CAPITULO Nº 4 CISA

Information about CAPITULO Nº 4 CISA

Published on December 12, 2009

Author: escamira

Source: authorstream.com

Content

CAPITULO Nº 3GOBERNANZA DE TECNOLOGIA DE INFORMACION : CAPITULO Nº 3GOBERNANZA DE TECNOLOGIA DE INFORMACION Integrante: Luz Marina Cuellar Salazar Slide 2: El gobierno de TI especifica el nivel de la integración y el control de una Organización tiene sobre sus investigación tecnología de la información El nivel de integración de IT tendrá un efecto dramático en cómo la organización define su misión, archive objetivos estratégicos, y comunica su visión de crecimiento. Estrategia en la organización de control : Estrategia en la organización de control Para tener éxito, la gerencia debe definir una estrategia y ofrecer una gestión empresarial eficaz. Estrategia se define como el gobierno corporativo es "el comportamiento ético de los ejecutivos de las empresas para con shakeholders para maximizar el retorno de una inversión financiera". Dos de alto objetivos nivel de gestión debe ser verificado por el auditor son los siguientes: • Un proceso de supervisión de las prácticas de garantía de la gestión ejecutiva. Los altos ejecutivos necesitan entender lo que está ocurriendo en la organización. • Una alineación estratégica entre la TI y los objetivos de la empresa. una planificación adecuada es necesario para desplegar los recursos en el lugar correcto por la razón correcta Slide 4: El Proceso de ingresos implica una cantidad considerable de gastos administrativos y de mantenimiento de registro. La expectativa en todas las empresas es ganar dinero y no se ve obstaculizada por la tecnología particular, ni atado a un proveedor en particular. El departamento de TI está buscando un propósito claramente que se espera cumplir. El Departamento estudia las demandas y requerimientos necesarios para tener éxito de un servicio estructurado de acuerdo de nivel se pueden generar con estos datos, con la dotación de personal y planes de crecimiento de tecnología. El plan de tecnología tiene que cumplir un objetivo de negocio El principal mecanismo para garantizar la alineación de TI es implementar un comité de dirección de TI : El principal mecanismo para garantizar la alineación de TI es implementar un comité de dirección de TI Visión general del Comité Directivo de TI La mayoría de las organizaciones de TI utilizar un comité de estrategia de TI o comité de dirección. El Comité de Dirección de TI se utiliza para transmitir los requerimientos de negocio actual de los ejecutivos de negocios de la TI ejecutivo. El nombre de la comisión no es tan importante como la función que realiza . El Comité de Dirección de TI podría ser la misma comisión utilizarse para los fines de una continuidad de las actividades del comité de dirección, pero con un poco Carta diferentes (enfoque). Slide 6: Los comités de dirección deben tener una carta formal que designe a la participación de cada miembro. Esta responsabilidad Carta subvenciones y la autoridad en un concepto similar al de una carta de auditoría. La ausencia de una carta del comité de dirección que indique la falta de controles formales, una condición que justifiquen revisar supervisión de la gestión. El comité de dirección también se discute en el capítulo 5 con el software de ciclo de vida de desarrollo. La dirección, o la estrategia, el comité está formado por muy pocos individuos. Cada individuo debe tener la autoridad para actuar en nombre de sus departamentos. Estos son miembros vicepresidente o superiores en la organización para que puedan ayudar a alinear la TI a los esfuerzos requeridos del negocio específicos. Slide 7: El comité es dirigido por un presidente ejecutivo. El director general se espera que proporcione la orientación direccional en persona o mediante un representante para identificar fuentes específicas de ingresos. Cada miembro de la comisión se espera que participen en los debates se centran en cuestiones de negocios. En la ocasión, el Comité podrá invitar a observadores de confianza o presentadores de la reunión para aumentar la conciencia de un área en particular. Después de los objetivos de negocio son identificadas, el siguiente paso es te determinar los objetivos de negocio de TI para cumplir. El comité de dirección se pega a objetivos de alto nivel en lugar de dictar los detalles técnicos. Echemos un vistazo a la necesaria representación en el comité de dirección: Slide 8: Marketing deben estar representados en el comité directivo. El propósito de la comercialización ah es atraer a los compradores de productos de la organización o servicio. Incluso si la organización se basa productos más finos del mundo, no importa a menos que un flujo constante de compradores de hacer una compra. Producción / Desarrollo de Software, la aportación de fabricación o de desarrollo de software es necesario para alinear los esfuerzos de producción a los esfuerzos de ventas. Las ventas de la función de ventas es convertir las perspectivas de interesados de las campañas de marketing en las ventas cerradas. Ejecutivos de ventas están interesados en usar la tecnología para