2 ESTUDIOS DE CASO. 2.10.1 Estudio de Caso A Estudio de Caso Escenario A. PREGUNTAS DE ESTUDIO DE CASO sae 2.11 RESPUESTAS A LAS PREGUNTAS DE PRACTICA. 2.12 Respuestas a las Preguntas de Estudio de Caso ...... ‘Respuestas a las Preguntas de Estudio de Caso A... 2.13 RECURSOS SUGERIDOS PARA REFERENCIA "Manual de Preparacion al Examen CISA 2008,El conocimiento del Gobierno de TI es fundamental para el trabajo del auditor de SI. El mismo constituye la base para el desarrollo de précticas saludables de control y mecanismos para la supervisién y revision de la administracién. 2.1.1 OBJETIVO El objetivo de esta area es asegurar que el auditor de SI enticnda y pueda dar garantia que la organizacién tiene establecidas la estructura, las politicas, los mecanismos de registro y las priicticas de monitoreo para satisfacer los requerimientos del gobiemo corporativo de TI. Esta rea representa el 15 por ciento del examen CISA (aproximadamente 30 preguntas). 2.1.2 TAREAS Hay nueve (9) tareas dentro del area de gobierno de TI 2.1.1 Evaluar la efectividad de la estructura de gobierno de TI para asegurar el control adecuado de la Junta sobre las decisiones, las instrucciones y el desempefto de TI, para que soporte las estrategias y objetivos de la organizacién. 72.2 Evaluar la estructura organizativa de TI y la administracién de los recursos humanos (personal) para asegurar que éstos soporten las estrategias y los objetivos de la organizacién 723 Evaluar la estrategia de TI y el proceso para su desarrollo, aprobacién, implementacién y mantenimiento para asegurar que soporta las estrategias y objetivos de la organizacion 72.4 _Evaluar las politicas, los esténdares, los procedimientos y los procesos de TI de la organizacién para deserrollarlos, aprobarlos, implementarlos y mantenerlos, para asegurar que éstos soporten la estrategia de TI y cumplan con los requerimientos regulatorios y legales. 72.5 Evaluar las practicas gerenciales para asegurar el cumplimiento con la estrategia, las politicas, los estiindares y los procedimientos de TI de la organizacion. 72.6 Evaluar la inversiOn de recursos de TI, el uso y las précticas de asignacion para asegurar que estén en conformidad con las estrategias y objetivos de la organizacién 72.7 Bvaluar las estrategias y politicas de contratacién de TI y las prictieas de administracién de contratos para asegurar que soporten las estrategias y los objetivos de la organizacion. 72.8 Evaluar las practicas de administracién de riesgos, para asegurar que los riesgos relacionados con ‘Tide la organizacién sean debidamente administrados. 72.9 Evaluar las précticas de monitoreo y aseguramiento, para asegurar que la Junta y la Alta Direccién reciban informacién suficiente y oportuna sobre el desempefio de TI. 2.1.3 DECLARACIONES DE CONOCIMIENTO Hay 15 areas de conocimiento dentro del rea de gobierno de TI: KS2.1 Conocimiento del propésito de las estrategias, las politicas, los estndares y los procedimientos de ‘Tl para una organizacién y los elementos esenciales de cada uno de ellos. KS2.2 Conocimiento de las marcos de referencia de gobiemo de TI KS23 Conocimiento de los procesos para el desarrollo, a implementacién y el mantenimiento de estrategias, politicas, estindares y procedimientos de TI (ej. proteecién de los activos de informacién, continuidad del negocio y recuperacién de desastres, administracién del ciclo de vida de sistemas y de infraestructura, y entrega y soporte del servicio de TD. KS24. Conocimiento de las estrategias y politicas de administracién de Ia calidad ‘Manual de Preparacién al Examen CISA 2008,KS2.5. Conocimiento de Ia estructura, los roles y las responsabilidades organizacionales relacionados con el uso y administracién de TL Conocimiento de las normas y directrices internacionales de TI generalmente aceptadas Conocimiento de la arquitectura corporativa de TI y sus implicaciones para establecer direceiones estratégicas de largo plazo KS2.8 Conocimiento de las metodologias y herramientas de administracién de riesgos $2.9 Conocimiento del uso de marcos de control (ej. COBIT, COSO, ISO 17799) KS2.10 Conocimiento del uso de los modelos de madurez y de mejora de procesos (ej. , CMM, CobiT) KS2.11 Conocimiento de las estrategias y los procesos de contratacién, y las practicas de administracion de contratos KS2.12Conocimiento de las pricticas para monitorear e informar el desempefio de TI (gj, balance scorecards, indicadores clave de desemperio (KPI)) KS2.13 Conocimiento de aspectos legislativos y regulatorios relevantes (cj. requerimientos de privacidad, propiedad intelectual, gobierno corporativo) KS2.14 Conocimiento de la administracién de recursos humanos de TI (personal) KS2.15 Conocimiento de las pricticas de inversién y asignacién de recursos de TI [por ejemplo, (ROD)] KS26 KS2.7 2.1.4 RELACION ENTRE DECLARACIONES DE TAREA Y DECLARACIONES DE CONOCIMIENTO Las declaraciones de tarea son lo que se espera que el candidato de CISA sepa cémo hacer. Las declaraciones de conocimiento delinean lo que se espera que el candidato de CISA sepa para realizar las tareas. Las declaraciones de tarea y de conocimiento estén aproximadamente mapeadas en la Figura 2.1 hasta donde es posible hacerlo. Noe que a peser de que con frecuencia hay traslape, cada declarscién de tarea generalmente mapeard a varias declaraciones de conocimiento, como se muestra en la figura 2.1. Figura 2.1 ‘Mapeo de Dectaraciones de Tarea y de Conocimiento T2.1 Evaluar la eficacia de la estructura del|KS2.1 Conocimiento del propésito ée las, gobiemo de TT para asegurar un control adecuado | estrategias, politicas, estindares y procedimientos de la junta sobre las decisiones, indicaciones y | de TI, para una organizacién y los elementos desempefio de TI, para que soporte las estrategias y | esenciales de cada uno. objetivos de la organizacién. KS2.2 Conocimiento de los marcos de gobierno de 1 KS2,9 Conocimiento del uso de los marcos de control (e.g. CobiT, c0so, iso 17799) KS2.12 Conocimiento de las précticas para monitorear y teportar el desempefio de Tl (e.8., scorecards balanceados, indicadores clave de desempefto [KPI]) KS2.15 Conocimiento de las précticas de inversién jgnacién de recursos de Tl (gs ‘administracién de la cartera, rendimiento sobre inversién (ROD). KS2.1 Conocimiento del propdsito de las 72.2 Evaluar la estructura organizacional y la gerencia de recursos humanos (personal) de TI para asegurar que ellos soportan las estrategias y objetivos de la organizacién. estrategias, politicas, estindares y procedimientos de TI, para una organizacién y los elementos esenciales de cada uno. KS2.5 Conocimiento de la estructura, los roles y las responsabilidades _organizacionales relacionados con el uso y la admi de "Manual de Preparacién al Examen CISA 2008KS2.14 Conocimiento de la administracién de recursos humanos (personal) de TL 72.3 Evaluar la estrategia y el proceso de TI para su desarrollo, aprobacién, implementacion y ‘mantenimiento para asogurar que ellos soportan las estrategias y objetivos de la organizacién. KS2.1 Conocimiento del proposito de las estrategias, politicas, estindares y procedimientos de TI, para una organizacién y los elementos esenciales de cada uno. Conocimiento de los procesos para el desarrollo, la implementacién y el mantenimiento de estrategias, estindares y procedimientos de TT (¢j. in de los. activos de informacién, continuidad del negocio y recuperacién de desastres, administracién del ciclo de vida de sistemas y de infraestructura, y entrega y soporte del servicio de TD). KS2.4 Conocimiento de las estrategias y politicas de administracién de la calidad T24 Evaluar las _politicas, _estiindares, procedimientos y procesos de TI para su desarrollo, aprobacién, —implementacién ‘mantenimiento para asegurar que ellos soportan la estrategia de TI y cumplen con los requerimientos regulatorios y legales. KS23 Conocimiento de los procesos para el desarrollo, la implementacién y el mantenimiento de estrategias, _politicas, _estindares_-y procedimientos de TI (ej. proteccién de los activos de informacién, continuidad del negocio y recuperacién de desastres, administracién del ciclo de vida de sistemas y de infraestructura, y entrega soporte del servicio de TI). 2.5 Evaluar las préctieas de administracion para asegurar que se cumple con la estrategia, las politicas, estindares y procedimientos de TI. KS2.3 Conocimiento de los procesos para el desarrollo, la implementacién y el mantenimiento de estrategias, _politices, _estindaresy procedimientos de TT (ej. proteccién de los activos de informacién, continuidad del recuperacién de desastres, administraci de vida de sistemas y de inffaestructura, y entrega y soporte del servicio de TI). KS2.4 Conocimiento de las estrategias y politicas de administracién de la calidad KS2.7 Conocimiento de la arquitectura corporativa de TI y sus implicaciones para establecer direcciones estratégicas de largo plazo KS2.9 Conocimiento del uso de los marcos de control (e.g. CobiT, c0so, iso 17799) KS2.10 Conocimiento del uso de los modelos de madurez y de mejora de procesos (ej. , CMM, CosrT) KS2.11 Conocimiento de las estrategias y los procesos de contratacién, y las précticas de administracién de contratos KS2.14 Conocimiento de la administracién de recursos humanos (personal) de TI KS2.15 Conocimiento de las pricticas de inversién y_ asignacién de recursos de TI [por ejemplo, Ron] 72.6 Evaluar la inversién, el uso y las pricticas "Manual de Preparacion al Examen CISA 2008 KS2.14 Conocimiento_de_la_administraci6n “de, 7de asignacién de Tos recursos de TI, para asegurar Ia alineacién con las estrategias y procedimientos de la organizacién, ‘ecursos humanos (personal) de TT T2.7_ Evaluar las estrategias y politicas y Tas pricticas de administracién de contratos de TI para asegurar que ellos soporten las estrategias y objetivos de la organizacién. KS2.11 Conocimiento de las estrategias y los procesos de contratacién, y las précticas de administracién de contratos ‘72.8 Evaluar las pricticas de administracién del riesgo de TI para asegurar que los riesgos relacionados con TI con debidamente administrados. KS23 Conocimiento de fos procesos fara el desarrollo, la implementacién y el mantenimiento de estrategias, politica, esténdares_—y procedimientos de TI (e). proteccién de los activos de informacién, continuidad del negocio y recuperacién de desastres, administracién del ciclo de vida de sistemas y de infraestructura, y entrega y soporte del servicio de TI). KS2.8 Conocimiento de las metodologias y herramientas de administracién de riesgos 72.9 Evaluar las pricticas de monitoreo y aseguramiento para asegurar que la junta y la administracién ejecutiva reciban informacién ‘oportuna y suficiente sobre el desempefio de TI. KS2.4 Conocimiento de las estrategias y politicas de administracion de la calidad KS2.12 Conocimiento de las précticas para monitorear y reportar el desempefio de TI (2.g., scorecards ‘balanceados, indicadores clave de desempefio [KPI]) we ‘Manual de Preparacidn al Examen CISA 2008Los aspects éticos dentro de una organizacién deben fomentarse por medio de pricticas de gobiemo corporativo. El gobierno corporativo se define como un comportamiento corporativo ético por parte de los directores u otros encargados del gobierno, para la creacién y entrega de los beneficios para todas las partes interesadas, Adicionalmente, la definicidn de la practica de gobiemo corporativo ha sido ampliada por Ia Organizacién para la Cooperacién y el Desarrollo Econémico (OECD) como, “La distribucién de derechos y responsabilidades entre los diferentes participantes en la corporacién, tales como Ia Junta, los gerentes, los accionistas y otras partes interesadas, y explica las reglas y procedimientos para tomar decisiones sobre los asuntos corporativos. Haciendo esto, provee también la estructura a través de la cual se fijan los objetivos de la compafia y los medios para lograr dichos objetivos y monitorear el desempetio.” Como parte de este marco de referencia, se deben establecer reglas para administrar ¢ informar sobre los riesgos del negocio. Estas deben requerir que las compafiias tengan un sistema de control interno para ‘monitorear los riesgos cuando se exploten formas nuevas ¢ innovadoras para mejorar el negocio. Simulténeamente, este marco es una plataforma para la proteccién de las partes interesadas, ya que define las responsabilidades de la Junta Directiva. De ese modo, los accionistas, inversionistas y otras partes interesadas tendrin deberes definidos y una estructura adecuada para decidir sobre sus inversiones, en un ‘marco transparente. Esto es cada vez més ordenado por los organismos de gobierno de los diferentes paises en un esfuerz0 para reducir la frecuencia y el impacto de reportes financieros inexactos y prover mayor transparencia imputabilidad. Muchas de estas nuevas regulaciones de gobiemo incluyen un requisito de que la alta gerencia se retire respecto a la adecuacién de los controles intemos ¢ incluya una evaluacién de los controles intemnos organizacionales en los reportes financieros de la organizacién. 