Gobierno corporativo

LOGO

Gobierno Corporativo

LOGO II-unidad: Contenido

Qué es gobierno corporativo Practicas de monitoreo y aseguramiento para la JD y

la gerencia Estrategia de sistemas de información Políticas y procedimientos Administración del riesgo Ética Plan de Contingencia

LOGO Gobierno Corporativo

¿Qué es?

El Gobierno Corporativo es el sistema por el cual las sociedades son dirigidas y controladas. La estructura del Gobierno Corporativo especifica la distribución de los derechos y responsabilidades entre los diferentes participantes de la sociedad, tales como el directorio, los gerentes, los accionistas y otros agentes económicos que mantengan algún interés en la empresa.

El Gobierno Corporativo también provee la estructura a través de la cual se establecen los objetivos de la empresa, los medios para alcanzar estos objetivos y la forma de hacer un seguimiento a su desempeño.

LOGO ¿Qué es gobierno corporativo?

Son las Reglas y Procedimientos para tomar decisiones en los asuntos corporativos.

Promoción de la justicia corporativa, la transparencia y la rendición de cuentas.

(J. Wolfensohn, President, World Bank)


“Gobierno Corporativo significa hacer todo de una forma más adecuada, con el objetivo de mejorar las relaciones entre la compañía y sus accionistas; mejorar la calidad de los miembros de la Junta Directiva; animar a la administración a pensar a largo plazo; asegurar que la información financiera es apropiada; asegurar que la gerencia es fiscalizada en el mejor interés de los accionistas”.

Vepa Kamesam,Governor, Reserve Bank of India


El gobierno corporativo se define como un comportamientocorporativo ético por parte de los directores u otros encargados delgobierno, para la creación y entrega de los beneficios para todaslas partes interesadas.

“La distribución de derechos y responsabilidades entre los diferentes participantes en la corporación tales como la junta, los gerentes, los accionistas y otras partes interesadas, y explica las reglas y procedimientos para tomar decisiones sobre los asuntos corporativos”

Manual de preparación al examen CISA


¿Por qué es bueno?

El gobierno corporativo comprende diferentes aspectos regulatorios y organizacionales que, en la medida que sean adecuadamente implementados en una empresa, le permitirá a ésta atraer y retener capital financiero y humano, funcionar en forma eficiente y, así, crear valor económico para la corporación y sus accionistas.

Esto es importante porque, en un ámbito cada vez más global, las empresas no sólo compiten en los mercados de consumo o de servicios sino que también compiten por inversión en los mercados de capitales.


¿Qué es un Buen Gobierno Corporativo?

El buen gobierno corporativo es un concepto que está cobrando cada vez más importancia en el ámbito local e internacional debido a su reconocimiento como un valioso medio para alcanzar mercados más confiables y eficientes.

Un gobierno corporativo es bueno cuando protege los derechos de todos sus accionistas y asegura un trato equitativo. Además, cuenta con mejores políticas de directorio, es transparente en la calidad de la información de la empresa, cuenta con una estructura gerencial definida y genera buenas relaciones con el entorno externo e interno (incluyendo a empleados, proveedores, clientes y a la comunidad).

LOGOPracticas de monitoreo y aseguramiento para

la JD y la gerencia

El gobierno de TI es un término incluyente que abarca sistemas de información, tecnología y comunicación; negocios, aspectos legales y otros; y todas las partes interesadas, los directores, la alta gerencia, los propietarios de los procesos, los proveedores de TI, los usuarios y los auditores. El gobierno ayuda a asegurar el alineamiento de TI con los objetivos de la empresa.

LOGOPracticas de monitoreo y aseguramiento para

la JD y la gerencia

El gobierno corporativo efectivo concentra la pericia y experiencia individual y de grupo en áreas especificas, donde ellos puedan ser más efectivos. La Tecnología de información, considerada por mucho tiempo sólo un habilitador de la estrategia de una organización, es ahora considerada como parte integral de esa estrategia.

