Areas de Control

1.- Planeacin y Estrategia de los Recursos de Informacin 2.- Operaciones de los Sistemas de Informacin 3.- Relaciones con proveedores externos 4.- Seguridad de la informacin 5.- Planeacin de la continuidad del negocio 6.- Mantenimiento e Implantacin de los Sistemas de Aplicacin 7.- Soporte e Implantacin de la Base de Datos 8.- Soporte a la Red 9.- Soporte al Software de Sistemas 10.- Soporte al Hardware

Planeacin y Estrategia de los Recursos Informticos Objetivos

Las estrategias, los planes y los presupuestos de los sistemas de informacin sean consistentes con las metas estratgicas y de negocios de la compaa Los ambientes de procesamiento de la computadora estn dotados adecuadamente con personal apropiadamente calificado y experimentado El personal dentro de los ambientes de procesamiento de la computadora recibe entrenamiento apropiado Las funciones y responsabilidades del personal del rea se encuentren definidas y que soporten los procesos del negocio

Planeacin y Estrategia de los Recursos Informticos

Riesgos

Proyectos del rea no alineados con los objetivos de la compaa Dificultad de planificar proyectos que involucren tecnologa habilitante. Inversin de Hardware y Software no justificable, de acuerdo a los procesos y proyectos de la compaa Retraso tecnolgico y por lo tanto desarrollo limitado de la Compaa. No contar personal adecuado a las operaciones del rea, debido a la desactualizacin de los mismos en tecnologa

Planeacin y Estrategia de los Recursos Informticos

Comit Informtico Plan estratgico a corto y largo plazo Presupuesto Personal del rea Plan de capacitacin

Planeacin y Estrategia de los Recursos Informticos Actividades de control

Plan estratgico del rea. Presupuesto del ao en curso Lista de proyectos en desarrollo Manual de polticas y procedimientos del rea. Manual de funciones del personal Curriculums del personal del rea Cronograma de entrenamiento del personal y su cumplimiento Funciones y responsabilidades del comit (en caso de existir) Ultimas actas del Comit de Tecnologa

Operaciones de los Sistemas de Informacin

Objetivos

Los sistemas soporten las funciones del negocio mediante un procesamiento eficiente, oportuno, completo, vlido y exacto Los sistemas estn disponibles a medida que sean necesarios para el proceso del negocio Controles implantados cubran las actividades de procesamiento diario de los sistemas del cliente, asegurando la calidad de informacin

Operaciones de los Sistemas de Informacin Riesgos

No ejecucin de procesos claves Ejecutar procesos sin autorizacin o fuera de la hora programada que altere los registros Aplicacin de procedimientos errneos al momento de generar los respaldos o de recuperar la informacin Prdida de cartuchos de respaldo conteniendo informacin de la compaa Retrasos para reprocesar la informacin por la dificultad de identificar los respaldos Prdida de informacin de varios das en el caso de prdida o desperfecto de un cartucho de respaldo

Operaciones de los Sistemas de Informacin

Funciones del rea de Operaciones Bitcora de Operaciones Respaldo de Informacin

Operaciones de los Sistemas de Informacin Actividades de control

Job de operaciones Bitcora de operaciones Manual de polticas y procedimientos del rea Evaluacin del entrenamiento de los operadores Funciones de operadores Porcentaje del disco duro utilizado Configuracin del Sistema Polticas y procedimientos de respaldo y recuperacin de informacin Respaldos internos/ externos Actas de entrega - recepcin de almacenamiento externo

Relaciones con proveedores externos

Objetivos

La seleccin de proveedores externos sea consistente con las intenciones de la gerencia Asegurar que los niveles de servicio de los proveedores externos satisfagan o excedan las expectativas de la gerencia, para el correcto funcionamiento de los procedimientos de la compaa

Relaciones con proveedores externos

Riesgos

No disponer de los equipos o servicios en el tiempo necesario para el desarrollo normal de las operaciones No realizar una evaluacin peridica que permita identificar oportunamente fallas o daos en los equipos No contar con proveedores responsables para los diferentes servicios