facilitar más ventas. La cooperación de la industria y la tecnología es necesaria para contribuir al esfuerzo de ventas. Finanzas financiero de orientación y niveles de cualificación del presupuesto son esenciales para optimizar la inversión de la organización. Obtención de la aprobación de financiación para los proyectos sería difícil sin la cooperación de la Contraloría de finanzas. Legal El ejecutivo del departamento legal debe garantizar el cumplimiento de la ley. Un asesor jurídico cualificado asesora a la gerencia en las áreas de incertidumbre. Asesoramiento jurídico de expertos debería ayudar a proteger a la compañía de responsabilidad excesiva o de riesgo indebidas, como resultado de una falla de control. Control de calidad El proceso de calidad, favorece la coherencia en las operaciones, la fabricación, y la mitigación de riesgos. Un buen proceso de gestión de calidad es un factor importante para la supervivencia de la organización. Fallas en el control de calidad puede dañar la imagen de mercado o dar lugar a problemas de responsabilidad. Slide 9: De Investigación y Desarrollo (R& D) La Dirección de Investigación y Desarrollo del Personal están constantemente trabajando en la creación de nuevos productos y mejorar los productos existentes. El esfuerzo de R& D se centra en el desarrollo de productos que generan ingresos con seis meses a dos años en el futuro.Dependiendo de la organización, la R& D puede ser suspendido en tiempos de déficit financiero. El R & D pública prevista se aplicaría a los proyectos con un retorno más rápido o al pago de obligaciones vencidas. Gestión de proyectos El jefe de la oficina de la gerencia del proyecto, si existe, debe estar en la comisión a los miembros del consejo sobre los proyectos actuales y propuestos.Tecnología de la Información El director de información (CIO) o vicepresidente de escucha a las ideas y objetivos de negocio planteados por los miembros del comité. Esta persona actúa como un enlace para facilitar la participación de las TI. El IT miembro podrá delegar la planificación y las actividades de investigación a los miembros de la organización de TI. Recursos Humanos La gestión del personal se vuelve más complejo cada semana. Cumplimiento de las normas federales de trabajo es obligatorio. Las organizaciones internacionales que requieren una asistencia especial que va más allá de los conocimientos mayoría de los no ejecutivos de recursos humanos. El incumplimiento puede llevar a severas sanciones. Un representante de la Administración Laboral ejecutivo de cualquier organización laboral, como un sindicato, puede tener que participar en las decisiones relacionadas con el trabajo. Esto puede ser un tema delicado en función de la organización. Slide 10: En la planificación estratégica, los planes en general se ejecutan en un plazo de tres a cinco años. Un plan táctico va a ser llevado a cabo más de seis meses a un año y puede ir en dos años. Planes diarios no son más que pasos en el plan táctico. Cuando una organización de proyectos con tres a cinco años, es realmente el desarrollo de una estrategia. Esta estrategia se puede ejecutar una operación de racionalización en aérea de bajo costo como Southwest Airlines, ofrecen el mejor mercado alcance como eBay, ofrecer tarifas más competitivas de mercadotecnia como el seguro de progresivo, o de utilizar el modelo de envío de FedEx para asegurar tu paquete es absolutamente positiva al día siguiente No. Selección de una estrategia de TI : Selección de una estrategia de TI Dirección ejecutiva selecciona una estrategia de TI para cumplir con sus objetivos de negocio. La estrategia aprobada en caso de que de arriba hacia abajo. La estrategia es entonces formalizarse en una política y un comunicado de la organización Especificar una política : Especificar una política La gerencia tiene la responsabilidad de fijar metas. Cada meta debe ser apoyado con un conjunto definido de objetivos. Debe elaborarse una estrategia en marcha para alcanzar estos objetivos. El siguiente paso es especificar una política para comunicar los deseos de la administración a los subordinados. Cada política debe estar diseñada para definir un curso de alto nivel de acción. El objetivo de la política es informar a los interesados de una solución . Una buena política se basa en una declaración de administradores de importancia de la política. La declaración explica cómo esta política particular es compatible con un objetivo de negocio. La política está firmado por la persona de mayor rango disponible para probar la autorización. Planificación de la estrategia de TI : Planificación de la estrategia de TI Planes estratégicos de TI deben ser creados para ayudar a la organización en el cumplimiento de largo plazo y los objetivos de negocio a corto plazo. Cada plan de TI debe correlacionarse con un objetivo de la organización específica. El objetivo de negocio puede ser la mejora en la gestión de atención al cliente, mejorar la velocidad de funcionamiento con una mejor integración de software. El plan de apoyo de TI podría definir la aplicación y para un cliente nuevo sistema de