LOGOPracticas de monitoreo y

aseguramiento para la JD y la gerencia

Los especialistas están de acuerdo en que la concordancia estratégica entre los objetivos de TI y los de la empresa son un factor crítico de éxito.

El gobierno de TI ayuda a alcanzar este factor critico de éxito desplegando de manera eficiente y efectiva información segura, confiable y tecnología aplicada.

LOGOPracticas de monitoreo y

aseguramiento para la JD y la gerencia

Fundamentalmente al gobierno de TI le incumben dos aspectos: que TI entregue valor al negocio y que los riesgos de TI sean administrados.

Impulsado por el alineamiento de TI con el negocio

Impulsado por la integración de la responsabilidad

en la empresa.

LOGO Preguntas

El gobierno de TI asegura que una organización se alinee su estrategia de TI con:

a. Los objetivos de la empresa

b. Los objetivos de TI

c. Los objetivos de auditoria

d. Los objetivos de control

LOGOMejores Practicas para el gobierno de

TI

El gobierno de TI es un conjunto de responsabilidades y practicas usadas por la gerencia de una organización para proveer dirección estratégica; de ese modo, asegurando que las metas sean alcanzables, los riesgos sean debidamente considerados y los recursos organizacionales sean debidamente utilizados.

LOGORol de la auditoria en el gobierno

de TI

La manera de aplicar TI dentro de la empresa tendrá un efecto enorme sobre si la empresa logrará su misión, visión, o metas estratégicas.

Por esta razón, una empresa necesita evaluar su gobierno de TI, ya que se está volviendo una parte cada vez más importante del gobierno total de la empresa.

La auditoria tiene un rol significativo en una implementación exitosa del gobierno de TI dentro de una organización. Su posición le permite recomendar practicas lideres a la alta gerencia para mejorar la calidad y efectividad de las iniciativas de gobierno de TI implementadas.

La auditoria ayuda a asegurar el cumplimiento de las iniciativas de gobierno de TI implementadas dentro de una organización.


de TI

Reportar sobre el gobierno de TI implica auditar al más alto nivel en la organización, y puede cruzar los limites de división, de funciones o departamentos. El auditor debe confirmar que los términos de referencia establezcan:

El alcance del trabajo, incluyendo una clara definición de las áreas y aspectos funcionales que se cubrirán.

El nivel al que se entregara el informe, donde están identificados los temas de gobierno TI al mas alto nivel de la organización.

El derecho de acceso a la información para el auditor de SI.


de TI

De acuerdo con el rol definido del auditor, se necesita evaluar los siguientes aspectos relacionados con el gobierno de TI:

El alineamiento de la función de SI con la misión, la visión, los valores, los objetivos y las estrategias de la organización.

El logro por parte de la función de SI de los objetivos de desempeño establecidos por el negocio.

Los requerimientos legales, ambientales, de calidad de información y de seguridad.

El entorno de control de la organización

Los riesgos inherentes dentro del entorno de SI

LOGO Comité de estrategia de TI

La creación de un comité de estrategia de TI es una mejor practica de la industria. Sin embargo, el comité necesita ampliar su radio de acción para incluir no solo asesoramiento sobre estrategia cuando apoya a la JD en sus responsabilidades de gobierno de TI, sino también concentrarse en el valor de TI, los riesgos y el desempeño.

LOGO Comité de estrategia de TI

Mitiga la falta de comunicación y entendimiento que se establece entre el departamento de TI y el resto de la misma.

El comité de TI es el primer lugar de encuentro dentro de la empresa de los informáticos y sus usuarios.

Permite a los usuarios conocer las necesidades informáticas del conjunto de la organización y no solo las de su área, participando en la fijación de prioridades.

Se evitan acusaciones de favoritismos entre un área y la otra. Se promueve la mejor utilización de los recursos informáticos,

tradicionalmente escasos. La dirección de informática se ha de convertir en el principal impulsor

de la existencia de dicho comité. Debería estar formado por pocas personas y presidido por el director

más alto de la empresa. El director de informática debería actuar como secretario y las grandes

áreas usuarias deberían estar representadas al nivel de sus directores más altos.