2.3 PRACTICAS DE MONITOREO Y ASEGURAMIENTO PARA LA JUNTA Y LA GERENCIA EJECUTIVA El gobiemo de TI es un término incluyente que abarca sistemas de informacién, tecnologia y comunicacién; negocios, aspectos legales y otros; y todas las partes interesadas, los directores, la alta ‘gerencia, los propietarios de los procesos, los proveedores de TI, los usuarios y los auditores. El gobierno ayuda a asegurar el alineamiento de TI con los objetivos de la empresa. Las empresas estén regidas por las buenas o las mejores précticas generalmente aceptadas, cuyo aseguramiento esté provisto por ciertos controles. De tales pricticas fluye la orientacién de la ‘organizacién, que sefiala ciertas actividades, empleando los recursos de a entidad. Los resultados de dichas actividades se miden y se informan, offeciendo una base para la revision ciclica y el mantenimiento de los controles. ‘TI se rige también por las buenas o las mejores pricticas, que aseguran que la informacién y tecnologia relacionada de la organizacién soportan los objetivos de negocio, que sus recursos sean utilizados de manera responsable, y sus riesgos sean administrados de manera apropiada. Un gobierno corporativo efectivo concentra la pericia y experiencia individual y de grupo en dreas ‘especificas, donde ellos puedan ser més efectivos. La tecnologia de informacién, considerada por mucho Manual de Preparacion al Examen CISA 2008 wtiempo s6lo un habilitador de Ia estrategia de una organizacién, es ahora considerada como parte integral de esa estrategia. Los CEOs, CFOs y CIOs estan de acuerdo en que la concordancia estratégica entre los ‘objetivos de TL los de la empresa son un factor critico de éxito. El gobierno de TI ayuda a alcanzar este factor critico de éxito, desplegando de manera eficiente y efectiva informacién segura, confiable y tecnologia aplicada. La tecnologia de Informacién es tan critica para el éxito de las empresas que no puede ser relegada ni a la gerencia de TI ni a los especialistas de TI, sino que debe recibir Ia atencién de ambos en coordinacién con la alta gerencia. Fundamentalmente, al gobiemo de TI le incumben dos aspectos: que TI entregue valor al negocio y que los riesgos de TI sean administrados. Lo primero es impulsado por el alineamiento de TI con el negocio. Lo segundo esta impulsado por la integracion de la responsabilidad en la empresa, El gobierno de TI es responsabilidad de la junta directiva y de la gerencia ejecutiva. Es parte integral del gobiemo de la empresa y esté constituido por las estructuras de liderazgo y organizacionales y los rocesos que aseguran que Ia TI de la organi sostiene y extiende la estrategia y los objetivos de la “organizacion (definicién de Board Briefing on TI Governance, 2nd Edition, \TGI, 2004). Un elemento clave del gobiemo de TI es la alineacién del negocio con TI, que conlleva al logro del valor del negocio. Esta meta de alto valor puede lograrse alineando la estructura de gobiemo de TI con las mejores pricticas, Dichas estructura y précticas deben estar constituidas por una variedad de estructuras, procesos y mecanismos relacionales. Las précticas clave del gobiemo de TI son el comité de estrategias de TI Ia administracién de riesgos y el scorecard esténdar balanceado de TI. Preguntas de Practica 2-1 El gobiemo de TI asegura que una organizacién se alinee su estrategia de TI con: ‘A. los objetivos de la empresa B. los objetivos de TT C. los objetivos de auditoria D. los objetivos de control 2.3.1 MEJORES PRACTICAS PARA EL GOBIERNO DE TI El gobierno de TI es un conjunto de responsabilidades y pricticas usadas por Ia gerencia de una organizacién para prover direccién estratégica; de ese modo, asegurando que las metas sean alcanzables, los riesgos sean debidamente considerados y los recursos organizacionales sean debidamente utilizados (ver figura 2.2). "Manual de Preparacion al Examen CISA 2008Figura 22 Estructura de Relaciones del Gobierno de TL Entrega de Valor de i cme TI - Motivadores de ‘Alineamiento ‘Valor de las Partes Gerencia de Estratégi Interesadas, Riesgos Medicién del El gobiemo de TI es una estructura de relaciones y procesos para dirigir y controlar que la empresa alcance sus metas, dando valor agregado mientras balancea el riesgo vs. el retomo sobre Tl y sus procesos. El uso de tecnologia en todos los aspectos de esfuerzos econémicos y sociales ha ereado una dependencia critica sobre la tecnologia de la informacién para iniciar, registrar, mover y administrar todos los aspectos de las transacciones econémicas, la informacién y los conocimientos, creando un lugar ctitico para el gobiemo de TI dentro del gobiemo de la empresa. El propésito del gobierno de TI es dirigir los esfuerzos de TI para asegurar que su desempeiio logre las ‘metas de alinear a TI con los objetivos de la empresa y la obtencién de los beneficios prometidos. ‘Adicionalmente, TL debe apoyar a la empresa explotando oportunidades y maximizando beneficios. Los recursos de TI deben usarse responsablemente, y los riesgos relacionados con TI deben ser administrados de manera apropiada. Rol de la Auditoria en el Gobierno de TI El gobiemo de TI, como uno de los dominios del gobierno corporativo, abarca el cuerpo de los temas tratados para considerar cémo se aplica TI dentro de la empresa. TL es ahora intrinseca y penetrante dentro de las empresas, en lugar de ser una funcién separada y marginada del resto de la empresa. La manera de aplicar TI dentro de la empresa tendré un efecto enorme sobre si la empresa lograra su misién, visién, o metas estratégicas. Por esta razén, una empresa necesita evaluar su gobiemo de TI, ya que se esti volviendo una parte cada vez més importante del gobierno total de Ia empresa. La auditorfa tiene un rol significativo en una implementacién exitosa del gobiemo de TI dentro de una organizacién. La auditoria esta bien posicionada para prover recomendaciones de practicas lideres a la ‘Manual de Preparacion al Examen CISA 2008 aalta gerencia, para ayudar a mejorar la calidad y la efectividad de las iniciativas del gobierno de TI implementadas. Como una entidad que monitorea el cumplimiento, la auditoria ayuda a asegurar el cumplimiento de las iniciativas de gobiemo de TI implementadas dentro de una organizacién. EI monitoreo continuo, el andlisis y la evaluacién de las mediciones asociadas con las iniciativas del gobiemo de TI requieren una vision independiente y balanceada para asegurar una evaluacién cualitativa que posteriormente facilite el ‘mejoramiento cualitativo de los procesos de TI y las iniciatives del gobierno de TI asociadas. Reportar sobre el gobierno de TI implica auditar al mas alto nivel en la organizacién, y puede cruzar los limites de divisién, de funciones o de departamentos. El auditor de SI debe confirmar que los términos de referencia establezcan: © El alcance del trabajo, incluyendo una clara definiciOn de las éreas y aspectos funcionales que se cubrirén ‘© El nivel al que se entregard el informe,, donde estén identificados los temas del gobierno TI al més alto nivel de la organizacién Eldderecho de acceso a la informacién para el auditor de St ‘Su ubjcacién dentro de la organizacién y el conjunto de habilidades del auditor de SI deben considerarse para ver si son apropiados respecto a la naturaleza de la auditoria planeada. Si ello se considera insuficiente, un nivel apropiado de la gerencia debe considerar la contratacién de un tercero independiente para administrar o realizar la auditoria, De acuerdo con el rol definido del auditor de SI, se necesita evaluar los siguientes aspectos relacionados con el gobiemo de TI © Elalineamiento de la funcién de SI con la mi de la organizacién ‘© El logro por parte de la funcién de SI de los objetivos de desempeiio establecidos por el negocio (efectividad y eficiencia) Los requerimientos legales, ambientales, de calidad de informacién, y fiduciarios y de seguridad El entorno de control de la organizacién Los riesgos inherentes dentro del entorno de SI . 1a visiGn, los valores, los objetivos y las estrategias 2.3.2 COMITE DE ESTRATEGIA DE TI La creacién de un comité de estrategia de TI es una mejor préctica de la industria Sin embargo, el comité de estrategia de TI necesita ampliar su radio de accién para incluir no sélo asesoramiento sobre estrategia ‘cuando apoya a la junta en sus responsabilidades de gobierno de TI, sino también concentrarse en el valor de TI, los riesgos y el desempefio. Este es un mecanismo para incorporar el gobierno de TI dentro del gobiemo corporativo. Como un comité de la junta, la asesora en la supervision de los asuntos relacionados con TI de Ja empresa, asegurando que la junta tenga la informacién intema y extema que requiera para una efectiva toma de decisiones del gobierno de TI Tradicionalmente, las organizaciones han tenido comités de direccién a un nivel ejecutivo para resolver los problemas de TI que sean relevantes a nivel de toda la organizacién. Debe existit un claro ‘entendimiento tanto de la estrategia de TI como de los niveles de direccién, El ITGI emitié un documento en el que se hace un claro andlisis entre ellos (ver la figura 2.3).Figura 2.3, ‘Analisis de las Responsabilidades de los Comités de Direccié Nivel Nivel de Junta Nivel Bjecutivo ‘Responsabilidad | Provee opinion y asesoramiento a la junta | Decide el nivel general de los gastos de Tly sobre tépicos tales como: ceémo se asignarén los costos = La relevancia de los desarrollos en TI__|* Alinea y aprucba la arquitectura de TI de la desde una perspectiva de negocio empresa * Laalineacién de TI con la direccién del |= Aprucba los planes y presupuestos de negocio proyecto, estableciendo prioridades ¢ hitos * El logro de los objetivos estratégicos de| de referencia 1 = Adguiere y asigna los recursos apropiados * La disponibilidad de los recursos, = Asegura que los proyectos cumplan habilidades e infraestructura de TL continuamente los requerimientos de adecuada para cumplir con los negocio, incluyendo la reevaluacién del objetivos estratégicos caso de negocio. = La optimizacién de los costos de TI, | * Monitorea los planes del proyecto en cuanto que incluyen el rol y la entrega de valor | a la entrega del valor esperado y los por los servicios de TI de terveros resultados deseados, a tiempo y dentro del = Elriesgo, el retomo y los aspectos presupuesto competitivos de las inversiones de TI__|* Monitorea los conflictos de recursos y = Elavance en los proyectos principales | prioridades entre las divisiones de la de TI empresa y la funcién de TI y entre = Lacontribucién de TI al negocio (ie, | proyectos centrega del valor de negocio * Hace recomendaciones y solicita cambios a prometido) los planes estratégicos (prioridades, = Exposicién a los riesgos de TI, financiamiento, enfoques de tecnologia, incluyendo riesgos de cumplimiento | recursos, etc.) = Contencién de fos riesgos de TI * Comunica las metas estratégicas a los = Direccién a la gerencia en relacién con | equipos del proyecto la estrategia de TT * Bs un contribuidor importante a las = Impulsadores y catalizadores para las | _responsabilidades de gobierno de TI de la pricticas de gobiemo de TI de lajunta_| _gerencia ‘Autoridad ‘Asesora a la junta y a la gerencia sobre la |* Asiste al ejecutivo en la entrega de la estrategia de TI: estrategia de TI ‘= Es encargado por la junta para proveer| * Supervisa la administracién cotidiana de datos de base para la estrategia y| entrega de servicio de TL y proyectos de TI preparar su aprobacién * Se concentra en la implementacién * Se concentra en los problemas estratégicos de TI presentes y futuros Integrantes |* Miembros de Ia junta y miembros|* Ejecutivo patrocinador especialistas no perteneciontes @ la| junta Ejecutivo de negocio (usuarios clave) clo Asesores clave que se requieran (TI, auditoria, legal, finanzas) conocer. Nota: El Andlisis de Responsabilidades del Comité de Direccién es informacién que el CISA debe “Manual de Preparacion al B men CISA 2008 32.3.3 SCORECARD BALANCEADO ESTANDAR DE TI El scorecard balanceado estindar de TI es una técnica evaluativa que puede aplicarse al proveso de gobierno de TI para evaluar las funciones y los procesos de TI. El método va més allé de la evaluacién financiera tradicional, suplementandolo con medidas que conciemen a la satisfaccién del cliente (usuario), procesos internos (operativos) y la eapacidad de innovar. Estas medidas adicionales impulsan a Ja organizacién hacia el uso optimo de TI, el cual esté alineado con las metas estratégicas de la organizacién, mientras que mantiene en balance todas las perspectivas relacionadas con la evaluacion. Para aplicarlo a TI, se usa una estructura de tres capas para tratar las cuatro perspectivas: én, por ejemplo: = Convertirse en el proveedor preferido de sistemas de informacién = Entregar aplicaciones y servicios de TI eficientes y efectivos = Obtener una contribucién razonable de las inversiones en TI_ para el negocio, = Desarrollar oportunidades que respondan a los futuros desafios *Bstrateias, por ejemplo: Desarrollar aplicaciones y operaciones superiores = Desazrollar alianzas con los usuarios y mejores servicios para los clientes = Proveer mejores niveles de servicio y de estructuras de precios = Controtar los gastos de TT = Proveer valor de negocio a los proyectos de TI = Proveer nuevas capacidades de negocio = Entrenar y educar al personal de TI y promover la excelencia Proveer soporte para la investigacién y el desarrollo + Medides, por ejemplo: = Proveer un conjunto balanceado de medidas (es decir., KPIs) para guiar las decisiones de TI orientadas a negocios EI uso de scorecard balanceado de TI es uno de los medios més efectivos para ayudar al comité de estrategia de TI y a la gerencia a lograr el alineamiento de TI y el negocio. Los objetivos son establecer tun vehiculo para la informacién gerencial a la junta, estimular el consenso entre los interesados clave sobre los objetivos estratégicos de TI, demostrar la efectividad y el valor agregado de TI, y comunicar ¢] desempefio, los riesgos y las capacidades de TI. ‘Nota: EI Scorecard Balanceado de TI Estindar es informacign que un CISA debe conocer. 2.3.4 GOBIERNO DE SEGURIDAD DE INFORMACION Dentro del gobiemo de TI, el gobiemo de seguridad de informacién debe convertirse en una actividad sobre la que se concentra mucha atencién, con motivadores de valor especifico ~ integridad de la informacién, continuidad de servicios y proteccién de los activos de informacién. Como resultado de las redes globales y de extender la empresa mas allé de sus limites tradicionales, la seguridad esté ‘emergiendo como un aspecto significative del gobiemo. De ahi que la seguridad de informacién debe ‘convertirse en una parte importante e integral del gobierno de TI. La negligencia en este sentido reduciré la capacidad de una organizacién para sacar provecho de las oportunidades de TI para el mejoramiento del proceso de negocio. 