Relaciones con proveedores externos

Evaluacin de proveedores Contratos

Relaciones con proveedores externos Actividades de control

Polticas para la aprobacin de proveedores externos Evaluacin y revisin de contratos con los proveedores Documentacin para el anlisis de seleccin de proveedores Revisin de los contratos de mantenimiento de hardware y software Informes elaborados para evaluar los niveles de cumplimiento de los proveedores Procedimientos a seguir en el caso de que los niveles de servicio no se cumplan

Seguridad de la Informacin

Objetivos

Evaluar y asegurar que los sistemas y datos se encuentren protegidos de modificaciones, divulgacin y uso por personas no autorizadas Verificar que slo se procesan transacciones vlidas El software se carga solamente en los sistemas de la computadora de la entidad y/o se usa de acuerdo con los convenios de licencia y la autorizacin de la gerencia

Seguridad Lgica

Riesgos

Dificultad para determinar usuarios que operan en la red y sus respectivos perfiles Manipulacin de los datos o extraccin de informacin confidencial por parte de usuarios no autorizados Accesos no autorizados a las aplicaciones utilizando la clave de otros funcionarios No contar con un seguimiento efectivo de las actividades de los usuarios, a fin de detectar oportunamente posibles violaciones de seguridad Problemas legales por uso de software sin licencia

Seguridad de la Informacin

Polticas de Cuentas Administracin de Cuentas de Usuario

Seguridad Lgica

Procedimientos de Mantenimiento de Accesos Seguridades en Internet Software y Licencias - Administracin y Control (Antivirus)

Seguridad Lgica Actividades de control

Polticas y procedimientos de administracin de usuarios Encriptacin de informacin sensible Listado de usuarios privilegiados que tengan capacidad para modificar los parmetros de seguridad Verificacin de claves de acceso de usuarios Bitcoras de accesos indebidos al sistema operativo y a las aplicaciones Estndares para la definicin de cuentas de usuarios Listado de los usuarios a nivel de: Red, Aplicaciones e Internet Confidencialidad de las contraseas con los usuarios Informes de la bitcoras y pistas de auditora

Seguridad Fsica

Riesgos

Personal ajeno al Centro de Cmputo ingrese al rea de informtica y puedan de forma intencionada o no, alterar las actividades normales de procesamiento o extraer informacin sensitiva para la compaa Sobrecalientan los procesadores, provocando el dao de los equipos o errores de procesamiento por falta de ventilacin Prdidas o daos irreparables en los recursos de informacin al presentarse desastres y no estar preparados

Seguridad de la Informacin

Seguridad Fsica

Acceso al Centro de Cmputo Sistema de Deteccin de Incendios Acondicionamiento del Centro de Cmputo

Seguridad Fsica Actividades de control

Las polticas de acceso al centro de cmputo rea de almacenamiento de los respaldos de informacin, software, etc. (lugar fsico) Ubicacin de los servidores en el centro de cmputo Revisin del cableado estructurado Identificacin de los equipos de proteccin ambiental (detectores de humo, extintores, alarmas, etc) Documentacin soporte de las pruebas a los equipos ambientales

Planeacin de la Continuidad del negocio

Objetivos

Mantener los procesos crticos del negocio en funcionamiento y soportados por las respectivas aplicaciones Contar con procedimientos alternos que soporten algn contratiempo con las aplicaciones de la compaa En el caso de un desastre, los procesos esenciales del negocio y los sistemas de informacin se pueden recuperar oportunamente

Planeacin de la Continuidad del negocio

Riesgos

Comprometer la continuidad de los procesos de negocio Dificultad en las tareas de administracin, control y registro de las operaciones durante el perodo de contingencia Costos excesivos de recuperacin ante la discontinuidad de procesamiento Error en el registro y procesamiento de las transacciones en el perodo de contingencia Duplicidad de trabajo e inconsistencia en la generacin de la informacin procesada Error en el ingreso de la informacin a las aplicaciones una vez reincorporado el sistema

Planeacin de la Continuidad del negocio

Plan de continuidad del negocio Contratos de restauracin del procesamiento Respaldos de informacin Procedimientos alternos Seguros