El director de auditoria interna debería ser miembro del comité de TI.

LOGO Evolución de COBIT

Gobierno de TI

Cobit 4

2005

Administración

Cobit 3

2000

Control

Cobit 2

1998Auditoria

Cobit 1 1996

COBIT da soporte al gobierno De TI al brindar un marco de Trabajo que garantiza:•Alineación estratégica•Entrega de valor•Administración de recursos•Administración de riegos•Medición del desempeño

LOGO

El gobierno de TI es responsabilidad de la junta directiva y de la gerencia ejecutiva. Las practicas clave del gobierno de TI son: el comité de estrategias de TI, la administración de riesgos y el balanced scorecard de TI (BSC)

LOGO Balance Scorecard de TI

El BSC, es una técnica evaluativa que puede aplicarse al proceso de gobierno de TI para evaluar las funciones y los procesos de TI.

El BSC de TI, va más allá de la evaluación financiera tradicional, complementadola con medidas que conciernen a la satisfacción del cliente (Usuario), procesos internos (operativos) y la capacidad de innovar. Estas medidas adicionales impulsan a la organización hacia el uso óptimo de TI, el cual está alineado con las metas estratégicas de la organización.


Para aplicarlo a TI, se usa una estructura de tres capas para tratar las cuatro perspectivas:

Misión, por ejemplo:• Convertirse en el proveedor preferido de SI.• Entregar aplicaciones y servicios de TI eficientes y efectivos.• Obtener una contribución razonable de las inversiones en TI para el

negocio• Desarrollar oportunidades que respondan a los futuros desafíos.

Estrategias, por ejemplo:• Desarrollar aplicaciones y operaciones superiores• Desarrollar alianzas con los usuarios y mejores servicios para los

clientes• Proveer valor de negocio a los proyectos de TI• Proveer nuevas capacidades de negocio• Entrenar y educar al personal de TI y promover la excelencia.• Proveer soporte para la investigación y el desarrollo.


Medidas, por ejemplo:

• Proveer un conjunto balanceado de medidas para guiar las decisiones de TI orientadas a negocios.

BSC es uno de los medios más efectivos para ayudar al comité de estrategia de TI y a la gerencia a lograr el alineamiento de TI y el negocio. Los objetivos son establecer un vehiculo para la información gerencial a la junta, estimular el consenso entre los interesados clave sobre los objetivos estratégicos de TI, demostrar la efectividad y el valor agregado de TI, y comunicar el desempeño, los riesgos y las capacidades de TI.

LOGO Definir Objetivos

Mejorar y realinear

Medición de logro

Directriz de desempeño

Mantener la reputación

de la empresa y el liderazgo

Asegurar de que los servicios de TI pueden resistir y

recuperarse de los ataques

Detectar y resolver

los accesos e información

no autorizados, aplicaciones

e infraestructura

Comprenderlos requerimientos

De seguridad, Vulnerabilidades

y amenazas

Número de incidentes que

efecten la imagen pública

Número de incidentes que

efecten la imagen pública

Numero de violaciones de

acceso

La frecuencia de la revisión de los tipos de eventos

de seguridad que son

monitoreados

KGI métrica de negocios KPI

KGI métricas de TI KPI

KPI métricas de procesos KGI

Objetivos de negocio Objetivos de TI

Objetivos de Procesos

Objetivos de Actividad

Es medido por Es medido por Es medido por Es medido por

LOGOEstrategia de sistemas de

información

Planeación estratégica Desde el punto de vista de sistemas de información, se

relaciona con la dirección a largo plazo que una organización quiere seguir para apalancar con TI la mejora de sus procesos de negocio. Bajo la responsabilidad de la alta gerencia, los factores a considerar incluyen:

• Identificar soluciones de TI eficientes en costos a fin de enfrentar problemas y oportunidades para la organización y desarrollar planes de acción para identificar y adquirir los recursos que se necesitan.

