Download - Casiti2010 Gt08 Ap1 Vo1

UNIVERSIDAD TECNOLOGIA NACIONAL

Facultad Regional Córdoba

CASITI2010: Consultoria en Auditoría de SI/TI

Curso: 5K2 Grupo: 8 Año: 2010

Actividad Práctica N°1: “JAYHAWK MEDICAL SUPPLY

INC.”

Profesores: Antonelli Matterson, Horacio E.

Cuevas, Juan Carlos

Gimenez Zens, Ines Luz

Spesso, Aldo Jorge

Alumnos: Jornet, Paola Andrea Leg. 50208

Juncos, Marcos Leg. 46927

González Márquez, Verónica Leg. 48076

Grgich, Martín Leg.49218

López, Cristian Jesús Leg. 50362

CASITI2010-Consultaría en Auditoria de SI/TI - CASO: JAYHAWK MEDICAL SUPPLY INC.”

2

Tabla de contenidos

Introducción...................................................................................................................... 5

Problemática ................................................................................................................. 5

Soluciomática ............................................................................................................... 5

Sistema de Gestión de Base de Datos (DBMS)................................................................ 6

AI6.1: Estándares y Procedimientos para Cambios ................................................. 6

AI6.2 Evaluación del impacto, Priorización y Autorización........................................ 8

AI6.3: Cambio de Emergencia .................................................................................... 9

AI6.4: Seguimiento y Reporte del Estatus de Cambio............................................ 11

AI6.5: Cierre y Documentación del Cambio ............................................................ 12

AI7.1: Entrenamiento ............................................................................................... 13

AI7.5: Conversión de sistemas y datos.................................................................... 15

AI7.7: Prueba de aceptación final ............................................................................ 16

AI7.9: Revisión Posterior a la Implantación .............................................................. 17

DS5.3: Administración de Identidad .......................................................................... 19

Sistema de Gestión de Relaciones con los clientes (CRMS) ......................................... 20

AI6.1: Estándares y Procedimientos para Cambios ............................................... 20

AI6.2: Valoración del impacto, Priorización y Autorización...................................... 22

AI6.3: Cambio de Emergencia .................................................................................. 23







3


Sistema de Gestión de Cadena de Abastecimiento (SCMS) .......................................... 33


AI6.2:Valoración del impacto, Priorización y Autorización....................................... 35



AI7.1:Entrenamiento ................................................................................................ 39




Sistema de Gestión de Recursos Humanos / Contabilidad............................................. 45


AI6.2: Valoración del impacto, Priorización y Autorización...................................... 47





AI7.7 Prueba de aceptación final ............................................................................. 55



Aplicaciones de Inteligencia de Negocios...................................................................... 59


AI6.2 Valoración del impacto, Priorización y Autorización....................................... 62




4






Conclusión...................................................................................................................... 72

Bibliografía..................................................................................................................... 73


5

Introducción

Problemática

Jayhawk Medical Suply SA (JMS) es una organización que se dedica a la venta de una línea de equipo durable y suministros desechables para hospitales, clínicas y oficinas de los doctores. Su línea de productos se extiende desde depresores de la lengua y aplicadores para máquinas de rayos X y equipos de resonancia magnética.

La institución desea invertir en tecnología adquiriendo una serie de sistemas informáticos para así brindar un mejor servicio a sus clientes como también mejorar su operativa.

Estos subsistemas no son desarrollados internamente, por lo cual se ha realizado una auditoria sobre dichos sistemas adquiridos.

Se debe identificar controles críticos de cambio de sistema que necesitan ser probados para suplir evidencia para evaluar la efectividad operativa por lo tanto se debe diseñar un programa de pruebas de auditoria.

Soluciomática

Se leyó y estudió cabalmente cada uno de los documentos sugeridos por la cátedra, y se procedió a analizar los controles críticos y pruebas a la auditoria realizada.

Para llevar a cabo el diseño de las pruebas tuvimos que analizar las características de los subsistemas como su funcionalidad integral, su alineación con los requerimientos de la organización.

Teniendo en cuenta este análisis hemos evaluado las prácticas de control y pasos de aseguramiento descriptos en COBIT para así distinguir y detectar cuales de ellos son los que se aplican de una mejor manera a los subsistemas adquiridos y analizando el impacto que estos tienen en los objetivos de la organización.


6

Sistema de Gestión de Base de Datos (DBMS)

AI6.1: Estándares y Procedimientos para Cambios - Establecer procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales.