4 “Manual de Preparacion al Examen CISA 2008Panorama General del Gobierno de Seguridad de Informacién La informacién puede definirse como “datos que tienen significado y propésito.” Actualmente, juega un rol cada vez més importante en todos los aspectos de nuestras vidas. La informacion se ha convertido en tun componente indispensable de la conduccién del negocio para virtualmente todas las organizaciones. En un creciente nimero de compafifas, la informacién es el negocio. Esto incluye jugadores importantes de la sociedad de conocimiento emergente, como por ejemplo Google, eBay, Microsoft y muchas otras, grandes y pequefias. Algunos podrian no pensar en software como informacién, pero es simplemente informacién para las computadoras sobre cémo operar o procesar algo. Ademas, una cantidad significativa de datos es creada y distribuida por los usuarios finales, sin involucrar a la organizacién de Tr. Las organizaciones tradicionales han sufrido una transformacién radical en la “edad de la informacién” también. El arte y los maestros ya no son dibujos fisicos 0 piezas de peliculas sino bloques de informacién almacenada en discos duros. Seria dificil encontrar un negocio que no haya sido tocado por la tecnologia de la informacién y que no dependa de la informacién que procesa. Los sistemas de informaci’no se han vuelto penetrantes en la sociedad global y en los negocios, y la dependencia de estos sistemas y la informacién que manejan es discutible que sea absoluta. Durante la diltima década, la tendencia de escalar valor y dependencia de la informacién ha aumentado de manera exponencial. Existen todas las indicaciones de que esta tendencia continuaré sin descanso en el futuro previsible. Gartner estimé recientemente que en menos de una década, las organizaciones tratardn tipicemente con 30 veces més informacién que actualmente. Sin embargo, con el caos, las vvulnerabilidades notorias y las perpetuas actividades de modo de crisis observadas en la mayoria de las ‘operaciones de tecnologia de la informacién que no es una nocién tranquilizadora. Durante el mismo periodo, el crimen y el vandalismo de informacién se han convertido en la eleccién de ‘un creciente grupo de criminales sofisticados. Los terroristas y otros con enemistad hacia la sociedad han recurrido descaradamente a la tecnologia misma de informacién que ellos dicen despreciar para pregonar sus ideas y divulgar sus horribles actos. Aproximadamente el 80 por ciento de las infraestructuras criticas ene. mundo desarrollado estén ccontroladas por el sector privado, Junto con burocracias frecuentemente inefectivas, innumerables Jjurisdicciones en conflicto ¢ instituciones envejecidas incapaces de adaptarse al crimen global creciente ‘de “informacién”, una preponderancia de la tarea de proteger los recursos de informacién critica para la supervivencia cae firmemente sobre los hombros corporativos. Para llevar a cabo la tarea de proteccién adecuada de los recursos de informacién, se debe elevar el problema a una actividad a nivel de junta como con las otras funciones criticas de gobierno. La complejidad, relevancia y criticidad de seguridad de informacién y su mandato de gobierno que sea ‘encarada y soportada en los niveles més altos de la organizacién ‘Cada vez més, los que entienden que el aleance y la profundidad de los riesgos para la informacién toman la posicién de que, como un recurso critico, la informacién debe ser tratada con el mismo cuidado, precaucién y prudencia que cualquier otro activo esencial para la supervivencia de la organizacién y tal vez que la sociedad misma recibiria. Manual de Preparacion al Examen CISA 2008, 35Hasta hace poco, el foco de proteccién ha estado sobre los sistemas de TI que procesan y almacenan la vasta mayoria de informacién més bien que la informacién misma. Pero este enfoque es demasiado estrecho para alcanzar el nivel de integracién, garantia de proceso y seguridad general que chora se requiere. La seguridad de informacién toma la visién mas grande que el contenido, la informacin y los conocimientos basados en ésta deben ser protegidos de manera adecuada independientemente de cémo es manejada, procesads, transportada o almacenada, en particular, con las herramientas para compartir fiicilmente los datos y el contenido por Internet a través de blogs o sitios web, como por ejemplo Youtube.com. La seguridad de TI se ocupa de la seguridad de la tecnologia y es tipicamente impulsada desde el nivel del CIO. La seguridad de informacién se ocupa del universo de los riesgos, los beneficios y los procesos involucrados con Ia informacion y debe ser impulseda por la direccién ejecutiva y soportada por la junta directiva, relacionada con la privacidad de informacién y la seguridad de informacién misma. El avance implacable de Ia tecnologia de la informacién y Ia capacidad sin paralelo de tener acceso, manipular y usar la informacin ha traido enormes beneficios y oportunidades a la economia global. También ha traido nuevos riesgos sin paralelo y un conjunto confuso de leyes y regulaciones existentes y pendientes. La direccién ejecutiva es cada vez més confrontada por la necesidad de permanecer competitiva en la ‘economia global y de cumplir la promesa de mayores ganancias a partir del despliegue de mas recursos de informacién. Pero incluso a medida que las organizaciones cosechan esas ganancias, los espectros gemelos de creciente dependencia de la informacién y los sistemas que la soportan y los riesgos recientes de una cantidad de amenazas estén forzando a la gerencia a enffentar decisiones dificiles respecto a cémo encarar de manera efectiva la seguridad de informacién. Adicionalmente, cantidades de leyes y regulaciones nuevas y existentes estin cada vez mas exigiendo el cumplimiento y niveles mas elevados de responsabilidad. Gobiemo de seguridad de informacién es responsabilidad de la junta directive y de la direcei6n ejecutiva, Debe ser parte integral y transparente del gobiemo de la empresa. Esté constituido por la dirigencia, las estructuras organizacionales y los procesos que salvaguardan la informacién. IMPORTANCIA DEL GOBIERNO DE SEGURIDAD DE INFORMACION Desde la perspectiva de una organizacién, el gobierno de seguridad de informacién es cada vez. més critico a medida que crece la dependencia de la informacién y los sistemas de TT. Para la mayoria de las organizaciones, la informacién y los conocimientos que se basan en ella, se han convertido cada vez mas en uno de sus més importantes activos sin los que Hlevar a cabo un negocio no seria posible. Los sistemas ¥ procesos que manejan esta informacién se han vuelto verdaderamente penetrantes en todo el negocio y ias organizaciones gubemamentales globalmente. Esta creciente dependencia de las organizaciones para con la informacién y los sistemas que la manejan, aunado con los riesgos, beneficios y oportunidedes que presentan estos recursos, han hecho del gobierno de seguridad de informacién una faceta cada vez més critica de gobiemo general. Ademis de satisfacer los requerimientos legales y regulatorios, el gobiemo de seguridad de informacién es simplemente buen negocio. La administracién prudente ha legado a entender que provee una serie de beneficios significativos que incluyen: ‘© Ocuparse de la creciente exposicién que tiene la organizacién y su gerencia a la responsabilidad civil 0 legal como resultado de informacién incorrecta suministrada al pablico o a los reguladores asi como también las consecuencias de no ejerver el debido cuidado en la proteccién de informacién privada, * Proveer garantia de cumplimiento de las politicas 36 "Manual de Preparacién al Examen CISA 2008‘* Aumentar la predictabilidad y reducir la incertidumbre de las operaciones de negocio reduciendo los riesgos a niveles definibles y aceptables ‘© Proveer la estructura y el marco para optimizar las asignaciones de los recursos limitados de seguridad ‘¢ Proveer un nivel de garantia de que las decisiones criticas no se basan en informacion defectuosa, ‘© Proveer una firme cimentacién para la administracién eficiente y efectiva del riesgo, mejoramiento de procesos, y ripida respuesta a incidentes « Proveer responsabilidad de salvaguardar informacién durante las actividades criticas del negocio tales como fusiones y adquisiciones, recuperacién del proceso de negocio, y respuesta regulatoria Y finalmente, porque la nueva tecnologia de informacién suministra el potencial para un desempefio de negocio draméticamente aumentado, una seguridad de informacién efectiva puede agregar un valor significativo a la organizacién de las formas siguientes: # Suministrando mayor confianza en las interacciones con los socios de negocio ‘© Mejorando la confianza en las relaciones con los clientes © Protegiendo la reputacién de la organizacion + Permitiendo nuevas y mejores formas de procesar las transacciones electrénicas La seguridad de informacién (infosec) abarca todos los provesos de informacién, tanto fisicos como clectrénicos, independientemente de si ellos involucran personas y tecnologia 0 relaciones con socios de negocio, clientes o terceros, A la seguridad de informacion le conciernen todos los aspectos de informacién y su proteccién de todos los puntos de su ciclo de vida dentro de la organizacién. RESULTADOS DEL GOBIERNO DE SEGURIDAD Los cinco resultados basicos de un gobiemo efectivo de seguridad deben incluir: 1. Alineacién estratégica - Alinear Ia seguridad de informacién con Ia estrategia de negocio para ‘soportar los objetivos de la organizacién, Para alcanzar la alineacién, se debe llevar a cabo lo siguiente: = Requerimientos de seguridad impulsados por los requerimientos de la empresa desarrollados cexhaustivamente para proveer orientacién sobre lo que se debe hacer y una medida de cudndo se ha alcanzado = Soluciones de seguridad adecuadas para los procesos de la empresa que toman en cuenta la cultura, e estilo de gobierno, la tecnologia y la estructura de la organizacion - _ Inversién en seguridad de informacién alineada con la estrategia de la empresa y el perfil bien definido de emenaza, vulnerabilidad y riesgo 2. Administracién del riesgo — Administrar y ejecutar medidas apropiadas para mitigar los riesgos y reducir los impactos potenciales sobre los recursos de informacién a un nivel aceptable. Para lograr administracién de riesgos, considerar lo siguiente: = Entendimiento coleetivo del perfil de amenaza, vulnerabilidad y riesgo de Ia organizacion = Entendimiento de la exposicién al riesgo y de las poteneiales consecuencias del compromiso incluyendo los impactos regulatorio, legal, operacional y de marca. = Coneiencia de las prioridades de administracion del riesgo basadas en las consecuencias potenciales - Mitigacién del riesgo suficiente para alcanzar consecuencias aceptables de riesgo residual = Aceptacién /deferencia de riesgo basada en un entendimiento de las consecuencias potenciales del riesgo residual 3. Enttega de valor ~ optimizar las inversiones en seguridad en soporte de los objetivos del negocio. Para lograr entrega de valor, considerar lo siguiente: ‘Manual de Preparacion al Examen CISA 2008, 7= Un conjunto estindar de politicas y pricticas de seguridad, ie. requerimientos de seguridad bsica que sigan précticas adecuadas y suficientes proporcionales al riesgo - Esfuerzo debidamente priorizado y distribuido a dreas con el mayor impacto y beneficio de negocio = Soluciones institucionalizadas y ajustadas al producto basadas en los estindares = Soluciones completas, que abarquen los procesos de la onganizacién y del negocio asi como también tecnologia basada en un entendimiento del negocio de un extremo a otro de la organizacién = Una cultura de mejoramiento continuo basada en el entendimiento de que la seguridad es un proceso, no un evento ‘Administracién de recursos — Utiliza los conocimientos y la inftaestructura de seguridad de informacién de manera eficiente y efectiva. Para aleanzar Ia administracién de recursos considerar lo iguiente: = Asegurar que los conocimientos sean captados y estén disponibles = Documentar los procesos y las practicas de seguridad = Desarrollar arquitectura(s) de seguridad para definir y utilizar de manera eficiente los recursos de infraestructura Medicién del desempefio — Medir, monitorear y reportar sobre los procesos de seguridad de informaoién para asegurar que se logren los objetivos. Se debe lograr lo siguiente para llegar a mi el desempefto: = Un conjunto de medidas definidas, acordadas y significantes debidamente alineadas con los objetivos estratégicos = Un proceso de mediciOn que ayudard a identificar los atajos y suministre retroalimentacién sobre el progreso hecho para resolver los problemas ~ Garantia independiente suministrada por evaluac nes y auditorias externas CONCEPTOS QUE SURGEN DEL ASEGURAMIENTO DEL PROCESO DE NEGOCIO La integracién es un concepto que consiste en integrar todos los factores relevantes se aseguramieato para asegurar que los procesos operan como deben de un extremo a otro. Para lograr la integracién, se debe considerar lo siguiente: Determinar todas las funciones organizacionales de aseguramiento Desarrollar relaciones formales con otras funciones de aseguramiento Coordinar todas las funciones de aseguramiento para una seguridad més completa ‘Asegurar que los roles y responsabilidades entre las funciones de aseguramiento se traslapan Gobierno Efectivo de Seguridad de Informacién Gobierno corporativo es un conjunto de responsabilidades y practicas ejereidas por la junta y la direccién ejecutiva con la meta de proveer direccién estratégica, asegurando que se logren los objetivos, determinando que los riesgos sean manejados de manera apropiada y verificando que los recursos de la cempresa se usan de manera responsable. La direccién estratégica del negocio serd definida por las metas y los objetivos del negocio. La seguridad de informacién debe soportar las actividades del negocio para que sea de valor para la organizaciéa. El gobierno de seguridad de informacién es un subconjunto de gobierno corporativo que provee direceién estratégica para las actividades de seguridad y asegura que se logren los objetivos. Asegura que los "Manual de Preparacion al Examen CISA 2008riesgos de seguridad de informacién sean manejados de manera apropiada y que los recursos de informacién de la empresa se usen de manera responsable. Para lograr un gobierno efectivo de seguridad de informacién, la gerencia debe establecer y mantener un ‘marco para guiar el desarrollo y administracién de un programa comprensivo de seguridad de informacion {que soporte los objetivos del negocio. El marco de gobierno generalmente estard constituido por: Una estrategia comprensiva de seguridad intrinsecamente vinculada con los objetivos del negocio Politicas de seguridad vigentes que se ocupen de cada aspecto de estrategia, controles y regulacién © Un conjunto completo de estindares para cada politica para asegurar que los procedimientos y lineamientos cumplan con la politica ‘© Una estructura organizacional efectiva de seguridad libre de conflictos de interés Procesos institucionalizados de monitoreo para asegurar el cumplimiento y proveer retroalimentacién sobre la efectividad. Este marco a su vez provee la base para el desarrollo de un programa eficiente en costo de seguridad de informacién que soporta las metas de negocio de la organizacién. Implementar un programa de seguridad ‘esta cubierto en el capitulo 3, Administracién del Ciclo de Vida de Infraestructura de Sistemas. El objetivo del programa es un conjunto de actividades que proveen garantia de que a los activos de informacién se les da un nivel de proteccién conmensurado con su valor o con el riesgo que plantea su compromiso a la organizacién. De acuerdo con Julia Allen en Governing for Enterprise Security (Gobernando para la Seguridad de la Empresa), “Gobemar para la seguridad de la empresa significa visualizar una seguridad adecuada como un requisito no negociable para estar en el negocio. Si la gerencia de una organizacién ~ incluyendo juntas directivas, altos ejecutivos y todos los gerentes — no