LOGO Estrategia de sistemas de información

Planeación estratégica

Para desarrollar planes estratégicos, generalmente de tres a cinco años de duración, las organizaciones deben asegurarse de que los mismos estén plenamente acorde, y son consistentes con todas las metas y objetivos de la organización.

Una planeación estratégica efectiva de TI involucra tener en consideración l demanda de TI de la organización y la capacidad de proveer TI.


Planeación estratégica Es importante que el proceso de planificación estratégica

abarque no solo la entrega de nuevos sistemas y tecnología, sino que considere los retornos que se logran de la inversión en TI existente.

En muchas organizaciones el gasto en los sistemas, infraestructura y el soporte, representa

el 85% o más del gasto total anual de TI.


El auditor de SI debe prestar total atención a la importancia de la planeación estratégica de TI, considerando las practicas de control gerencial. Además, que los planes estratégicos de TI estén en sincronización con toda la estrategia de negocio.


Un auditor de TI debe enfocarse en:

La importancia del proceso de planeación estratégica o en el marco de planeacion.

Prestar particular atención a la necesidad de notar los requerimientos de convertir los planes operativos o tácticos de TI desde el negocio y las estrategias de TI, contenidos de planes, requerimientos para actualizar y comunicar planes, y requerimientos de monitoreo y evaluación.

LOGO Pregunta

¿Cuál de lo siguiente estaría incluido en un plan estratégico del negocio?

a. Especificaciones para compras planeadas de hardwareb. Análisis de los objetivos futuros del negocioc. Fechas objetivo para los proyectos de desarrollod. Objetivos presupuestarios anuales para el departamento de SI

LOGO Pregunta

¿Cuál de lo siguiente describe MEJOR un proceso de planeacion estratégica del departamento de TI?

a. El departamento de TI tendrá o bien planes de corto alcance o de largo alcance dependiendo de los planes y objetivos mas amplios de la organización.

b. El plan estratégico del departamento de TI debe estar orientado al tiempo y al proyecto, pero no tan detallado como para resolver y ayudar a que determinadas prioridades satisfagan las necesidades del negocio.

c. La planeacion de largo alcance para el departamento de TI debe reconocer las metas organizacionales, los adelantos tecnológicos y los requerimientos regulatorios.

d. La planeacion de corto alcance para el departamento de TI no necesita estar integrada en los planes de corto alcance de la organización ya que los adelantos tecnológicos impulsaran los planes del departamento de TI mucho mas rápido que los planes organizacionales.

LOGO Políticas y Procedimientos

Reflejan la guía y orientación de la gerencia para desarrollar controles sobre los sistemas de información y recursos relacionados.

Las políticas son documentos de alto nivel. Ellas representan la filosofía corporativa de una organización y el pensamiento estratégico de la alta gerencia y de los dueños de los procesos de negocio. La políticas deben ser claras y concisas para que sean efectivas.

La administración debe crear un ambiente de control positivo, asumiendo la responsabilidad de formular, desarrollar, documentar, promulgar y controlar las políticas que abarcan las metas y las directrices generales.

LOGO Políticas

La gerencia debe emprender las acciones necesarias para asegurar que los empleados afectados por una política especifica reciban una explicación completa de la política y entiendan cual es su propósito. Además, las políticas pueden también aplicarse a terceros y a outsourcers, quienes necesitaran estar vinculados para seguir las políticas.

Las políticas de menor nivel deben ser consistentes con las políticas a nivel corporativo.

La administración debe revisar todas las políticas periódicamente.

Los auditores deben alcanzar un entendimiento de las políticas como parte del proceso de auditoria y comprobar si estas se cumplen.

Los controles de SI deben de fluir de las políticas, y los auditores de SI deben usar las políticas como un punto de referencia para evaluar el cumplimiento.

LOGO Políticas

El costo de un control nunca debe exceder el beneficio que se espera obtener.

La política debe ser aprobada por la alta gerencia. Debe ser documentada y comunicada a todos los empleados y proveedores de servicio, según sea pertinente.

