martes, 16 de noviembre de 2010

Catorceava

Entregar y dar soporte
es muy importante ya que es el proceso front-end de los servicios. Hace implementacion de este proceso ITIL, ya que especifica en detalle como se maneja el cuento. Se maneja lo que es la gestion de incidentes. CMDB (configuration management data base) para mantener una buena gestion de la configuracion.

DS1 Definir y administrar los niveles de servicio
DS2 administrar los servicios de terceros
DS3 Adsministrar el desempeño y la capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuracion
DS10 Administrar los problemas: no son triviales, se necesita de un proyecto para resolverlo. Puede ser resolver un bug de un software, asi se debe asignar recursos para solucionar el problema.
DS11 Administrar los datos: mirar todos los repositorios y todo lo q tiene q ver con datos y documentos. Inclusive gestion del conocimiento
DS12 Administrar el ambiente fisico: Gestionar infraestructura de planta, data center, ergonomia, iluminacion, suministro de energia, etc.
DS13 Administrar las operaciones: Se llega a coordinar todo el proceso operativo de los sistemas.

Este dominio tiene toda la gestion del servicio.

Monitorear y Evaluacion:
Tiene q ver con los 4 procesos:
    • Monitorear y evaluar el rendimiento de TI: Medir el desempeño, haciendolas bn y mediante eso tengo q medirlas para poder mejorarlas. Los indicadores de desempeño o rendimiento son muy importantes para poder lograr esto.
    • Monitoreo y Evaluar el control interno: para hacerle seguimiento al seguimiento, verificar que las cosas se hagan, y ademas de eso se hagan bien.
    • Garantizar el cumpliemiento Regulatorio: cumplir con todas las normas, las de ley, y las de facto, q por adicion cumplen y deben ser repetadas.
    • Proporcionar Gobierno de TI: para saber como se esta manejando la parte estrategica de TI, los riesgos, el direccionamiento de las TI, etc.
Publicado por en No hay comentarios:

Treceava

Macroprocesos de COBIT 4.2

Planeacion y Organizacion

Este dominio cubre la estratefia y las tacticas y se refiere a la identificacion de la forma en que la tecnologia de informacion puede contribuir de la mejor manera al logro de los objetivos del negocio. Ademas, la consecucion de la vision estrategica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberan establecerse una organizacion y una infraestructra tecnologicas apropiadas.
  • PO1 Definir un plan estrategico de tecnologia de informacion
  • PO2 definir la arquitectura de la informacion
  • PO3 determinar la direccion tecnologica
  • PO4 Definiri los procesos, la organizacion y las relaciones de TI
  • PO5 Manejar la inversion en tecnologia de la informacion
  • PO6 Comunicar la dirección y aspiraciones de la gerencia (comunicar es la palabra mas importante, Se debe garantizar q las decisiones se pasen a donde se ejecutan)
  • PO7 Administrar Recursos Humanos.(se debe entender por q se maneja personal de sistemas que no es facil de administrar)
  • PO8 administrar calidad. Es concordante con todo el proceso, debe ser simultaneo con todo lo de sistemas.
  • PO9 administrar y evaluar riesgos. Las tecnologias tienen riesgos inherentes, de este modo se deben tomar cartas en el asunto para disminuir el impacto de estos riesgos.
  • PO10 Administrar Proyectos. Todo lo de sistemas debemos manejarlo en proyectos. PMBOK y Prince2.


Adquirir e Implementar

Adquirir hace referencia a obtener. Significa es como obtenemos los sistemas de informacion y los recursos de TI. Implementar es como hacer para q lo adquirido empiece a funcionar.
  • AI1 Identificar soluciones de automatizacion: menor intervencion humana y mirar que se tiene en la empresa para poder automatizar.
  • AI2 Adquirir y mantener software de aplicacion: como obtener el software de aplicacion y
  • AI3 Adquirir y mantener la infraestructura tecnologica: infraestructura tiene q ver con edificios, redes, protocolos, y todo lo relacionado con lo relacionado con TI
  • AI4 Habilitar la operacion y uso: se debe poner al servicio de la organizacion las soluciones dadas por la tecnologia.
  • AI5 Adquirir recursos TI: Como hago para contratar todo, aplicativos, maquinas, personas.
  • AI6 Administrar cambios: Somos por excelencia agentes de cambio
  • AI7 Instalar y acreditar soluciones y cambios: proveer realizar los cambios q hacemos y poder manejar los cambios de una mejor manera.