establece y refuerza la necesidad del negocio de seguridad efectiva para la empresa, el estado de seguridad deseado de la organizacion no se articular, lograré ni sostendré. Para alcanzar una capacidad sostenible, las organizaciones deben hacer de la seguridad de la empresa la responsabilidad de los dirigentes a un nivel de gobierno no de otros roles organizacionales que carecen de la autoridad, responsabilidad y recursos para actuar y obligar a su cumplimiento.” ROLES Y RESPONSABILIDADES DE LA ALTA GERENCIA Y¥ JUNTAS DIRECTIVAS EI gobierno de seguridad de informacién requiere de direccién estratégica y de impetus. Requiere dedicacién, recursos y asignar responsabilidad para la administracién de soguridad de informaci6n, asi como también un medio para que la junta determine que su objetivo se ha alcanzado. Juntas Direetivas /Alta Gerencia Un gobierno efectivo de seguridad de informacién se puede lograr sélo mediante la participacién de la Junta directiva y/o de Ia alta gerencia para aprobar la politica, el monitoreo y la métrica apropindas asi ‘como también para los reportes y el andlisis de tendencias, ‘Los miembros de la junta necesitan tener conocimiento de los activos de informacién de la organizacién y de su criticidad para Ins operaciones del negocio en progreso. Esto se puede lograr proveyendo periddicamente a la junta los resultados de alto nivel de evaluaciones comprensivas del riesgo y del Manual de Preparacin al Examen CISA 2008 CFanilisis de impacto sobre el negocio (BIA). También se puede lograr mediante evaluaciones de los recursos de informacién respecto a la dependencia del negocio. Un resultado de estas actividades debe incluir miembros de Ia junta que aprueben la evaluacién de los activos clave a ser protegidos y que los niveles de proteccién y is prioridades sean apropiados para un estindar de debido cuidado. EI tono encima de todo debe llevar a un gobierno de seguridad efectivo. No es razonable esperar que el personal de nivel més bajo acate las medidas de seguridad si éstas no son ejercidas por la alta gerencia, El endoso de la direccién ejecutiva de los requerimientos intrinsecos de seguridad provee la base para ascgurar que las expectativas se seguridad se cumplan a todos los niveles de Ia empress. Las penalizaciones por incumplimiento deben ser definidas, comunicadas y ejecutadas desde el nivel de la junta hacia abajo. DirecciénEjecutiva Implementar un gobierno de seguridad efectivo y definir los objetivos de seguridad estratégicos de una organizacién es una tarea compleja, ardua. Como con cualquier otra iniciativa importante, debe tener el iderazgo y el soporte continuo de la direccién ejecutiva para tener éxito. Desarrollar una estrategia efectiva de segurided de informacién requiere integracién con y cooperacién de los propietarios del proceso de negocio. Un resultado exitoso es la alineacién de las actividades de seguridad de informacion ten soporte de los objetivos del negocio. El grado al que esto se alcanza determinari la eficiencia en costo del programa de seguridad de informacién para alcanzar el objetivo deseado de suministrar un nivel predecible, definido de garantia para los procesos de negocio y un nivel aceptable de impacto de eventos adversos. Comité de Direccion Hasta cierto grado, la seguridad afecta todos los aspectos de una organizacién. Para ser efectiva debe ser penetrante en toda la empresa. Para asegurar que todos los accionistas impactados por consideraciones de seguridad estén involucrados, muchas organizaciones usan un comité de direccién constituido por altos representantes de los grupos afectados. Esto facilita el logro de consenso sobre las prioridades y los ‘trueques. También sirve como un canal efectivo de comunicaciones y prove una base continua para asegurar la alineacién del programa de seguridad con los objetivos del negocio, También puede ser instrumental para alcanzar la modificacién del comportamiento hacia una cultura més conducente a una buena seguridad. Director de Seguridad de Informacién Todas las organizaciones tienen un Director de Seguridad de Informacién (CISO) ya sea que alguien tenga ese titulo 0 no. Puede ser el CIO, el CFO o, en algunos casos, el CEO — incluso cuando hay una oficina de seguridad de informacién o un director. El alcance y amplitud de la seguridad de informacién cn la actualidad es tal que la autoridad requerida y la responsabilidad tomada inevitablemente la hardn la responsabilidad de un alto oficial o de la diteccién ejecutiva. Esto podria incluir una posicién tal como un director de riesgo (CRO) 0 un director de cumplimiento (CO). La responsabilidad legal se extenderé por Gefecto hasta la estructura de comando y en ima instancia residiré en la alta gerencia y la junta directiva. EI no reconocer esto e implementar estructuras apropiadas de gobierno puede tener como consecuencia que la alta gerencia no tenga conocimiento de esta responsabilidad y de la responsabilidad ‘concomitante. También tiene por lo general como consecuencia una falta de alineamiento efectivo de los objetivos del negocio y de las actividades de seguridad. Cada vez més, una administracién prudente es 100 ‘Manual de Preparacién al Examen CISA 2008clevar la posicién del oficial de seguridad de informacién a una posicién de alta gerencia, a medida que las organizaciones comienzan a entender su dependencia de la informacién y las crecientes amenazas @ esta, MATRIZ DE RESULTADOS Y RESPONSABILIDADES. La relacién entre los resultados de un gobiemo efectivo de seguridad de informacién y las responsabilidades de la gerencia se muestran en la figura 2.4, Estas no pretenden ser comprensivas sino 4que pretenden meramente indicar algunas tareas primarias y el nivel del que la gerencia es responsable. Figura 2.4 Relaciones de Resullados del Gobierno de Seguridad para las Responsabilidades de la Gerencia Nivel de | Alineamiento | Administacién | Entregs del | Medicion del | Administracion | Aseguramiento Gerencia_| Estratégico | del Riesgo Valor | Desempeso_| de Recursos | ~ del Proceso Tanta Requerir | Trsiuiruna | Requesr | Requerirel | Tnsituir una | Instr una Directive politica de reportede | reportede | politiade | politica de sdministrcion | costos de | efecividad de integracin de elricsgoen | actividad de | la seguridad proceso de todas las seguridad seguramiento sctvidades y ssogura el limiento Direseiga | Taste ‘Ascgurar quclos | Reqerir | Requerrel Proveer Bjecutva | procesos para | roles y estudios de | monitoreo y supervisién de integrarls | responsabilidades | caso de lamediciba todas las seguridad con | inctuyan la negociode | de as funciones de administacién | inicitvas de | actividades aseguramiento delriesgoen | seguridad | de seguridad | y medidasde | y planes para la todas las Cficiencia | integracién actividades y ‘monitorear el cumplimiento regultoro Comnéde | Revisarla | denticar os | Revisarla | Revisary | Revisarlos | Teniicar fos Direecién | estrategia de | riesgos que adecuacion | asesorar las | procesos para | procesos Seguridad y | surjan,promover | de las inicitivas | lacaptacion y | critcos de Tosesfuerzos | pricticas de | iniciativas de | respecto a | divulgacién de | negocioy los de Seguridad cla | seguridad | seguridad y | los proveodares de intgracion, y | unidad de para servi las | asegurar que | conocimienios | aseguramiento, asegurar que. | negocio e funciones ce. | satistacen los y digi los los ‘entifcarlos | negocio | objetivos de esferzas de propicaros | problemas de negocio itegrecin de delnegocio | eumplimiento. aseguramiento soporten la integracion. Dieciorde | Desarollar | Asogurar Monitorearla | Desarcollaré | Desarrollar | Vincularse con seguridad de | una estategia | evaluaciones del | utlizacin y | implementar | métodos para | otros informacion | de seguridad, | riesgo y de! Inefectvidad | los métodos proveedores de supervisar el | impacto sobre cl de los de monitoreo aseguramiento, programa de | negocio, recursos de | y medicién y ‘yasegurar que seguridad | desaroliar seguridad. | dinigiry se identifiquen las cestratgias de rmonitorear | ydesarollar | y resuelvan las inicinives, y | mitigacion dot has medidas de | brechasy las vincular on | riesgo y ejecuar sctivdades | efectvidad y | superposiciones elnegocio. | lapoliticay el deseguridad | eficiencia ccumplimiento regulator. ‘Manual de Preparacion al Examen CISA 2008, Tor2.3.5 ARQUITECTURA DE EMPRESA Un area del gobiemo de TI que recibe cada vez més atenciéa es 1a arquitectura de empresa (EA). Esencialmente, EA implica documentar los activos de TI de una organizacién en una forma estructurada para facilitar Ia comprensién, la administracién y la planificacién de las inversiones de TI. Una BA a ‘menudo involucra tanto la representacién de un estado corriente, como de un estado futuro optimizado. El enfoque actual sobre EA es una respuesta a la complejidad creciente de TI, Ia complejidad de las ‘organizaciones modernas, y un enfoque mejorado sobre la alineacién de TI con la estrategia del negocio y asegurar que las inversiones de TI entregan retornos reales. ‘Nota! La figura @4) sobre Relaciones de los Resultados del Gobiemo de Seguridad con las Responsabilidades de la Gerencia no se prueba de manera especifica cn el examen de CISA pero es formacién de la que un CISA debe tener conocimiento. La Estructura para Arquitectura de Empresa, trabajo innovador en el campo de EA, fue publicado por primera vez por John Zachman a finales de los afios 80. La estructura de Zachman continia siendo un punto de partida para muchos proyectos contempordneos de EA. Zachman razoné que la construccién de sistemas de TI tenia considerables similitudes con la construccién de edificios. En ambos casos, hay una ‘gama de participantes que se involucran en diferentes etapas del proyecto. En la construcci6n de 8, uno va desde lo abstracto a lo fisico usando modelos y representaciones (tales como planos, planos de suelo, y diagramas de alambrado). De manera similar con TI, los diferentes artefactes (tales ‘como diagramas, diagramas de flujo, modelos de datos /clase y cédigo) se usan para transmitir diferentes aspectos de los sistemas de una organizacién a niveles cada vez de mayor detalle. La estructura bisica de Zachman esta descrita en la figura 2.5: Figura 2.5 [ ‘Estructura de Zachman parala Arquitectura de Empresa Datos | Funcional Red Proceso | Estrategia plicacién) | (Tecnologia) (Flujo de trabajo) ‘Aleanee ‘Modelo de Empresa “Modelo de Sistemas Modelo de Tecnologia Representacién detallada El objetivo en tiltima instancia es completar todas las celdas de la matriz. Al inicio de un proyecto de EA, Ia mayoria de las organizaciones tendré dificultad para dar detalles para cada celda, en particular al nivel ‘més alto. ‘Al tratar de completar una EA, las organizaciones pueden resolver el desafio ya sea desde una perspectiva de tecnologia o desde una perspectiva de proceso de negocio. La EA enfocada en la tecnologia trata de aclarar los complejas opciones de tecnologia que enfrentan las organizaciones modernas. La idea seria dar orientacién sobre problemas tales como si y cudndo usar entomos técnicos avanzados, tales como J2BE 0 NET, para desarrollo de aplicaciones, cémo conectar mejor los sistemas intra e interorganizacionales, cémo convertir a web los sistemas antigues y las 102 Manual de Preparacidn al Examen CISA 2008,aplicaciones de ERP (esperando que sea sin una extensa reprogramacién), y si contar con funciones de TI internas 0 contratadas a terceros. La EA centrada en el proceso de negocio trata de comprender a una organizacién en téminos de sus procesos centrales que agregan valor y sus procesos de soporte. La idea es que, al entender los procesos, Sus partes constitutivas y la tecnologia que los soporta, se puede obtener mejoramiento del negocio a medida que diferentes aspectos son gradualmente redisefiados y reemplazados. La génesis para este tipo de razonamiento puede rastrearse al trabajo de Michael Porter, profesor de Harvard, publicado por primera vez. en los afios 80, en particular, su modelo de cadena de valor de negocio. El esfuerzo de disefiar modelos de procesos de negocio esti recibiendo impetus adicionales por parte de un niimero de modelos de negocio en todos los sectores econdmicos que estin comenzando a emerger; por ejemplo, el ‘Mapa Ampliado de Operaciones de Telecom de la industria de telecomunicaciones (eTOM) y el modelo de Referencia de Operaciones de Cadena de Suministros (SCOR). El contenido de un modelo de proceso de negocio puede ser mapeado hasta los estratos superiores de la estructura de Zachman. Una vez completada, una organizacién puede luego considerar la mezcla éptima de tecnologias que se necesitan para soportar sus procesos de negocio. El gobiemo federal de Estados Unidos, con agencias que colectivamente gastan unos US$60 billones en ‘TI anualmente, esté ahora tomando el tema de la EA seriamente. Por ley, una organizacién federal de Estados Unidos esta obligada a desarrollar una EA y a establecer una estructura de gobierno de EA que asegure que la EA esti referenciada y es mantenida en todas las actividades de planificacién y presupuestacién de sistemas. Para guiar este proceso, se ha desarrollado la Arquitectura Federal de Empresas (FEA). La FEA esta descrita en (en el sitio web de la FEA, www.feapmo.gov) como “una ‘estructura basada en el negocio y el desempeiio para soportar la colaboracién entre agencias, la transformacién y el mejoramiento a nivel de todo el gobierno”, La FEA tiene una jerarquia de cinco modelos de referencia = Modelo de referencia de desempeiio ~ Una estructura para medir el desempefio de las principales inversiones de TI y su contribucién al desempefio de los programas + Modelo de referencia de negocio- Una estructura basada en la funcién, que describe las funciones y subfunciones realizadas por el gobierno, independiente de las agencias que realmente las realizan. * Modelo de referencia de componente de servicio — Una estructura funcional que clasifica los ccomponentes de servicio que soportan el negocio y los objetives de desempeto. © Modelo téenico de referencia — Una estructura que describe cémo la tecnologia soporta la entrega, el intercambio y la construccién de componentes de servicio. = Modelo de referencia de datos —Aun en proceso de desarrollo, éste describiré los datos y Ia informacién que soportan los programas y las operaciones de base . La documentacién sobre la arquitectura corporativa y la FEA se usan primariamente para mantener y deseribir la coherencia tecnolégica, describiendo y evaluando continuamente la tecnologia que esta ‘administrando el departamento de SI. ‘Aspectos relevantes del gobierno de TI respecto a la administracién de