Gestión de Relación (CRM). El rol de IT es el de un facilitador de los requisitos y custodio. El valor estratégico real será determinado en la mente de los ejecutivos de negocios. Aplicación de Plan de Gestión : Aplicación de Plan de Gestión Aplicaciones de software de ordenador son realmente métodos de realizar el trabajo. Por lo tanto, un plan de gestión de software es necesario para definir el tipo de trabajo que se realizo. Un banco de los consumidores puede estar en la misma industria de como una empresa de cobro de la deuda, por ejemplo. Sin embargo, ambas organizaciones utilizan aplicaciones de software diferente. Aplicaciones de programas informáticos deben ser adaptadas para ajustarse a necesidades del cliente. Las aplicaciones informáticas se notan ventaja si el competidor utiliza el mismo software, a menos que la aplicación es única y altamente personalizada. Es posible para obtener una ventaja competitiva mediante el uso de un producto diferente que utiliza el competidor. La ventaja es lograr un mayor nivel de integración empresarial y/o menores costos de operación. El argumento de los costos es la razón por la aplicaciones de software de código abierto de MySQL unos uso de la base de datos en lugar de la base de datos de Oracle. Ambos son excelentes productos, La diferencia de costos puede permitir una importante inversión especializados en la personalización de un gurú para crear software altamente integrado que puede crear una ventaja competitiva con un costo operativo más bajo en general. Plan Tecnológico : Plan Tecnológico Tecnología de los planes de la dirección técnica de medio ambiente de una organización mediante la indicación de los tipos de hardware y software que con ser utilizado. Poner la tecnología de los primeros planes puede obstaculizar los resultados. Plan de organización : Plan de organización La estructura de la organización de TI debe ser diseñada para apoyar la estrategia de negocio. Tecnología de la información suele ser considerada como una función de la administración interna. Esto colocaría bajo la cabeza de los controles internos (el CFO, vicepresidente de finanzas, o de la Contraloría). Plan de Instalaciones : Plan de Instalaciones Finalmente, la estrategia necesita incorporar un plan de instalaciones. Cuando las aplicaciones de datos y la tecnología reside? ¿Quién manejará el medio ambiente? La decisión final se basará en los deseos de gestión Estos deseos pueden incluir un mayor control, la internalización, externalizacion , o una combinación híbrida. Slide 18: El paso siguiente consiste en identificar los lugares de abastecimiento. El abastecimiento decisión puede basarse en el costo de operación para determinadas ubicaciones geográficas. Costo de operación es un factor combinado de las instalaciones, mano de obra, los reglamentos y los recursos disponibles. Las organizaciones pueden optar por realizar funciones en el lugar, en las instalaciones suyas. Slide 19: El mundo es cada vez más pequeño como el transporte y mejorar los servicios de comunicación. Muchos de las barreras culturales se han reducido en la economía mundial. La economía mundial también ha aumentado el número de competidores en la feroz batalla por los ingresos. Una organización en un momento preocupa sólo de servicio al cliente en un pequeño número de zonas horarias locales. Ahora, los clientes dependen de las empresas las 24 horas del día, todo el mundo. Cuestiones de Cumplimiento Legal : Cuestiones de Cumplimiento Legal Cuando se trata de cuestiones de la externalización, las empresas deben ser conscientes de que lo que podría ser legal en un país puede no ser legal en otro. Algunos ejemplos son la Unión Europea (UE) las leyes de privacidad, que son mucho más estrictas que las de la EEUU, o la insuficiencia de las leyes de propiedad intelectual en China, que francamente no existen. En China, la actitud es que si alguien tiene una copia, les pertenece. Aquí es donde la gestión de negocios debe comprender: Cómo ese país o la cultura verlo? Como un ejemplo primitivo, sólo comparar las fiestas religiosas y de estilo de vida que diferentes condados observar. Por ejemplo, el flujo de armonía que la oficina se considera molesto en Japón si no todos van a almorzar al mismo tiempo exacto, y volver en un par de minutos Métodos de Control de Gestion : Métodos de Control de Gestion los niveles de la gestión son responsables de proporcionar el liderazgo. Los buenos líderes generan mejor perfeccionando de los empleados individuales. La organización necesita evidencia continua del rendimiento. El requerimiento mínimo de buena gestión son los siguientes: • Informes de resultados • Registro General de mantenimiento • Salvaguardias y detalles aplicación de control El auditor debe revisar una variedad de documentos, incluido el plan estratégico de la organización, políticas, IT planes y procedimientos de operación. Estos incluyen los planes de formación, sistema de mitigación, la certificación sistema, mejoría de desastres, continuidad, y la inevitabilidad del cambio. Como auditor, que de entrada con necesidad de la gente, además de la administración