Entregar y dar Soporte:

Es la combinacion de cobit e ITIL por q se tiene los servicios.
  • DS1 Definir y administrar los niveles de servicio: todo lo q se da en un contrato, para definir qué es lo q se esta ofreciendo.
  • DS2 Administrar los servicios de terceros: cuando se tercerizan servicios
  • DS3 Administrar el desempeño y la capacidad:( rendimiento: uso economico de los recursos, capacidad: responder de acuerdo a las necesidades q tiene)
  • DS4 Garantizar la continuidad del servicio: q no se pare el servicio, tolerantes a fallos, buenos niveles de redundancia..
  • DS5 Garantizar la seguridad de los sistemas.
  • DS6 Indentificar y asignar costos: saber constear TI, los valores de TI.
  • DS7 Educar y entrenar a los usuarios
  • DS8 Administrar la mesa de servicios y los incidentes
  • DS9 Administrar la configuracion
  • DS10 admninistrar los problemas
  • DS11 Administrar los datos
  • DS12 Administrar el ambiente fisico
  • DS13 Adminstrar las operaciones
Publicado por en No hay comentarios:

Doceava

El cobit fue crado por la asociacion para la auditoria y control de sistemas de informacion (ISACA creado en 1967), y el instituto de administracion de las tecnologias de la informacion (ITGI IT). La primera edicion fue publicada en 1996, la segunda edicion en 1998, la tercera adeicion en 2000.

Esta reglado por control interno, y desde el punto de vista de manejo de la empresa se toma el tema de gobierno empresarial. El gobierno de TI se habla de cobit, no es el unico marco de TI que existe, tambien esta uno de la IBM, la norma 38500, y existen aspectos de gobernabilidad muy enfocados, como es ITIL para servicios, CMMI para la calidad, etc. ISO 20000 es la normalizacion de los procesos de TI.

Cobit es muy completo y emvolvente, ademas que se habla de los demas casos de referencia.

Cobit es un marco de referencia para Gobierno de TI, ademas q sirve para hacer auditoria de TI,

Alineamiento estrategico: que las TI deben estar pensadas para cumplir con lo que es el negocio. se este mirando para donde va la empresa.

Entrega de valor: garantizar q en el producto que saca la empresa esta algo adicional que las TI pusieron algo adicional al negocio, aumentando la utilidad o aumento la calidad en el producto.

Gestion del riesgo: para q las vulnerabilidades de riesgo, entre mas seguro menos posibilidad de ganancias, si se es mas arriesgado es mas probable que se pueda ganar utilidad adicional al concervador.

Administracion de recursos: manejar la infraestructura, la gente las aplicaciones, y la informacion.

Admin del rendimiento(desempeño): se hace todo para ser medido, metricas, referenciacion, benchmarking.
Publicado por en No hay comentarios:

Onceava clase

Tecnicas de evaluacion


Examen de comportamiento del sistema: realizar pruebas al sistema, datos, pruebas de implantacion, pruebas piloto(subconjunto del sistema en donde se prueba para saber si se van cumpliendo requisitos), pruebas paralelo(coexistencia con el sistema anterior y el sistema nuevo, para poder dejar el sistema viejo), aproximaciones sucesivas( cuando se trabajo con sistemas en espiral o con prototipado, es para que el sistema final sea bien fundamentado).

Pruebas de aplicativos: es de interes lo qs son las pruebas de escritorio, es ejercer una prueba en la q se hace un proceso manual simulando lo que hace la maquina, ya que se recorre el codigo para verificar si es lo que se debe hacer.

Pruebas de sistema operativo: para saber si esta parametrizado, las variables de estado estan bien establecidas, para evitar fallas de seguridad y rendimiento, ya q son criticas.

Pruebas de encendido del sistema: para saber si se esta arrancando con los parametros al aplictivo en especial

Examenes a las instalaciones de sistemas: para saber si hay condiciones minimas de seguridad, ya que son criticos, como controles de accesos, posibilidad de desastres como inundaciones, que la seguridad de acceso a esos sitios sea controlada para que personas no autorizadas entren.
Inspecciones: se supervisan operaciones
Confirmacion: lo expresado en infiormes(licenciamiento, oportunidad, protecciones)
Comparacion: entre grupos historicos, por areas, manual vs automatico.