LOGO Documento de política de seguridad

El documento de política debe contener:

Una definición de seguridad de información, sus objetivos generales y su alcance, y la importancia de la seguridad como un mecanismo que permite que se comparta la información.

Una declaración de la intención de la gerencia, soportando las metas y los principios de la seguridad de información en línea con la estrategia y los objetivos del negocio.

Un marco para fijar los objetivos de control y los controles, incluyendo la estructura de la evaluación del riesgo y la administración del riesgo.



Una breve explicación de las políticas de seguridad, los principios, los estándares y los requisitos de cumplimiento de particular importancia para la organización, incluyendo:

• Cumplimiento de los requisitos legislativos, regulatorios y contractuales

• Requisitos de educación entrenamiento y conciencia de la seguridad.

• Administración de la continuidad de negocio.

• Consecuencias de las violaciones de la política de seguridad de información



Una definición de las responsabilidades generales y especificas para la gerencia de seguridad de información, incluyendo reportar incidentes de seguridad de información.

Referencias a la documentación que puede soportar la política, políticas y procedimientos mas detallados de seguridad para sistemas de información o reglas de seguridad especificas que deben ser cumplidos por los usuarios.

LOGO Revisión de la política de seguridad

La política debe ser revisada a intervalos planeados o si ocurrieran cambios significativos, para asegurar que siga siendo apropiada, adecuada y efectiva.

El mantenimiento de la política de seguridad debe tomar en cuenta los resultados de estas revisiones.

LOGO Procedimientos

Son documentos detallados. Deben derivarse de la política madre e implementar el espíritu de la aseveración de la política. Los procedimientos deben ser escritos en una forma clara y concisa, de modo que sean comprendidos fácil y correctamente por todos los que se deben regir por ellos.

Los procedimientos documentan procesos de negocio y los controles integrados en los mismos. Los procedimientos son formulados por la gerencia media como una traducción efectiva de las políticas.

LOGO Procedimientos

Los auditores revisan los procedimientos para identificar, evaluar y después de ello probar los controles sobre los procesos del negocio.

Un procedimiento que no es conocido completamente por el personal que lo tiene que usar, es esencialmente inefectivo.

El revisor debe mantener su independencia en todo momento y no debe ser influenciado por nadie del grupo que está siendo inspeccionado.

LOGO Administración de riesgo

La administración del riesgo es el proceso de identificar las debilidades y las amenazas para los recursos de información utilizados por una organización para lograr los objetivos del negocio, y decidir que contramedidas tomar, si hubiera alguna, para reducir el nivel de riesgo hasta un nivel aceptable basado en el valor del recurso de información para la organización.

La administración efectiva de riesgo comienza con un claro entendimiento del apetito de riesgos de la organización.

La administración de riesgos abarca identificar, analizar, evaluar, tratar, monitorear y comunicar el impacto del riesgo sobre los procesos de TI.


Dependiendo del tipo de riesgo y su importancia para el negocio, la administración y la junta pueden optar por:

Evitar, por ejemplo, donde sea factible, escoger no implementar ciertas actividades o procesos que incurrirían en un riesgo mayor.

Mitigar, por ejemplo, definir e implementar controles para proteger la infraestructura de TI

Transferir, por ejemplo, compartir el riesgo con socios, o transferirlo a cobertura del seguro

Aceptar, es decir, reconocer formalmente la existencia del riesgo y monitorearlo

Eliminar, es decir, donde sea posible, eliminar la fuente del riesgo.


El riesgo puede ser transferido, rechazado, reducido, o evitado.

Transferido-- Compra de seguros Rechazar-- Ignorándolo (peligroso) Reducido-- Implementación o mejora de controles y

procedimientos de seguridad Evitar-- Eliminando el origen del riesgo.