un departamento de SI son los procesos para seleccionar y /o las metodologias que se usan para cambiar las tecnologias estratégicas. Este t6pico relevante afecta las decisiones de la gerencia y esta sujeto a grandes riesgos de negocio. ‘Manual de Preparacién al Examen CISA 2008, 7032.4.1 PLANEACION ESTRATEGICA La planeacién estratégica, desde el punto de vista de los sistemas de informacién, se relaciona con la direccién a largo plazo que una organizacién quiere seguir para apalancar con tecnologia de informacién Ia mejora de sus procesos de negocio. Bajo la responsabilidad de la alta gerencia, los factores a considerar incluyen: identificar soluciones de TI eficientes en costos a fin de enfrentar problemas y oportunidades para la organizacién y desarrollar planes de accién para identificar y adquirir los recursos que se necesitan. Para desarrollar planes estratégicos, generalmente de tres a cinco aftos de duracién, las organizaciones deben asegurarse de que los mismos estén plenamente acordes y son consistentes con todas las metas y objetivos de la organizacion. La gerencia del departamento de TI junto con el comité de direccién de TI y el comité de estrategia, que provee valiosa informacion estratégica relacionada con el valor de los interesados, tienen una funcién clave en su desarrollo e implementacién, Una planeacién estratégica efectiva de TT involuera tener en consideracién la demanda de TI de la organizacién y la capacidad de proveer TI. Determinar la demanda de TI involueraré una consideracién sistematica de las intenciones estratégicas de la organizacién, cémo éstas se traducen en objetivos especificos ¢ iniciativas de negocio, y qué capacidades de TI se necesitardn para soportar estos objetivos € iniciativas. Para evaluar las capacidades de TI, la cartera de sistemas existentes debe ser revisada en términos de calzar con respecto a lo funcional, el costo y el riesgo. Planificar el suministro de TI jinvoluera evaluar la infraestructura técnica de TI de Ia organizacién y los procesos clave de soperte; por ejemplo, las pricticas de desarrollo y mantenimiento de software, la administracién de la seguridad y los servicios de help desk, para determinar si es necesaria una expansién o una mejora. Es importante que el proceso de planificacién estratégica abarque no s6lo la entrega de nuevos sistemas y tecnologia, sino que considere los retoros que se logran de la inversién en el TI “lights-on” existente, En muchas organizaciones, el gasto en los sistemas, la infraestructura y el soporte actuales de , representa el 85 por ciento o mas del gasto total anual de TI. El plan estratégico de TI deberia balancear el costo de ‘mantenimiento de los sistemas existentes contra el costo de nuevas iniciativas o sistemas para soportar las estrategias del negocio. El auditor de SI debe prestar total atencién a la importancia de la planeacién estratégica de Tl, considerando las précticas de control gerencial. Ademés, el objetivo del gobiemo de TI que tos planes estratégicos de TI estén en sincronizacién con toda la estrategia de negocio. Un auditor de SI debe ‘enfocarse en la importancia del proceso de planeacién estratégica o en el marco de planeacién, Se debe prestar particular atencidn a la necesidad de notar los requerimientos de convertir los planes operativos © tacticos de TI desde el negocio y las estrategias de TI, contenidos de planes estratégicos, requerimientos para actualizar y comunicar planes, y requerimientos de monitoreo y evaluacién, El auditor de SI deberia ‘considerar c6mo el C1O, 0 la alta gerencia de TI, estin involucrados en la creacién de la estrategia general del negocio. Una falta de participacion de TI en la creacién de la estrategia de negocio indica que hay un riesgo de que la estrategia y los planes de TI no estardn alineados con la estrategia del negocio. Preguntas de Priictica 2-2 Cuil de lo siguiente estaria incluido en un plan estratégico de SI? ‘A. Especificaciones para compras planeadas de hardware B. Anilisis de los objetivos futuros del negocio C. Fechas objetivo para los proyectos de desarrollo D. Objetivos presupuestarios anuales para el departamento de SI 17 ‘Manual de PreparaciOn al Examen CISA 200823 Cuél de lo siguiente describe MEJOR un proceso de planeacién estratégica del departamento de m1 A. El departamento de TI tendré o bien planes de corto alcance o de largo alcance dependiendo de los planes y objetivos més amplios de la organizacién B. El plan estratégico del departamento de TI debe estar orientado al tiempo y al proyecto, pero no tan detallado como para resolver y ayudar a que determinadas prioridades satisfagan las necesidades de! negocio C. La planeacién de largo aleance para el departamento de TI debe reconocer las metas organizacionales, Jos adelantos tecnolégicos y los requerimientos regulatorios. D. La planeacién de corto aleance para el departamento de TI no necesita estar integrada en los planes de corto alcance de la organizacién ya que los adelantos tecnolégicos impulsarén los planes del departamento de TI mucho més répido que los planes organizacionales. 2.4.2 COMITE DE DIRECCION La Alta Gerencia de una organizacién debe designar un comité de planeacién o de direccién para supervisar la funcién de sistemas de informacién y sus actividades. Un comité de direccién de alto nivel para tecnologia de informacién, es un factor importante para asegurar que el departamento de sistemas de informacién concuerde con la misién y los objetivos corporativos. Aunque no es una prictica comin, es muy deseable que un miembro de la Junta que entienda los riesgos y temas sea el responsable por Ia tecnologia de informacién, y dirija este comité. El comité debe incluir representantes de la alta direccién, de la gerencia usuaria, y dei departamento de SI. Los deberes y responsabilidades del comité deben estar definidos en un documento formal. . Los miembros del comité deben conocer las politicas, los procedimientos y las précticas del departamento de SI. Cada miembro debe tener autoridad para tomar decisiones en el seno del grupo para sus dreas respectivas. Dicho comité sirve, por lo general, como una junta de revision general de los proyectos importantes de SI ¥y no debe involuerarse en las operaciones rutinarias. Las funciones primarias realizadas por este comité incluyen: ‘© Revisar Ios planes de largo y corto plazo del departamento de SI para asegurar que estén en concordancia con los abjetivos corporativos. © Revisar y aprobar las adquisiciones importantes de hardware y software, dentro de los limites aprobados por Ia junta directiva. © Aprobar y monitorear los proyectos de alta relevancia y la situacién de los planes y presupuestos de SI, establecer prioridades, aprobar las normas y Ios procedimientos, y monitorear el desempeiio general de SI. © Revisar y aprobar las estrategias para outsourcing de ciertas actividades o todas las actividades de SI, y la globalizacién, o traslado al extranjero, de las funciones. © Revisarsi los recursos y su asignacién son adecuados en términos del tiempo, personal y equipo. © Decidir respecto a la centralizacién frente a la descentralizacin y a la asignacién de responsabilidades. © Apoyar el desarrollo e implementacién de un programa de administracién de seguridad de informacién a nivel de toda la organizacién. © Reportar ala junta directiva sobre las actividades de SI, ‘Manual de Preparacion al Examen CISA 2008 705Nota: Considere que las responsabilidades variarn de una onganizacion a otra y que estas | responsabilidades enumeradas son las més comunes del comité de direccién. El candidato a CISA debe | conocer el propésito del Comité de Direccién de SI y sus principales responsabilidades. | El comité de direccién de SI debe recibir informacién gerencial apropiada de los departamentos de SI, los, departamentos usuarios y de auditorfa, para coordinar y monitorear con efectividad los recursos ée SI en la organizacién, El comité debe monitorear el desempefio y establecer las acciones apropiadas para aleanzar los resultados deseados. El comité debe reunirse periédicamente e informar a la alta direccién. Deben elaborarse actas formales de las reuniones del comité de direccién de SI, para documentar las actividades y las decisiones del comite. Las politicas y los procedimientos reflejan la guia y orientacién de la gerencia para desarrollar controles sobre los sistemas de informacién y recursos relacionados. 2.5.1 POLITICAS Las politicas son documentos de alto nivel. Ellas representan Ia filosofia corporativa de una organizacién yy el pensamiento estratégico de la alta gerencia y de los dueitos de los procesos del negocio. Las politicas deben ser claras y concisas para que sean efectivas. La administracién debe crear un ambiente de control positivo, asumiendo la responsabilidad de formular, desarrollar, documentar, promulgar y controlar las politicas que abarcan las metas y las directrices generales. La gerencia debe emprender las acciones necesarias para asegurar que los empleados afectados por una politica especifica reciban una explicacién completa de la politica y entiendan cual es su propésito. Ademés, las politicas pueden también aplicarse a terceros y a outsourcers, quienes necesitarin estar vinculados para seguir las politicas a través de contratos o de declaraciones de trabajo. ‘Ademés de las politicas corporativas que establecen el estilo para la organizacin como un todo, las divisiones y los departamentos individuales deben definir las politicas a un nivel menor. Las politicas de menor nivel deben ser consistentes con las politicas a nivel corporativo. Estas deben aplicarse a los empleados y a las operaciones de estas unidades y enfocarse hacia el nivel operativo. Es deseable un enfoque top-down (enfoque integral de arriba hacia abajo) para el desarrollo de las politicas de menor nivel, por ejemplo cuando ellas se derivan de las politicas corporativas, ya que esto facilita que exista consistencia en toda la organizacién. Sin embargo, algunas organizaciones comienzan definiendo politicas de nivel operativo como prioridades inmediatas. Estas compafias ven esto como el enfoque més eficiente desde el punto de vista de los costos, ya que estas politicas a menudo se derivan y se implementan como resultado de las estimaciones de riesgo. Este es un enfoque de abajo hacia arriba, ‘en el cual las politicas corporativas son un desarrollo posterior y una sintesis de las politicas operativas existentes. Esto puede parecer mas préctico pero deja espacio para la inconsistencia y para sitvaciones conflictivas en las politicas. La administracién debe revisar todas las politicas periddicamente, Es necesario que las politicas sean actualizadas, para que reflejen lo nuevo de la tecnologia y los cambios significativos en los procesos del negocio que hacen uso de tecnologfa de informacién para obtener eficiencia y eficacia en la productividad ‘0 logros competitivos. Las politicas formuladas deben permitir el logro de los objetivos del negocio y la 06 “Manual de Preparacién al Examen CISA 2008,implementacién de controles en los sistemas de informacién.. Sin embargo, la gerencia debe ser dindmica con las necesidades de los clientes y estar consciente de las politicas de cambio que puedan obstaculizar la satisfaccién del cliente o la capacidad de Ia organizacién de alcanzar los objetivos del negocio. . Asi como cada control es formulado para cumplir un objetivo de control, las politicas generales a un nivel superior y las politicas detalladas a un nivel inferior necesitan estar a tono con los objetivos del negocio. Los auditores de SI deben alcanzar un entendimiento de las politicas como parte del proceso de auditoria ¥y comprobar si estas se cumplen, En una empresa, los controles de SI deben fluir de las politicas, y los auditores de SI deben usar las politicas como un punto de referencia para evaluar el cumplimiento. Sin embargo, si existen politicas que obstaculizan el logro de los objetivos del negocio, deben ser jdentificadas y se las debe reportar para que sean mejoradas. El auditor de SI debe también considerar el srado al que las politicas se aplican a terceros 0 a outsourcers, el grado al que estos cumplen con las politicas, o si las politicas de los terceros 0 de los outsourcers estén en conflicto con las politicas de la organizacién Politica de Seguridad de Informacién Una politica de seguridad comunica un esténdar coherente de seguridad a los usuarios, la gerencia y el personal técnico. Una politica de seguridad para tecnologia de informacién y tecnologias relacionadas es un primer paso para construir la infraestructura de seguridad para organizaciones impulsadas por la tecnologia. Las politicas a menudo fijarin la etapa en términos de qué herramientas y procedimientos se necesitan para la organizacién. Las politicas de seguridad deben balancear el nivel de control con el nivel de productividad. En otras palabras, el costo de un control nunca debe exceder el beneficio que se espera que obtener. Para disefiar ¢ implementar estas politicas, la cultura organizacional jugaré un papel importante. La politica de seguridad debe ser aprobada por la alta gerencia. Debe ser documentada y comunicada a todos los empleados y proveedores de servicio, segin sea pertinente. La politica de seguridad, en lo que sea aplicable, debe ser usada por los auditores de SI como un marco de referencia para realizar diferentes trabajos de auditoria de SI. La suficiencia y pertinencia de Ia politica de seguridad podria también ser un drea de revisién para el auditor de SI. La politica de seguridad de informacién prove a la administracién la direceién y el soporte para la seguridad de informacién en conformidad con los requerimientos del negocio y las leyes y regulaciones relevantes, La Administracién debe fijar una direccién clara de politica en linea con los objetivos del negocio y demostrar apoyo a y compromiso con la seguridad de informacién a través de la emisién y ‘mantenimiento de una politica de seguridad de informacién para la organizacién. DOCUMENTO DE POLITICA DE SEGURIDAD DE INFORMACION Un documento de politica de seguridad de informacién debe ser aprobado por la gerencia, publicado y comunicado a todos los empleados y terceros relevantes. E] documento de politica de seguridad de informacién debe establecer el compromiso de Ja gerencia y fijar el método de la organizacién para administrar la seguridad de informacién. El documento de politica de seguridad de informacién, sus objetivos generales y su alcance, y la importancia de la seguridad como un mecanismo que permite que se comparta a informacién (ver introduccién). Una declaracién de la intencién de la gerencia, soportando las metas y los