de TI para asegurar la alineación con los objetivos de la empresa. Planificación y Revisar : Planificación y Revisar Revisar de rendimiento »se refiere a la identificación de un objetivo a ser monitoreados, seguimiento, asignado a una persona responsable, y la resolución de las cuestiones pendientes. Los sistemas actuales requieren una revisión periódica para determinar el actual nivel de cumplimiento de controles interior y la pasos que vaya a tomar. El modelo de capacidad de madurez (CMM) es un método para evaluar y medir la madurez de los procesos en las organizaciones. Una escala de puntuación de O a 5 se utiliza. Slide 23: El Modelo de Madurez de la Capacidad también se discute en el Capítulo 5 para el software de ciclo de vida de desarrollo. Nivel O = Sin embargo, nada el nivel de cero, está implícita en el CMM, pero no pueden pasar inadvertidas. Esta es la importante la hora de evaluar la madurez del proceso. Falta procesos y controles sin evidencia él calificó como cero. Muchas personas asumen que controlar ah está presente cuando, en realidad, unos pueden estar ausentes. Un proceso o de control debe haber ocurrido con el fin de alcanzar un nivel de madurez (1-5). Nivel 1 = Procesos iniciales son únicos y caótico..El no tiene un entorno estable. El éxito se basa en las competencias individuales y de heroísmo. Este nivel a menudo produce productos y servicios que funcionan. Sin embargo, la producción podrá superar los recursos disponibles o ser personas especialmente dependientes del petróleo. Nivel 2 = procesos repetibles son repetibles. La organización utiliza la gestión de proyectos para realizar un seguimiento proyectos. El estado de los proyectos que se comunica mediante el uso de los hitos con una estructura definida por el trabajo de avería. El proceso de las normas básicas, las descripciones, y los procedimientos son documentados. Nivel 3 = definido procesos están bien documentados y comprendidos. Nivel 3 es más madura y mejor definida que el nivel 2. Procesos tienen objetivos, medidas, procedimientos de mejora, y las normas. El nivel de 3 m resultados es predecible por medida cualitativa. Nivel 4 = Gestión Gestionado puede utilizar criterios de medición precisos para controlar los procesos e identificar las formas de ajustar los resultados. Procesos en nivel 4 son predecibles, por medidas cuantitativas. Nivel 5 = Optimizado Esta es la más alto nivel con la mejora continua de procesos. Objetivos de mejora se definen y se revisan continuamente para reflejar las necesidades y objetivos de negocio. Francamente, niveles mas alto de alcanzar en el modelo de madurez aumenta la probabilidad de que la controle interno tienen éxito. Un grado más alto CMM indica una definición de madurez con un mayor grado de control. Tenga en cuenta la típica anzuelos en un contrato de externalización. El comprador está enganchado a ella, y lo que las preguntas deberían plantearse las siguientes: Planificación y ejecución : Planificación y ejecución La Organización Internacional de Normalización (ISO), ratificado THC BS-7799-1 marco como estándar ISO 17799. Esta nueva norma ISO 17799 contiene numerosos puntos que son idénticas a las normas de los EE.UU. Con tanta atención en el control interno, el paso más importante que una organización puede tomar es la primera, para poner en práctica los controles. Cualquiera de estas mejores prácticas que ya modelos deben aplicarse. Gestión de la Calidad Gestión de Riesgos : Gestión de Riesgos Los riesgos se producen en niveles . Hay riesgos estratégicos, riesgos tácticos, los riesgos operativos y riesgos inherentes. hemos discutido estos definiciones en los capítulos 1 y 2. Ahora veamos una de las fórmulas más comunes de gestión riesgo. El primer paso en la gestión del riesgo consiste en calcular la cantidad de una pérdida por única costaría. Esta fórmula se multiplica un valor de activos (en dólares) por el porcentaje de pérdida para un evento en particular. Por ejemplo, el porcentaje de EEIO de un bolso robado es probable al 100 por ciento. En este ejemplo, la pérdida sería de 100 por ciento del valor de la cartera. La pérdida de datos debido a errores en el ingreso puede ser igual a .007 porcentaje de los costes laborales. Esta primera fórmula se expresa como sigue: De valor de activos (AV) $ x factor de exposición (EF)% = expectativa de pérdida simple (SLE) Planificación y ejecución : Planificación y ejecución Las instalaciones incluyen un documento particular, o los servicios prestados. Los riesgos, o amenazas, podrían ser actos de terror, el fraude maliciosos, la ejecución de un procedimiento inadecuado, robo, o el fracaso de control. La gestión del riesgo opera en una variedad de nivel: Gestión en el nivel estratégico se centra en si seguir adelante con una estrategia particular en un período de años, es una buena idea. Slide 27: El gobierno de TI se basa en la aplicación de políticas formales y normas. Cada norma está respaldada por un procedimiento adaptado. El propósito de gobernanza IT garantizar que los riesgos están adecuadamente gestionados por la mitigación, prevención, o la transferencia.