LOGODesarrollo de un programa de

administración del riesgo

Para desarrollar un programa de administración del riesgo:

Establecer el propósito del programa

Asignar responsabilidad para el plan de administración del riesgo

LOGO Proceso de administración de riesgos

Paso 1: Identificación y clasificación de los recursos de información o de los activos que necesitan protección, porque son vulnerables a las amenazas. Ejemplos de activos típicos asociados con la información y con TI:

Información y datos Hardware Software Servicios Documentos Personal

Otros activos de negocio

Edificios, el efectivo, inventario y activos menos tangibles imagen/reputacion

LOGO Proceso de administración de riesgos

Paso 2: Estudiar las amenazas y vulnerabilidades asociadas con el recurso de información y la probabilidad de que ocurran.

• Amenazas es cualquier circunstancia o evento con el potencial de dañar un recurso de información, tales como destrucción, divulgación, modificación de datos. Las clases comunes de amenaza (errores, fraude, robo, falla del equipamiento/software)

• Las amenazas ocurren por causa de las vulnerabilidades. Las vulnerabilidades con características de los recursos de información que pueden ser explotadas por una amenaza para causar daño. (Falta de conocimiento del usuario, falta de conocimiento del usuario, falta de funcionalidad de la seguridad, elección deficiente de contraseñas, tecnología no aprobada)

• El resultado de cualquiera de las amenazas se denomina IMPACTO

LOGO Practicas de gerencia de SI

Las practicas de gerencia de SI reflejan la implementación de políticas y procedimientos desarrollados para diversas actividades gerenciales relacionadas con SI.

Las actividades de la gerencia para revisar las formulaciones de políticas y procedimientos y su efectividad dentro del departamento de SI incluiría practicas tales como:

Administración de personal Contratación (manual de conducta) Administración de cambios de TI (Tercerización)

LOGO Practicas de gerencia de SI

Cada organización que usa los servicios de terceros debe tener unsistema de administración de entrega de servicios para implementar ymantener el nivel apropiado de seguridad de información y entrega deservicio en línea con contratos de entrega de servicios de terceros.

La organización debe verificar la implementación de los contratos,monitorear el cumplimiento de los contratos y administrar los cambiospara asegurar que los servicios entregados satisfagan los requisitosacordados con el tercero.

LOGOEstructura Organizacional y

responsabilidades de SI

Un departamento de sistemas de información está generalmente

estructurado como se muestra en la figura siguiente:



Gerente / director de TI

Seguridad ycalidad

Aplicaciones Data Soporte técnico

Administrador de BD

Operaciones

Administrador de operaciones

Operador decomputadora

Analistas de sistemasProgramadores

Administrador de seguridad

Control de Calidad

Administrador deRedes

Administrador de Sistema operativo

Programadores de Sistemas(sistemas

operativos)



Los cuadros de estructura organizacional u organigramas son

elementos importantes que deben tener todos los empleados, ya que

ellos proveen una definición clara de la jerarquía y autoridad del

departamento.

Las descripciones de los puestos de trabajo brindan a los empleados

del departamento de SI una orientación clara respecto a sus roles y

responsabilidades.



La segregación de funciones evita la posibilidad de que una sola persona pueda ser responsable de funciones diversas y criticas de talforma que pudieran ocurrir errores o apropiaciones indebidas y no serdetectadas oportunamente, en el curso normal de los procesos denegocio.

La segregación de funciones es un importante medio por el cual se pueden prevenir y disuadir actos fraudulentos o maliciosos.



Las funciones que deben ser segregadas incluyen: Custodia de activos Autorización Registro de transacciones

Si no existe segregación podría ocurrir lo siguiente:

Apropiación indebida de activos Estados financieros falsos Documentación inexacta Uso indebido de fondos o la modificación de datos podría pasar

inadvertida.