principios de la seguridad de informacin en linea con la estrategia y los objetivos del negocio. "Manual de Preparacion al Examen CISA 2008 107‘© Un marco para fijar los objetivos de control y los controles, incluyendo la estructura de la evaluacién del riesgo y la administracién del riesgo ‘© Una breve explicacién de las politicas de seguridad, los principios, los esténdares y los requisitos de cumplimiento de particular importancia para la organizacién, incluyendo: = Cumplimiento de los requisitos legislativos, regulatorios y contractuales = Requisitos de educacién entrenamiento y conciencia /eonocimiento de la seguridad - Administracién de la continuidad del negocio = Consecuencias de las violaciones de la politica de seguridad de informacién ‘© Una definicién de las responsabilidades generales y especificas para la gerencia de seguridad de informacién, incluyendo reportar incidentes de seguridad de informacién. ‘© Referencias a la documentacién que puede soportar la politica, e.g., politicas y procedimientos mas detallados de seguridad para sistemas de informacién o reglas de seguridad especificas que deben ser ‘cumplidos por los usuarios. Esta politica de seguridad de informacién debe ser comunicada en toda la organizacién a los usuarios en una forma que sea accesible y comprensible para el lector al que esta destinada. La politica de seguridad de informacién podria ser parte de un documento de politica general. La politica de seguridad de {informacion puede también ser distribuida a terceros 0 a los outsourcers de la organizaci6n. Si la politica de seguridad de informacién es distribuide fuera de la organizacién, se debe tener cuidado de no revelar informacién sensitiva. REVISION DE LA POLITICA DE SEGURIDAD DE INFORMACION La politica de seguridad de informacién debe ser revisada a intervalos planeados o si ocurrieran cambios significativos, para asegurar que siga siendo apropiada, adecuada y efectiva. La politica de seguridad de informacién debe tener un duefio que haya aprobado la responsabilidad de la gerencia sobre el desarrollo, revision y evaluacién de la politica de seguridad. La revisién debe incluir evaluar las oportunidades de ‘mejoramiento de la politica de seguridad de informacién de la organizacién y un método de administrar la seguridad de informacién en respuesta al entorno organizacional, las circunstancias del negocio, las condiciones legales o el entomo téenico. El mantenimiento de la politica de seguridad de informacién debe tomar en cuenta los resultados de estas revisiones. Debe haber procedimientos definidos de revisién de la gerencia, que incluye un eronograma 0 perfodo para la revisién. E] input para la revisién de gerencia debe incluir: Retroalimentacién de las partes interesadas Resultados de revisiones independientes Estatus de las acciones preventivas y correctivas Resultados de revisién de gerencia anteriores Desempefio del proceso y cumplimiento de la politica de seguridad de informacién Cambios que podrian afectar el enfoque de la organizacién para administrar Ia seguridad de informacién, incluyendo cambios al entoro organizacional; las circunstancias del negocio; 1a disponibilidad de recursos; las condiciones contractuales, regulatorias y legales; o el entomo técnica, © Uso de la consideracién de los outsourcers o fuunciones fuera de TI o funciones del negocio © Las tendencias relacionadas con las amenazas y las vulnerabilidades © Incidentes de seguridad de informacién reportados © Recomendaciones suministradas por las autoridades relevantes 108 "Manual de Preparacién al Examen CISA 2008‘© El output o producto de la revisién de gerencia debe inctuir cualesquiera decisiones y acciones relacionadas con: ‘¢ Mejoramiento del enfoque de la organizacién para administrar la seguridad de informacién y sus procesos “Mejoramiento de los objetivos de control y los controles Mejoramiento en la asignacién de recursos y /o responsabilidades © Se debe mantener un registro de revisiones de gerencia y se debe obtener la aprobacién de la gerencia para la politica revisada. ‘Nota: El auditor de SI debe estar conciente de qué es lo que se necesita revisar durante la evaluacién de una Politica de Seguridad de Informacién. 2.5.2 PROCEDIMIENTOS Los procedimientos son documentos detallados. Deben derivarse de Ja politica madre e implementar el espiritu (Ia intencién) de la aseveracién de Ia politica. Los procedimientos deben ser escritos en una forma clara y concisa, de modo que sean comprendidos facil y correctamente por todos los que se deben regir por ellos. Los procedimientos documentan procesos de negocio (administrativos y operacionales) y los controles integrados en los mismos. Los procedimientos son formulados por la gerencia media como una ‘traduccion efectiva de las politicas. Generalmente, los procedimientos son mas dinémicos que sus politicas madres respectivas. Ellos deben reflejar los continuos cambios en el enfoque del negocio y su ambiente. Por fo tanto, es esencial revisar y actualizar frecuentemente los procedimientos, si ellos han de ser relevantes. Los auditores revisan los procedimientos para identificar, evaluar y después de ello probar los controles sobre los procesos del negocio. Los controles integrados en los procedimientos son evaluados para asegurar que cumplan los objetivos de contro! necesarios, mientras hacen el proceso tan eficiente y préctico como sea posible. Cuando las pricticas operativas no coinciden con los procedimientos documentados cuando los procedimientos documentados no existen, es dificil (para la gerencia y para los auditores) idontificar los controles y asegurar que estén en operacién continua, Uno de los aspectos mas eriticos relacionados con los procedimientos es que ellos deben ser bien conocidos por las personas a las que ellos gobieman. Un procedimiento que no ¢s conocido completamente por el personal que lo tiene que usar, es esencialmente inefectivo. Por lo tanto, se debe prestar especial atencién a los métodos de despliegue y automatizacién de mecanismos para almacenar, distribuir y administrar los procedimientos de TI. Una revisién independiente es necesaria para asegurar que las politicas y los procedimientos hayan sido debidamente documentados, comprendidos e implementados. El revisor debe mantener su independencia en todo momento y no debe ser influenciado por nadie del grupo que esti siendo inspeccionado. La evidencia del trabajo realizado debe ser adecuada y debe proveer a quien revisa un nivel de confianza de que el trabajo fue efectuado en cumplimiento de Tas politicas y procedimientos establecidos. Se pueden realizar revisiones como parte de una funcién de TI implementando el Modelo de Madurez de Capacidad del Instituto de Ingenieria de Software o los esténdares de la Organizacién Internacional para la Estandarizacién (ISO). ‘Manual de Preparacién al Examen CISA 2008, 109La administracién del riesgo es el proceso de identificar las debilidades y las amenazas para los recursos de informacién utilizados por una organizacién para lograr los objetivos del negocio, y decidir qué contramedidas tomar, si hubiera alguna, para reducir el nivel de riesgo hasta un nivel aceptable basado en el valor del recurso de informacién para la organizac La administracién efectiva de riesgo comienza con un claro entendimiento del apetito de riesgos de la organizacién. Esto impulsa todo el esfuerzo de administracién del riesgo y, en un contexto de TI, tiene un ‘impacto sobre las inversiones futuras en tecnologia, el grado en el que los activos son protegidos y el nivel de garantia requerido. La administracién de riesgos abarca identificar, analizar, evaluat, tratar, ‘monitorear y comunicar el impacto del riesgo sobre los procesos de TI. Habiendo definido el apetito de riesgo ¢ identificado la exposicién al riesgo, se pueden establecer las estrategias para administrar el riesgo y aclarar las responsabilidades. Dependiendo del tipo de riesgo y su importancia para el negocio, la ‘administracién y la junta pueden optar por: ‘© Evitar, por ejemplo, donde sea factible, escoger no implementar ciertas actividades 0 procesos que incurririan en un riesgo mayor Mitigar, por ejemplo, definir e implementar controles para proteger la infraestructura de TI ‘Transferir, por ejemplo, compartir el riesgo con socios, o transferirlo a cobertura del seguro Aceptar, ¢s decir, reconocer formalmente la existencia del riesgo y monitorearlo Eliminar, es decir, donde sea posible, eliminar la fuente del riesgo En otras palabras, el riesgo puede ser transferido, rechazado, reducido, 0 evitado. Un ejemplo de transferencia de riesgo es cuando una compaiiia compra seguros. Una organizacién puede elegir rechazar el riesgo ignordndolo, lo cual puede ser peligroso, El riesgo puede ser reducido mediante la implementacién o la mejora de los controles y los procedimientos de seguridad (contramedidas). En el ‘momento de implementar los controles, una organizacién puede considerar los costes y los beneficios de implementarlo, $i el costo de los controles (gastos generales de control) excede los beneficios, una organizacién puede elegir aceptar el riesgo en lugar de incurrir en costos adicionales para asegurar su sistema, Una organizacién puede evitar un riesgo eliminando el origen del mismo. 2.6.1 DESARROLLO DE UN PROGRAMA DE ADMINISTRACION DEL RIESGO Para desarrollar un programa de administracién del riesgo: «© Establecer el propésito del programa de administracién del riesgo. El primer paso es determinar cl propésito de la organizacién para crear un programa de administracién de riesgos. El propésito del programa puede ser reducir el costo de los seguros o reducir el ntimero de lesiones relacionadas con el programa. Al determinar su intencién antes de iniciar el planeamiento de la administracién del riesgo, la organizacién puede evaluar los resultados para determinar su efectividad. Tipicamente, el director ejecutivo, con la Junta Directiva, establece el tono que tendré el programa de administracién del riesgo. © Asignar responsabilidad para el plan de administracién del riesgo. El segundo paso es designar ‘una persona o un equipo responsable de desarrollar e implementar el programa de administracién del riesgo de la organizacién, Mientras el equipo es primordialmente responsable del plan de administracién del riesgo, un programa exitoso requiere la integracién de dicha administracion de Tv "Manual de Preparacion al Examen CISA 2008riesgos en todos los niveles de la organizacién. El personal de operaciones y los miembros de la junta deben apoyar al comité de administracin de riesgos para identificar los riesgos y desarrollar estrategias adecuadas para el control de las pérdidas y la intervencién. 2.6.2 PROCESO DE ADMINISTRACION DE RIESGOS EI primer paso en el proceso es la identificacién y clasificacién de los recursos de informacién o de los activos que necesitan proteccién, porque son vulnerables a las amenazas. El propésito de la elasificacién puede ser priorizar investigaciones adicionales e identificar Ja protecci6n apropiada (clasificacién simple, basada en el valor del activo), o permitir la aplicacién de un modelo estindar de proteccién (clasificacién en términos de criticidad y de sensibilidad). Los ejemplos de activos tipicos asociados con la informacion yon TI incluyen: © Informacién y datos Hardware Software Otros activos de negocio més tradicionales para considerar son los edificios, el inventario, el efectivo y activos menos tangibles como por ejemplo la plusvalia o imagen /reputacién. EI paso siguiente en el proceso es estudiar las amenazas y vulnerabilidades asociadas con el recurso de informacién y la probabilidad de que ocurran. En este contexto, amenazas son cualesquiera circunstancias 0 eventos con el potencial de dafiar un recurso de informacién, tales como destruccién, divulgacién, modificacién de datos y/o negacién de servicio. Las clases comunes de amenazas son: Falla del equipamiento /sofiware Las amenazas ocurren por causa de las vulnerabilidades (también conocidas como factores de riesgo) asociadas al uso de los recursos de informacién, Las vulnerabilidades son caracteristicas de los recursos de informacién que pueden ser explotadas por una amenaza para causar daflo. Ejemplos de vulnerabilidades son: © Falta de conocimientos del usuario © Falta de funcionalidad de la seguridad © Eleccién deficiente de contrasefias * Tecnologia no probada © Transmisi6n por comunicaciones no protegidas El resultado de cualquiera de estas amenazas se denomina impacto, y puede tener como consecuencia una pérdida de distintos tipos. En las organizaciones comerciales, las amenazas desembocan por Io general en una pérdida financiera directa en el corto plazo o una pérdida financiera final (indirecta) en el largo plazo. Los ejemplos de dichas pérdidas incluyen los siguientes: «© Pérdida directa de dinero (efectivo o crédito) © Violacién de la legislacién “Manual de Preparacién al Examen CISA 2008, TirPérdida de reputacién /plusvalia Peligro potencial para el personal o los clientes Violacién de la confianza érdida de oportunidades de negocio Reduccién en Ia eficiencia /desempefio operativo Interrupcién de la activided de negocio Una vez. que se han establecido los elementos de riesgo, éstos se combinan para formar una visién general del riesgo. Un método comin de combinar los elementos es calcular la vulncrabilidad de Impacto de X (probabilidad de que ocurra en relacién con un recurso particular de informacién) para cada amenaza y dar asi una medida del riesgo general. El riesgo es proporcional al valor de Ia pérdida o datio y a la frecuencia estimada de la amenaza. Una vez que se han identificado los riesgos, se pueden evaluar los controles existentes o se pueden disefiar nuevos controles para reducir las vulnerabilidades hasta un nivel aceptable de riesgo. Estos controles se denominan contramedidas. Estas pueden ser acciones, dispositivos, procedimientos 0 téenicas. La fortaleza de un control puede ser medida en términos de su fortaleza inherente o de disefio y de la probabilidad de su efectividad. Los elementos de los controles que deben considerarse cuando se evalie la fortaleza del control incluyen si son preventivos o de deteccién, manuales o programados y formales (documentados en manuales de procedimientos, manteniéndose evidencia de su operacién) 0 ad hoe. El nivel remanente de riesgo, una vez que los controles han sido aplicados, se denomina riesgo residual y puede ser usado por la gerencia para identificar las reas en las que se requiere mas control para reducir ‘atin més los riesgos. La gerencia puede establecer la meta de un nivel aceptable de riesgo (apetito de riesgo). Los riesgos que excedan este