Related presentations


Other presentations created by escamira

Power Management
26. 11. 2008
0 views

Power Management

Practico 05
18. 05. 2014
0 views

Practico 05

Practico 04
18. 05. 2014
0 views

Practico 04

Practico 03
18. 05. 2014
0 views

Practico 03

Practico 02
18. 05. 2014
0 views

Practico 02

Practico 01
17. 05. 2014
0 views

Practico 01

Practico 201
21. 05. 2014
0 views

Practico 201

Clase 14 01 segundo parcial
02. 06. 2014
0 views

Clase 14 01 segundo parcial

Clase 13 01 practico 202
31. 05. 2014
0 views

Clase 13 01 practico 202

Windows 7 atajo barra
07. 08. 2014
0 views

Windows 7 atajo barra

Apuntes de word
06. 09. 2014
0 views

Apuntes de word

04010 Practico 0401
13. 05. 2015
0 views

04010 Practico 0401

03020 Practico 0302
13. 05. 2015
0 views

03020 Practico 0302

03010 Practico 0301
13. 05. 2015
0 views

03010 Practico 0301

02020 Practico 0202
13. 05. 2015
0 views

02020 Practico 0202

02010 Practico 0201
13. 05. 2015
0 views

02010 Practico 0201

Clase 01 150831 Prueba 01
31. 08. 2015
0 views

Clase 01 150831 Prueba 01

Clase 18 01 -- Examen Final
25. 09. 2015
0 views

Clase 18 01 -- Examen Final