Revision documental se ve la documentacion necesaria para el sistema, mmanuales administrativos, instructivos de uso de aplicaciones, de mantenimiento, tecnologias, para operar los sistemas, manuales de metodologias, directrices en el sistema, mirar lo que son los diagramas del sistema si existen, lo que se garantiza es documentar para que cuando se necesite modificar este no hayan problemas, ya que a veces se depende totalmente del sistema, al menos manuales en linea.
  • Actas testimoniales: es donde se recibe todo cuando se recibe, cuando se informa como estan las cosas, como es debido, uya q no se sabe como era el estado de los equipos, y sin registro de ellos, seran responsables por eso que tiene a su cargo. asi que se debe hacer un bien seguimiento y plasmarlo todo para evitar problemas y cosas innecesarias y con fallas.
  • Actas disciplinarias: cuando se hace con fallas totales y quedan evidencias de que es lo que se hizo, entonces de esta manera se garantiza que se haga el debido proceso para hacer las acusaciones que sean del caso.
  • Falta de activo: cuando se puierde algo se debe informar al respectivo responsable ya que se puede ver afectado.
  • Entrega del sistema: se debe hacer un acta con la entrega formal del sistema, en quie modalidad, y como esta.
  • Levantamiento de actas de software no licenciado: es complicado ya que ciertas firmas no estan con el licenciamiento.
  • Alteracion de programas: es cuando se revisan las versiones del software, cuando tienen gran impacto durante el uso de este.
  • Actas de siniestro: cuando se hace el acta en la cual se determina el alcance del siniestro de modo que si se afectan las instalaciones se verifiquen, y para hacer reclamaciones a seguros se hagan efectivos.


Guias de evaluacion/auditoria: instructivo para relacionar lo que se va ahacer en un proceso de auditoria. representa una yda para el seguimiento de una auditoria, en este documento se registra lo que se va a auditar y el metodo, tecnica o procedimiento a seguir. estos elementos a auditar son calificados.

Ponderacion: matrices en las cuales se evaluan un conjunto de factores en donde se les pone un peso y un valor de referencia, luego una zumatoria ponderada para poderse hacer las tomas de decisiones.
  • simulaciones: modelado, graficas, representacion.
  • Evaluacion: gestion, existan los controles que se deban hacer y que se esten cumpliendo, integral, con apoyo del computador, sin apoyo...
  • Diagramas: para obtener info acerca del comportamiento del sistema


Matrices de evaluacion: existen muchas de estas, balance score card, DOFA.
  • Programas de verificacion: estos nos dan un derrotero de cumplimiento para verificar de que se cumplan los criterios establecidos


Lista de verificacion o chequeo(Checklist): son muy interesantes mientras no se abuse de estas, ya que no solo se pueden hacer de esta manera. Sirve para obtener una primera informacion y luego mirar si eso se cumple.
  • Benchmarking: referenciamiento, se utiliza compararse con similares, o el deber ser, o con las especificaciones similares a las mias para saber si hago las cosas bn.


Ejemplo de derrotero de auditoria:
  • Origen de la auditoria: se debe hacer una primera acercamiento a ese objeto de la auditoria.
  • vista preliminar
  • establecer objetivos: es lo que marca el alcance de lo que se va a hacer. Proponer los objetivos.
  • determinar puntos a evaluar. cuales son los puntos á evaluar
  • elaborar planes, presupuestas y programas. Es fundamental la planeacion en auditoria, ademas que los resultados se exigen inmediatos. Ya que aca se pone todo, y de acuerdo a esto se cumple lo prometido.
  • identificar y seleccionar herramientas, metodos, tecnicas y procedimientos. Se sabe que es lo que se va hacer, auditria a bases de datos, controles biometricos, etc
  • asignar los recursos de auditoria y sistemas. no necesariamente con auditores se va hacer todo, sino desarrolladores para poder verificar todo.
  • aplicar auditoria.
  • identificar desviaciones y elaborar borrador de informe.
  • presentar desviaciones a discusion.
  • elaborar borrador final de desviaciones.
  • presentar el informe de auditoria.


Fases de auditoria informatica
  • definicion del alncance
  • recursos y tiempo
  • recompilacion de informacion basica
  • programa de trabajo
  • indentificacion de riesgos potenciales
  • identificacion de controles debiles
  • pruebas y tecnicas a utilizar
  • identificacion de controles alternativos
  • realizacion de pruebas y obtencion de resultados



Publicado por en No hay comentarios:

lunes, 4 de octubre de 2010

Decima Clase

normas auditorias generalmente aceptadas


cualidades generales y conducta:
  • capacitacion adecuada y competencia
  • actitud mental independiente: no dejarse influenciar de nadie, defender su criterio.
  • debido cuidado profesional: ejercer las funciones q le corresponden, se manejen las cosas de una manera etica.


Desempeño de trabajo en el campo de auditoria:
  • planeacion y supervision adecuadas: es fundamental hacer planeacion, es una regla fundamental, antes debe saber q va a hacer, y ademas ir ejecutando lo que se esta haciendo, donde el tiempo es una variable super critica.
  • conocimientos suficiente sobre control interno: saber sobre todos los controles que se deben hacer, para determinar que lo unico q se debe hacer es controlar, velar por que se hagan controles y que funcionen.
  • evidencia competente y suficiente: cualquier comentario del auditor tiene que estar sustentado para que este enmarcado en la verdad, debe estar validado.