nivel deben ser reducidos mediante la implementacién de controles ‘més estrictos, Los riesgos que estén por debajo de este nivel deben ser evaluados para determinar si se ‘esta aplicando un nivel excesivo de control y si se pueden realizar ahorros en costos eliminando estos controles excesivos. La aceptacién final de los riesgos residuales toma en cuenta: La politica organizacional La identificacién y la medicién del riesgo La incertidumbre incorporada en el método mismo de estudio del riesgo El costo y la efectividad de la implementacién Es importante darse cuenta de que la administracién de riesgos de TI necesita operar a miltiples niveles, incluyendo: EI nivel operativo - En el nivel operativo, uno se preocupa de los riesgos que podrian comprometer la efectividad de los sistemas de TI y Ia infraestructura que los soporta, la capacidad de evadit los controles de los sistemas, la posibilidad de pérdida o de no disponibilidad de recursos clave (por ejemplo, sistemas, datos, comunicaciones, personal, instalaciones) y falta de cumplimiento de las leyes y regulaciones. Elnivel de proyecto - En el nivel de proyecto, la administracién de riesgos necesita concenttarse en la capacidad de entender y manejar Ia complejidad del proyecto y (si esto no se hiciera efectivamente) en el riesgo resultante de que los objetivos del proyecto no sean cumplidos. © Elnivel estratégico - En el nivel estratégico, el enfoque del riesgo se traslada a consideraciones tales como el grado en que las capacidades de TI estén alineadas con Ia estrategia del negocio, c6mo se compara con Ia capacidad de los competidores, y las amenazas (asi como también las oportunidades) planteadas por el cambio tecnoligico. TiLa identificacién, evaluacién y administracién de los riesgos de TI en diversos niveles es de interés para diferentes personas y grupos dentro de la organizacién. Sin embargo, estas personas y grupos no deben ‘operar completamente por separado, ya que los riesgos en un nivel o en un drea pueden impactar a otro. Un mel funcionamiento importante del sistema podria obstaculizar la capacidad de una organizacién para prestar servicios al cliente 0 tratar con proveedores, y podria tener implicaciones estratégicas que requirieran la atencién de la alta gerencia. En forma similar, los problemas en un proyecto importante podrian tener implicaciones estratégicas. También, a medida que los proyectos entregan nuevos sistemas ¢ infraestructura de TI, el nuevo entomo de riesgo operativo necesita ser considerado En resumen, el proceso de administracién del riesgo deberia lograr un balance efectivo en costo entre la aplicacién de controles de seguridad como contramedidas y las amenazas significativas. Algunas de las ‘amenazas estén relacionadas con aspectos de seguridad que pueden ser extremadamente sensitivos para algunas industrias 2.6.3 METODOS DE ANALISIS DEL RIESGO Esta seceién discute métodos cualitativos, semicuantitativos y cuantitativos de métodos de administracién del riesgo y las ventajas y limitaciones de estos tltimos. Métodos de Anilisis Cualitativo Los métodos de anélisis cualitativo de riesgo usan categorizaciones descriptivas para describir los impactos o la probabilidad. Son los més sencillos y los més comtinmente usados. Normalmente se basan ‘en listas de verificacién (checklists) y en clasificaciones subjetivas del riesgo, tales como alto, medio 0 bajo. Dichos enfoques carecen del rigor que es habitual para la contabilidad y la administracién. Métodos de Anilisis Semicuantitativo En el andlisis semicuantitativo, las clasificaciones descriptivas estén asociadas con una escala numérica. ichos métodos se usan frecuentemente cuando no es posible utilizar un método cuantitativo o reducir la subjetividad en los métodos cualitativos. Métodos de Anilisis Cuantitativo Los métodos de anilisis cuantitativo usan valores numéricos para describir la probabilidad y los impactos de los riesgos, usando datos provenientes de varios tipos de fuentes, tales como registros histéricos, experiencias pasadas, pricticas y registros de la industria, teorfas estadisticas, pruebas y experimentos. Muchos métodos de andlisis cuantitativo del riesgo estin actualmente disponibles para éreas como la militar, nuclear, quimica, financiera y otras. Las siguientes selecciones describen conceptos relacionados con el método cuantitativo ‘Manual de Preparacion al Examen CISA 2008, TisPROBABILIDAD ¥ EXPECTATIVA La mayoria de estos métodos se basan en teor‘as estadisticas “clésicas” de probabilidad y expectativa. La mayoria de los fenémenos naturales son afectados por tantas variables, de modo que incluso en los ‘casos en que se encuentran leyes cientificas para su comportamiento, el comportamiento real fluctta alrededor de los valores predichos. Las variables artificiales, por ejemplo, la variable social, econdmica, tecnolégica (como por ejemplo las actitudes para votar), el producto interno bruto (PIB) o la temperatura de un caldero, estn sujetos a un comportamiento similar llamado estocastico. ‘La ocurrencia de una tormenta no puede predecirse con exactitud, pero (si existiera suficiente informacién cientifica historica para establecer una tendencia 0 patrén) la probabilidad de que ocurra puede asignarse con una cierta precisién y nivel de confianza. Una vez que la probabilidad de un evento (p) es fijada (0=< p <= 1), si hay un activo (que sera afectado por el evento mencionado) cuyo valor es v, Ia pérdida o ganancia esperada es v x p (el valor del activo multiplicado por la probabilidad de ocurrencia del evento). METODO DE EXPECTATIVA DE PERDIDA ANUAL (ALE) ALE simplifica la asignacién de valor (v) y probabilidad (p) en una forma que es més facil de cuantificar. Con este método, puede crearse ficilmente una hoja de trabajo hecha a la medida y adaptarse a una moneda especifica, materialidad de activos y horizontes de tiempo deseado (figura 2.6). Figura 2.6 ‘Annual Loss Expectancy Approach ALE Annual Loss Expectancy (KS) (Pigres re raeedto§ KS ond wets rc 1 KE ad above 1 bret show) a 1100 1000 10.009 100500 tm 10m | Tmunde $26 $2660 536.600 row 9-876 «8760 A7S00 BrEqOD 1 doy 3S 3890 35500 Tes.000 1 ek S&S SMM SANS SND 1 mort 1 12 12 1200 12000 120000 Smart 4 @ a0 4o00 anno 4 year 1 10 $00 1.000 10.000 + 80000 Syear 2 2 me 200 mon 10 your 1 10 100 1.000 10000 Dyew 4 3s & sO S000 Dyer 2 2 mo now 100 year + 1% 100 10.000 300 year a) ae Saw Tit “Manual de Preparacion al Examen CISA 2008La gerencia y los auditores deben tener presente ciertas consideraciones que incluyen: ‘La administracién del riesgo (RM) debe aplicarse a las funciones de TI en toda fa compafiia, RM es una responsabilidad de la alta gerencia EIRM cuantitativo es preferible frente los métodos cualitativos EI RM cualitativo siempre enfrenta el desaffo de estimar los riesgos (su probabilidad) y se basa en la subjetividad y los métodos cualitativos ERM cuantitativo provee supuestos més objetivos (y rastreables) La complejidad real o la aparente sofisticacién de los métodos 0 productos usados no debe ser un sustituto del sentido comin del negocio o de la diligencia profesional. © Se debe prestar especial atencién para asegurar que se dé Ia consideracién adccuada a tratar con eventos de alto impacto, incluso si su probabilidad, expresada como una frecuencia de ocurrencia en el tiempo, es baja. Recientes tragedias como los ataques terroristas y el Tsunami de Asia han demostrado el potencial de que ocurran eventos catastréficos no predichos. Determinar las probabilidades futuras basadas en la experiencia pasada es a menudo dificil, en particular donde los eventos no tienen precedente, de modo que es prudente asumir que el peor caso podria ocurrir. Mientras que en alguna medida es desagradable, las organizaciones necesitan ser realistas al hacer planes para enfrentar la pérdida del personal clave, la pérdida de instalaciones, Ia pérdida de sistemas, y la pérdida generalizada, corrupcidn 0 robo de datos. Es necesario recordar que si se evaliia que un evento tiene una probabilidad en SO aitos, esto no significa que tomard 50 afios desde ahora para que ocurra — podria ocurrir maftana. Las précticas de gerencia de sistemas de informacién reflejan la implementacién de politicas y procedimientos desarrollados para diversas actividades gerenciales relacionadas con SI. En la mayoria de las organizaciones, el departamento de SI es un departamento de servicio. La funcién tradicional de un departamento de servicio es ayudar a los departamentos de produccién a llevar a cabo sus operaciones ‘més efectivamente y eficientemente. Hoy, sin embargo, SI se ha convertido en parte integral de todas las fases de la operacién de una organizacién. Su importancia continiia creciendo affo tras aio, y hay poca grado al in, probabilidad de que esta tendencia se revierta. Los auditores de SI deben entender y apreciar ‘que un departamento de SI bien administrado es crucial para lograr los objetivos de la organiza Las actividades de la gerencia para revisar las formulaciones de politicas y procedimientos y su efectividad dentro del departamento de SI incluiria précticas tales como administracién de personal, contratacién y administracién de cambios de TT. 2.7.1 ADMINISTRACION DE PERSONAL La administracién de personal se refiere a las politicas y procedimientos de la organizacién para contratacién, promocién, retencién y terminacién de contratos. La efectividad de estas actividades, a ‘medida que se relacionan con la funcin de SI, impacta la calidad del personal y el desempefio de las funciones de SI. ‘Manual de Preparacion al Examen CISA 2008 Tis‘Nota: El auditor de SI debe estar en conocimiento de Tos problemas de administracién de personal pero esta informacién no se prueba en el examen de CISA debido a su subjetividad y al asunto obj organizacional especifico. Contratacién Las précticas de contratacién de una organizacién son importantes para asegurar que se escoja el personal més eficiente y efectivo y que la compaiiia cumpla con los requisitos legales de reclutamiento. Algunos de los controles comunes incluirian: © Verificacién de antecedentes © Acuerdos de confidencialidad © Establecimiento de una fianza para los empleados para proteger contra pérdidas, errores y negligencia (Nota: la fianza de empleados no es siempre una prictica aceptada en todo el mundo; en algunos paises no es legalmente aceptada) ‘© Acuerdos sobre el conflicto de intereses ‘© Acuerdos de no-competencia. Los riesgos del control incluyen: © Es posible que el personal no sea el adecuado para la posicién para la cual es reclutado © Esposible que no se lleve a cabo la verificacién de referencias © El personal temporal y los terceros pueden introducir riesgos fuera de control © Es posible que la falta de conciencia de los requerimientos de confidencialidad conduzcan a comprometer el ambiente esperado de seguridad global. Manual del Empleado Los manuales de empleado, distribuidos a todos los empleados al ser contratados, deben explicar puntos tales como: Politicas y procedimientos de seguridad Expectativas de la compaiia Beneficios de los empleados Politicas de vacaciones (dias feriados) Reglas de tiempo extra Otro trabajo Evaluaciones del desempefio Procedimientos de emergencia Aceiones disciplinarias por: (© Ausencias excesivas (© Violacién de la confidencialidad y/o seguridad ‘© Nocumplimiento de las politicas En general, debe existir un cédigo de conducta publicado para la organizacién que especifique las responsabilidades de todos los empleados con Ia organizacién, Tie “Manual de Prep:Politicas de Promocién Las politicas de promocién deben ser justas y comprendidas por los empleados. Las politicas deben estar basadas en criterios objetivos y tomar en consideracién el desempeito, el nivel de instruccién, Ia experiencia y el nivel de responsabilidad individual. El auditor de SI debe asegurar que la organizacién de SI tenga politicas y procedimientos de promocién bien definidos y los esté cumpliendo. Entrenamiento Todos los empleados deben recibir entrenamiento de manera habitual, basado en las dreas en que les falte experiencia y conocimientos. Esto es especialmente importante para los profesionales de SI, dado el ripido ritmo de cambio de a tecnologia y los productos. El entrenamiento no s6lo asegura el uso ficiente y efectivo de los recursos de SI sino que también fortalece la moral de los empleados. Se debe proveer entrenamiento cuando se est implementando nuevo hardware y/o software. El entrenamiento debe cubrir también reas pertinentes de gerencia, de administracién de proyectos y aspectos técnicos. El entrenamiento cruzado consiste en capacitar adecuadamente a més de un individuo para realizar un trabajo o procedimiento especifico. Esta practica tiene la ventaja de disminuir la dependencia respecto a ‘un empleado y puede ser parte de la planeacién de reemplazo de cargos. También provee un respaldo de personal en los casos que alguien se ausente por alguna razén y de este modo proveer continuidad en las ‘operaciones. Sin embargo, al utilizar este sistema seria prudente que se evalden previamente los riesgos ‘de que cualquier persona conozca todas las partes de un sistema y el grado de exposicién que esto podria generar. Cronogramas y Reportes de Tiempo La preparacién de un cronograma adecuado permite una operacién y uso mas eficiente de los recursos de computacién. El reporte de tiempo permite a la administracién monitorear el proceso de calendarizaci La gerencia o administracién podri entonces determinar si el personal escogido es el adecuado y si la operacién esta funcionando de manera eficiente. Es importante que la informacién que esté siendo introducida o registrada en dicho sistema sea exacta, El reporte de tiempo puede ser una fuente excelente de informacién para los fines del gobierno de TI. Uno de los recursos més escasos en TI es el tiempo, y su debido reporte definitivamente ayudard a administrar mejor este recurso finito, Esta informacién puede ser til para la asignacién de costos, medicién de KGl y KPI, y andlisis de actividades (por ejemplo, cuantas horas dedica la organizacién a los cambios en las aplicaciones vs. 1os nuevos desarrollos). Evaluaciones del Desempefio de los Empleados La evaluacién de los empleados debe ser una norma y un tema habitual para todo el personal de SI. EI departamento de recursos humanos debe asegurar que los gerentes de SI y los empleados de SI fijen metas /resultados esperados, mutuamente acordados. La evaluacién puede set aplicada on funcién de las metas, sélo si el proceso es objetivo y neutral. ‘Manual de Preparacion al Examen CISA 2008, 17jones deben basarse en el ie las Los aumentos de salario, las bonificaciones por desempelio y las prom