Planeacin de la Continuidad del negocio Actividades de control

Plan de contingencia del rea de sistemas Funciones y responsabilidades del personal del rea Contratos con proveedores en caso de contar con seguros o restauracin de procesamiento externo Polticas de respaldo Procedimientos de respaldo, recuperacin y retencin de informacin Verificacin fsica de los respaldos Plan de continuidad del negocio de la empresa Procedimientos manuales de los procesos claves Formatos a emplear en caso de no existir sistemas Polticas de seguros

Mantenimiento e implementacin de las aplicaciones Objetivos

Establecer controles que nos ayuden a asegurar que las modificaciones o nuevos programas de sistemas de aplicacin sean ejecutados de la forma deseada por la gerencia Los sistemas implementados soporten en forma adecuada las funciones de negocios Asegurar que las modificaciones a los sistemas se encuentren autorizadas La calidad y seguridad de los sistemas y de su procesamiento se mantiene mediante toda la vida del sistema u operacin

Mantenimiento e implementacin de las aplicaciones Riesgos

Cambios en los programas sin autorizacin No existen responsables asignados para la prueba y autorizacin de los sistemas Accesos no autorizados a la librera de produccin permitiendo posibles alteraciones a los datos de la empresa Ausencia de pistas de auditora que permitan identificar las autorizaciones y motivos de los cambios realizados Posibilidad que existan en produccin programas no autorizados, que alteren los procesos de la compaa y que los usuarios ejecuten las versiones no actualizadas

Mantenimiento e implementacin de las aplicaciones

Requerimientos de Cambios a Programas Ambiente de Desarrollo Pruebas a los Sistemas Transferencias de Programas al Ambiente de Produccin Documentacin Tcnica y de Usuario Control de Pistas de Auditora Implantacin del sistema - Migracin de Datos Metodologa para el Desarrollo de las Aplicaciones

Mantenimiento e implementacin de las aplicaciones Actividades de control

Aplicaciones adquiridas Polticas de personalizacin del software adquirido. Metodologa para la implementacin de aplicaciones. Informes emitidos para la compra de software. Contratos para la adquisicin de software. Identificar responsabilidades externas e internas. Documentacin de los requerimientos iniciales de usuarios. Desarrollo Interno Participacin de los usuarios durante el proceso de conversin de los sistemas Formatos para requerimientos de cambios de programas, autorizaciones. Pruebas realizadas a los cambios de programas

Soporte e Implantacin a la Base de Datos

Objetivos

La estructura de la informacin de la entidad es consistente con las intenciones de la gerencia La estructura de la informacin, como se define en el sistema administrador de la base de datos (o su equivalente) se implementa y funciona consistente con los procesos Todas las modificaciones necesarias a la estructura de informacin existente se implementan oportunamente Todas las modificaciones a la estructura de informacin existente son vlidas y no alteran los procedimientos de la compaa

Soporte e Implantacin a la Base de Datos

Riesgos

Imposibilidad de detectar e identificar posibles modificaciones o eliminaciones de registros sin autorizacin y conocimientos de la Gerencia, alterando los datos de la compaa No detectar oportunamente accesos indebidos o posibles violaciones de seguridad en el acceso a la base de datos Ausencia de pistas de auditora para evaluar la validez de la transaccin, debido a posibles manipulaciones de la base de datos

Soporte e Implantacin a la Base de Datos

Administracin de la Base de Datos Auditora de la Base de Datos Acceso a la Base de Datos Diccionario de datos - Estndares

Soporte e Implantacin a la Base de Datos Actividades de control

Monitoreo del desempeo de la base de datos. Las rdenes de modificacin a la estructura de la base de datos. Solicitudes de cambios a la informacin. Identificar niveles de aprobacin. Permisos a nivel de base de datos (consulta, actualizacin, creacin, eliminacin de registros) Identificar las bases de datos a las que tienen acceso los analistas y desarrolladores de aplicaciones. Cumplimiento de estndares de codificacin definidos en el diccionario de datos.