Informe de Resultados
  • idoneidad de revelaciones informadas: que haya claridad y confianza en lo que se esta diciendo, que se esten expresando mis hallazgos sobre un perfecto conocimiento para emitir esos conceptos.
  • expresion de opiniones sobre los hallazgos: haga comentarios sobre esos hallazgos, por que se espera que el auditor aporte soluciones a lo q hay, recomendar mas no resolver el problema, por que eso es consultoria.


Origen de la auditoria:
  • solicitud interna (socios, junta, Gerencia)
  • solicitud externa (orden judicial, autoridades fiscales, proveedores, acreedores, inversionistas)
  • Emergencias y condiciones especiales (inundaciones, virus, sabotaje, pirateria)
  • Riesgos y contingencias informaticas (personal, software, hw)
  • como resultado de los planes de contingencia. Para que luego de de incidentes la empresa se mantenga.
  • por resultados de otras auditorias. por eso se dan auditorias integrales para que tenga cabida la multidisciplinariedad.
  • como parte del programa de auditoria general.


Publicado por en No hay comentarios:

Novena Clase

origen de la auditoria

  • solicitud interna(socios, junta, gerencia)
  • solicitud externa( orden judicial, autoridades fiscales, proveedores, acreedores, inversionistas...)
  • emergencias y condiciones especiales (inundaciones, virus, sabotaje, pirateria...)
  • riesos y contingencias informaticas (personal, software, hw)
  • como resultado de los planes de contingencia
  • por resultados de otras auditorias
  • como partes del programa de auditoria integral.


Principio y valores del auditor
  • independencia: su juicio no este influenciado por nadie
  • integridad profesional:
  • obtencion y evaluacion de la evidencia: q cualquier juicio q se emita sea respaldado de una evidencia.
  • etica profesional
  • rango de conocimiento (conocimiento completo, buen conocimiento, conocimiento adecuado)
  • honestidad
  • cumplimiento: cumplir fechas, objetivos y calendario con los recursos que se le asignaron
  • lealtad
  • imparcialidad respeto a los demas.
  • responsabilidad. responder con cumplir todo lo que se asigna, hacer lo prometido.
  • confiabilidad
  • veracidad


Instrumentos


Entrevistas:
procedimiento: inicio apertura, cima o climax, cierre
tipos:
    • libres: con guion pero libertad al entrevistado
    • Dirigida: con guion sin libertad de salirse.
    • exploracion: general, libre
    • Comprobacion: confrontar evaluaciones, verificar resultados de instrumentos
    • informacion: comentar observaciones y resultados, desviaciones
    • Informales: coloquiales (son bastante utiles, cuando se habla en cualquier parte donde se captan buena cantidad de elementos

tipos de preguntas:
abiertas/generales, cerradas/concretas, sondeo (cooperacion),,, cierre, mixtas.

Formas de realizar la entrevista:
      • generales, embudo, concretas
      • cerradas, diamante, cerradas
      • generales reloj de arena cerradas, reloj de arena, generales
      • cerradas, piramide, generales.
      • Cuestionario, formularios:
      • preguntas abiertas.
      • preguntas cerradas: si o no
      • metodo para diseñar y apli car los cuestionarios:
      • determinar objetivo
      • elaborar borrador
      • aplicar prueba piloto
      • determinar el universo y la muestra
      • aplicar el cuestionario
      • tabular la informacion del cuestionario
      • Encuesta:
      • tipos:
      • escritas, verbales, mixtas
      • preguntas: idem cuestionario
      • Observacion:
  • directa: donde esta el auditable se mete y obtiene informacion
  • indirecta: lo hace de alguna manera en donde no necesaria mente esta metida en el ambiente o con el ambiente auditado.
  • oculta: sin ruido, por medio de camaraas, vidrios espejo, ubicaciones estrategicas. (medios tecnologicos legalmente instalados)
  • participativa: meterse en todos los papeles para saber mucho mas desde diferentes perspectivas
  • no participativa: no se es tan activa
  • introspectiva: es pasiva.
  • historica: revisar en los registros, logs, libros, historiales
  • controlada: cambia unos parametros del sistema de como funciona el sistema, pero eso hay q hacerlo lo menos posible.
  • natural: no dirigida, escucha lo q uno no quiere escuchar.


Inventarios:
    • software: uso, respaldo, aprovechamiento, licenciamiento/contratacion
      • informacion y datos: base de datos: copias de respaldo (por ubicacion), software.
    • hardware: contratacion, buen uso, existencia real
    • consumibles: control de existencia y uso
    • documentos:
      • manualesa administrativos: organizacion, procedimientos, procesos.
      • tecnicos: instructivos, aplicativos, diccionarios de datos/objetos, repositorio, estandares, metodologias, politicas, equipos y software
    • inmuebles, instalaciones: activos, inmobiliario, equipamiento
    • personal: personal de sistemas, usuarios, proveedores, asesores/consultores.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)