LOGO Preguntas

¿Cuál de las siguientes tareas pueden ser ejecutadas por la misma persona en un centro de computo de procesamiento de información bien controlado?

a. Administración de seguridad y administración de cambiosb. Operaciones de computo y desarrollo de sistemasc. Desarrollo de sistemas y administración de cambiosd. Desarrollo de sistemas y mantenimiento de sistemas

LOGO Preguntas

¿Cuál de lo siguiente es el control MAS critico sobre la administración de la base de datos?

a. Aprobación de las actividades de DBAb. Segregación de tareasc. Revisión de registros (logs) de acceso y actividadesd. Revisión del uso de las herramientas de la base de datos

LOGOAuditoria de la estructura e

implementación de gobierno de TI Aunque son muchos los aspectos que le preocupan al auditor, algunos de

los indicadores más significativos de los problemas potenciales:

Actitudes desfavorables del usuario final Costos excesivos Presupuesto excedido Proyectos demorados Rotación elevada de personal Personal Inexperto Errores frecuentes de hardware / software Lista excesiva de solicitudes de usuarios en espera Largo tiempo de respuesta de computadora Numerosos proyectos de desarrollo abortados o suspendidos Compras de hardware / software sin soporte o sin autorización. Frecuentes ampliaciones de capacidad de hardware / software Extensos reportes de excepciones Poca motivación Confianza en miembros claves del personal Falta de entrenamiento adecuado

LOGO Revisión de documentación

La siguiente documentación debe ser revisada:

Estrategias, planes y presupuestos de TI Documentación de políticas de seguridad Cuadros organizativos / funcionales Las descripciones de los puestos de trabajo Los reportes del comité de dirección Los procedimientos de desarrollo de sistemas y de cambio de

programas. Procedimientos de operaciones Manuales de recursos humanos Procedimientos de aseguramiento de la calidad

Revisión de compromisos contractuales

Niveles de servicio Penalizaciones por incumplimiento Protección de información

LOGO Estudio de caso

A un auditor de SI se le ha pedido que revise el borrador de un contrato de outsourcing y que recomiende cualquier cambio o señale cualquier preocupación antes de que estos sean presentados a la alta gerencia para su aprobación final. El contrato incluye soporte de Windows y de la administración del servidor UNIX y la administración de redes a un tercero. Los servidores serán reubicados a la instalación del outsourcer que está ubicada en otro país, y se establecerá la conectividad usando la Internet. Se aumentará la capacidad del software del sistema operativo dos veces por año, pero éstos no serán entregados en custodia.

Todas las solicitudes de adición o eliminación de cuentas de usuario serán procesadas dentro de tres días hábiles. El software de detección de intrusos será monitoreado continuamente por el outsourcer y el cliente notificará por email si se detectara cualquier anomalía. Los nuevos empelados contratados dentro de los últimos tres años estuvieron sujetos a verificaciones de antecedentes antes de eso no había políticas establecidas. Está establecida una cláusula de derecho a auditoria pero se requiere un aviso de 24 horas antes de una visita al establecimiento. Si se encontrara que outsourcer esta en violación de cualquiera de los términos o condiciones del contrato, este tendrá 10 días hábiles para corregir la deficiencia. El outsoucer no tiene un auditor de SI. Pero es auditado por una firma regional de contadores públicos.

LOGO Preguntas de caso

¿Cual de los siguientes sería de MAYOR preocupación para el auditor de SI?

a. Los cambios de cuenta de usuario son procesados dentro de 3 días hábiles.

b. Se requiere un aviso con 24 horas de anticipación para una visita al establecimiento.

c. El outsoucer no tiene una función de auditoria de SI.d. El escrow (puesta en custodia) no está incluido en el contrato.

LOGO Preguntas de caso

¿Cual de los siguientes seria el problema MAS significativo para resolver si los servidores contuvieran información de cliente identificable personalmente que es accesado regularmente y actualizado por los usuarios finales?

a. El país en el que el tercerizador o outsourcer está establecido prohíbe el uso de encripción fuerte para los datos transmitidos.

b. El outsourcer limita su responsabilidad si toma medidas razonables para proteger los datos de cliente.

c. El outsourcer no efectuó verificaciones de antecedentes para los empleados contratados hace más de tres años.

d. El software de sistemas solo se actualiza una vez cada seis meses.

Gobierno corporativo

Documents

Transcript of Gobierno corporativo