Soporte a la Red

Objetivos

El software de la red y las comunicaciones se implemente apropiadamente y funcione consistente con las intenciones de la gerencia Todas las modificaciones necesarias al software existente de la red y las comunicaciones se implementan oportunamente Contar con una adecuada administracin de los usuarios de la red y sus respectivas autorizaciones

Soporte a la Red

Riesgos

Degradacin en el rendimiento de los sistemas originados por el trfico en la red y que pueda afectar el normal desenvolvimiento de los procesos Accesos no autorizados a informacin sensible sin que se detecten oportunamente.

Soporte a la Red

Evaluacin y monitoreo de la red Autentificacin de accesos

Soporte a la Red Actividades de control

Diagrama de Configuracin de Red (de ser posible en disco) Polticas y procedimientos para el mantenimiento y soporte del software de comunicaciones y de red Polticas y procedimiento de mantenimiento y soporte de la red Polticas y procedimientos para la restauracin del ambiente original en caso de presentarse alguna contingencia Listado de usuarios de la red Bitcoras de cambios realizados

Soporte al Software

Objetivos

La seleccin del software de sistemas sea adecuado y facilite los planes de crecimiento y/o proporcionar a la gerencia herramientas ms efectivas para monitorear el desempeo de los sistemas de aplicacin. La adquisicin de dicho software sea consecuente con las intenciones de la gerencia Las modificaciones al software existente de los sistemas se implementan apropiadamente y el software modificado de los sistemas es confiable

Soporte al Software

Riesgos

Que la compaa paralice sus operaciones al no contar con el soporte adecuado en el caso de presentarse problemas en el software base Errores en el procesamiento por cambios en el sofware y que no puedan ser identificados brevemente

Soporte al Software
Soporte y Mantenimiento del Software Base

Monitoreo del Software Base

Soporte al Software Actividades de control

Listado de configuracin de parmetros de control del software de sistemas Documentacin de las pruebas realizadas Procedimientos para la implantacin de modificaciones al software del sistema Procedimientos de respaldo y restauracin del software base Documentacin para el software de sistemas. Capacitacin del personal responsable de la ejecucin de actividades relacionadas con el mantenimiento y soporte

Soporte al Hardware

Objetivos

Los procedimientos para la compra y mantenimiento del hardware se cumpla de acuerdo a lo establecido y sea coherente con los planes de estratgicos de sistemas de la entidad El hardware adquirido sea adecuado y se comunique de manera eficiente con la plataforma existente y soporte los procesos de la compaa

Soporte al Hardware

Riesgos

Desconocimiento de los activos que posee la empresa y las ubicaciones actuales, as como los vencimientos de garantas de los equipos adquiridos. Paralizacin de las actividades por cadas de servidores, equipos de comunicaciones y equipos personales Deficiencia en el control de los equipos computacionales que se encuentran asegurados y posibles prdidas econmicas en caso de que exista un contingente con algn equipo no asegurado Incumplimiento del contrato de leasing por parte de la Compaa que est obligada a asegurar los equipos arrendados.

Soporte al Hardware

Inventario de Equipos - Estndares Mantenimiento de Equipos (contratos) Pliza de Seguros

Soporte al Hardware Actividades de control

Inventario de hardware Contratos de mantenimiento La arquitectura acorde a los sistemas de la empresa Escabilidad de los equipos Rendimiento actual de la plataforma Pliza de seguros, contra el inventario de equipos. En caso de requerirse verificar listado de equipos que debe anexarse en la pliza

ORGANIGRAMA POSICIONAL
Gerente General

Director de Tecnologa

Gerente de Sistemas e Informtica

Jefe de Organizacin y Mtodos

Jefe de Procesamiento de Datos

Jefe de Anlisis y Desarrollo

Jefe de Telecomunicaciones

Ingeniero de Mantenimiento

Administrador de Red

AMBIENTE DE DESARROLLO

AMBIENTE DE PRODUCCION
PROGRAMAS OBJETOS (EJECUTABLES)

PROGRAMAS FUENTES

Compilacin
USUARIOS