También podría gustarte

• Capitulo 2 de Cisa

  

  100% (1)

  Capitulo 2 de Cisa

  201 páginas
• CISA Tema6

  

  Aún no hay calificaciones

  CISA Tema6

  54 páginas
• CISA Tema4

  

  Aún no hay calificaciones

  CISA Tema4

  102 páginas
• Administración del Ciclo de Vida de Sistemas

  

  Aún no hay calificaciones

  Administración del Ciclo de Vida de Sistemas

  182 páginas
• Capitulo 1 CISA

  

  Aún no hay calificaciones

  Capitulo 1 CISA

  43 páginas
• Risk It - Isaca - Es

  

  Aún no hay calificaciones

  Risk It - Isaca - Es

  42 páginas
• CISSP - 05 - Access Control v3

  

  100% (1)

  CISSP - 05 - Access Control v3

  46 páginas
• CISA

  

  Aún no hay calificaciones

  CISA

  2 páginas
• CISA2013

  

  Aún no hay calificaciones

  CISA2013

  472 páginas
• Checklist NIST CSF 1.1 Español

  

  Aún no hay calificaciones

  Checklist NIST CSF 1.1 Español

  36 páginas
• Preguntas Isaca

  

  Aún no hay calificaciones

  Preguntas Isaca

  3 páginas
• Equipo5-RESPUESTA A INCIDENTES DE SEGURIDAD Y PLANES PARA LA CONTINUIDAD DEL NEGOCIO

  

  Aún no hay calificaciones

  Equipo5-RESPUESTA A INCIDENTES DE SEGURIDAD Y PLANES PARA LA CONTINUIDAD DEL NEGOCIO

  42 páginas
• Resumen de Normativas de Seguridad

  

  Aún no hay calificaciones

  Resumen de Normativas de Seguridad

  83 páginas
• Gestion Accesos Identidades TI

  

  Aún no hay calificaciones

  Gestion Accesos Identidades TI

  1 página
• ISA/IEC 62443: Cómo Cumplir Con Los Estándares de Seguridad en Entornos Industriales

  

  Aún no hay calificaciones

  ISA/IEC 62443: Cómo Cumplir Con Los Estándares de Seguridad en Entornos Industriales

  4 páginas
• Tupia Segunda Edicion

  

  Aún no hay calificaciones

  Tupia Segunda Edicion

  302 páginas
• Estrategias de Cyberseguridad

  

  Aún no hay calificaciones

  Estrategias de Cyberseguridad

  22 páginas
• Ciso Ciso

  

  Aún no hay calificaciones

  Ciso Ciso

  5 páginas
• CISM - DOMINIO 3 - Refuerzo Secciones - 2021

  

  Aún no hay calificaciones

  CISM - DOMINIO 3 - Refuerzo Secciones - 2021

  160 páginas
• CISM 15e SampleExam Spanish

  

  Aún no hay calificaciones

  CISM 15e SampleExam Spanish

  15 páginas
• 11 Certificación CISSP Curso de Preparación y Examen1

  

  Aún no hay calificaciones

  11 Certificación CISSP Curso de Preparación y Examen1

  2 páginas
• CSSLP: Conceptos de Software Seguro

  

  Aún no hay calificaciones

  CSSLP: Conceptos de Software Seguro

  35 páginas
• Informe de Auditoría de TI

  

  Aún no hay calificaciones

  Informe de Auditoría de TI

  9 páginas
• Guía de Riesgos TI del NIST

  

  Aún no hay calificaciones

  Guía de Riesgos TI del NIST

  45 páginas
• Enfoque Practico Norma Seguridad Informacion

  

  Aún no hay calificaciones

  Enfoque Practico Norma Seguridad Informacion

  21 páginas
• CISM Cap3

  

  Aún no hay calificaciones

  CISM Cap3

  5 páginas
• Preguntas Cism

  

  0% (1)

  Preguntas Cism

  3 páginas
• Curso - CRISC - C2 - Evaluacion de Riesgos de TI - Va

  

  Aún no hay calificaciones

  Curso - CRISC - C2 - Evaluacion de Riesgos de TI - Va

  69 páginas
• Isaca 2017 2

  

  Aún no hay calificaciones

  Isaca 2017 2

  52 páginas
• U04 CISSP Arquitectura y Diseño de Seguridad

  

  Aún no hay calificaciones

  U04 CISSP Arquitectura y Diseño de Seguridad

  59 páginas
• Sgsi-Meto-01

  

  Aún no hay calificaciones

  Sgsi-Meto-01

  23 páginas
• Guía Informativa para CEOs - Prepárate para La ISO 27001 - Innevo V2

  

  Aún no hay calificaciones

  Guía Informativa para CEOs - Prepárate para La ISO 27001 - Innevo V2

  27 páginas
• Cuestionario Usuarios Finales

  

  Aún no hay calificaciones

  Cuestionario Usuarios Finales

  2 páginas
• Trabajo de Vulnerabilidades en Nessus

  

  Aún no hay calificaciones

  Trabajo de Vulnerabilidades en Nessus

  14 páginas
• Protección de Activos de Información

  

  Aún no hay calificaciones

  Protección de Activos de Información

  94 páginas
• Auditoría de Sistemas de Información y TI

  

  Aún no hay calificaciones

  Auditoría de Sistemas de Información y TI

  5 páginas
• Certificaciones ISACA: Guía CISA y CRISC

  

  Aún no hay calificaciones

  Certificaciones ISACA: Guía CISA y CRISC

  33 páginas
• Auditoría de Seguridad en SI

  

  Aún no hay calificaciones

  Auditoría de Seguridad en SI

  5 páginas
• Manual PDF

  

  Aún no hay calificaciones

  Manual PDF

  9 páginas
• Seguridad-Informatica Diego Vasconez

  

  Aún no hay calificaciones

  Seguridad-Informatica Diego Vasconez

  7 páginas
• Gestión de Incidentes de Seguridad

  

  Aún no hay calificaciones

  Gestión de Incidentes de Seguridad

  2 páginas
• Gobierno de Seguridad de la Información

  

  Aún no hay calificaciones

  Gobierno de Seguridad de la Información

  16 páginas
• Certificación CISM: Guía Completa

  

  Aún no hay calificaciones

  Certificación CISM: Guía Completa

  3 páginas
• Marco de Riesgos de TI: Guía Integral

  

  Aún no hay calificaciones

  Marco de Riesgos de TI: Guía Integral

  7 páginas
• CISM

  

  0% (1)

  CISM

  6 páginas
• Auditoría TI: ISO 12207 y COBIT

  

  Aún no hay calificaciones

  Auditoría TI: ISO 12207 y COBIT

  105 páginas
• Monográfico de Gestión de Seguridad

  

  Aún no hay calificaciones

  Monográfico de Gestión de Seguridad

  436 páginas
• Fundamentos de Controles de Seguridad

  

  Aún no hay calificaciones

  Fundamentos de Controles de Seguridad

  46 páginas
• CISSP Dominio7

  

  Aún no hay calificaciones

  CISSP Dominio7

  112 páginas
• Gestión de Identidad y Acceso

  

  Aún no hay calificaciones

  Gestión de Identidad y Acceso

  29 páginas
• 2017 ISACA Exam Candidate Information Guide - Exp - Spa - 1216 PDF

  

  Aún no hay calificaciones

  2017 ISACA Exam Candidate Information Guide - Exp - Spa - 1216 PDF

  11 páginas
• Guia 12 Traducida Español PDF

  

  Aún no hay calificaciones

  Guia 12 Traducida Español PDF

  42 páginas
• Hardening de Usuarios en Seguridad Informática

  

  Aún no hay calificaciones

  Hardening de Usuarios en Seguridad Informática

  34 páginas
• Test - Tema 5 - Auditoría de Seguridad (MEXMASI) Octubre 2021 2Q

  

  Aún no hay calificaciones

  Test - Tema 5 - Auditoría de Seguridad (MEXMASI) Octubre 2021 2Q

  6 páginas
• Archivo de Examen 1 Gobierno de TI 157

  

  Aún no hay calificaciones

  Archivo de Examen 1 Gobierno de TI 157

  7 páginas
• CISA Dominio 2-2020 v27 Online Material para Participantes

  

  Aún no hay calificaciones

  CISA Dominio 2-2020 v27 Online Material para Participantes

  30 páginas
• Examen Primer Parcial

  

  Aún no hay calificaciones

  Examen Primer Parcial

  9 páginas
• Fase 2-Identifacacion de Procesos - Luis Andres Ramos-Grupo-201

  

  Aún no hay calificaciones

  Fase 2-Identifacacion de Procesos - Luis Andres Ramos-Grupo-201

  11 páginas
• Gobernanza de Las Tecnologías de La Información - Wikipedia, La Enciclopedia Libre

  

  Aún no hay calificaciones

  Gobernanza de Las Tecnologías de La Información - Wikipedia, La Enciclopedia Libre

  2 páginas
• Material COBIT 5

  

  100% (1)

  Material COBIT 5

  164 páginas
• Contabilidad de Gestión II - Ejercicios Sobre Toma de Desiciones

  

  43% (7)

  Contabilidad de Gestión II - Ejercicios Sobre Toma de Desiciones

  9 páginas
• Ejercitario 1 - Presupuesto Anual

  

  Aún no hay calificaciones

  Ejercitario 1 - Presupuesto Anual

  10 páginas
• Horarios Exámenes Finales 2009

  

  Aún no hay calificaciones

  Horarios Exámenes Finales 2009

  6 páginas
• Ética Contable en Paraguay

  

  67% (3)

  Ética Contable en Paraguay

  28 páginas
• NIA 520: Procedimientos Analíticos en Auditoría

  

  67% (3)

  NIA 520: Procedimientos Analíticos en Auditoría

  11 páginas
• Grupo 8 Evidencia de Auditoria

  

  100% (2)

  Grupo 8 Evidencia de Auditoria

  22 páginas
• TP Auditoria I Grupo 6-1

  

  Aún no hay calificaciones

  TP Auditoria I Grupo 6-1

  16 páginas
• Raquel Libro - Version 2008

  

  100% (1)

  Raquel Libro - Version 2008

  99 páginas
• Material de Apoyo - Auditoría I 2008 (Hasta Pág 18)

  

  100% (1)

  Material de Apoyo - Auditoría I 2008 (Hasta Pág 18)

  18 páginas