Prácticas de Control

Pasos de Aseguramiento

1. Desarrollar, documentar y difundir un marco de gestión del cambio que especifique las políticas y procesos, incluyendo:

• Funciones y responsabilidades

• Clasificación y priorización de todos los cambios basados en riesgos del negocio

• Evaluación de impacto

• Autorización y aprobación de todos los cambios por parte de los dueños de los procesos del negocio y TI

• Seguimiento y estado de los cambios

• Impacto sobre la integridad de los datos (por ejemplo, todos los cambios a los datos de los archivos hechos en el sistema y control de aplicaciones en lugar de la intervención directa del usuario).

• Revisar el marco de gestión del cambio para determinar si en este se incluye:

• -La definición de funciones y responsabilidades

• Clasificación (por ejemplo, entre infraestructura y software de aplicación) y la priorización de todos los cambios

• Evaluación del impacto, procedimiento para la autorización y aprobación

• Seguimiento de los cambios

• Mecanismo de control de versiones

• Impacto sobre la integridad de los datos (por ejemplo, todos los cambios en los archivos de datos se realizan a través del sistema o aplicaciones de


7

control y no mediante la intervención directa del usuario)

• Gestión del cambio desde el inicio hasta la revisión y cierre de ese cambio.

• Definición de los procedimientos de reversión (deshacer un cambio)

• Utilización de un proceso de "cambios de emergencia"

• Planificación de la continuidad del Negocio

• Utilización de un sistema de gestión de registros

• Evidencias de Auditoría

• Segregación de funciones

2 Considere el impacto que tienen los proveedores de servicios contratados (por ejemplo, tercerización de infraestructuras, desarrollo de aplicaciones y servicios compartidos) sobre el proceso de gestión de cambios. Considere la posibilidad de integrar la gestión de cambios de la organización con los procesos de gestión de cambio de los prestadores de servicios. Considere el impacto que tiene el proceso de gestión de cambios organizacional, en las condiciones contractuales y los acuerdos de nivel de servicio (SLAs).

• Pregunte si y confirme que los procesos y procedimientos para los proveedores de servicios contratados (por ejemplo, infraestructura, desarrollo de aplicaciones, proveedores de servicios de aplicaciones, servicios compartidos) están incluidos en el proceso de gestión de cambios.

• Determinar si el proceso y los procedimientos incluyen los términos contractuales y los SLA. (Niveles de Acuerdo de Servicio)


8

Consideramos que es muy importante aplicar este control crítico al DBMS ya que todo cambio

que sea introducido en la BD debe ser realizado dentro de un marco de gestión de cambios para

que dicho cambio sea más controlado. Es decir, definir quien va a ser el responsable, evaluar el

impacto que puede ocasionar, que sea aprobado por la gerencia, etc. Esto es importante de

realizar ya que el DBMS juega un papel muy importante en el SIE.

También es importante determinar cual es el papel del proveedor a la hora de implementar dicho

cambio, ya que el DBMS es provisto por un Proveedor de servicios. Por lo tanto hay que

determinar los Niveles de acuerdo de Servicio.

AI6.2 Evaluación del impacto, Priorización y Autorización – Garantizar que todas las

solicitudes de cambio se evalúan de una manera estructurada en cuanto a impactos en el

sistema operacional y su funcionalidad. Esta evaluación deberá incluir categorización y

priorización de los cambios. Previo al a migración hacia producción, los interesados

correspondientes autorizan los cambios.



1. Desarrollar un proceso que permita a

los propietarios de procesos de negocio

e IT a solicitar cambios en la

infraestructura, sistemas o

aplicaciones. Desarrollar controles

para asegurar que todos estos cambios

sólo se dan a través de la solicitud del

proceso de cambio de gestión.

• Aceptar propuestas de cambio solo si

previamente se encuentran definidas

formalmente, de manera detallada y

explicita.

2 Evaluar a todas las solicitudes de

manera estructurada. Garantizar que el

proceso de evaluación aborda el

análisis de impacto en la

infraestructura, sistemas y

aplicaciones. Considerar la seguridad,

legales, contractuales y el

cumplimiento de las implicaciones del

cambio solicitado. Considerar también

• Mostrar y confirmar que las

solicitudes de cambio se evalúan y se

documentan en un método

estructurado que aborda el análisis

del impacto en la infraestructura,

sistemas y aplicaciones

• Analizar las solicitudes en base a

normativas, estándares vigentes que


9

las interdependencias entre los

cambios. Involucrar a los propietarios

de procesos de negocio en proceso de

evaluación.

contribuyan a comprender si se

cumple con los marcos de trabajo

implementados por las empresas

• Mostrar y confirmar que la seguridad,

legales, contractuales y aplicaciones

de cumplimiento se consideran en el

proceso de evaluación para el cambio

solicitado y que los dueños de

negocios están involucrados

3 Asegúrese de que cada cambio sea

aprobado formalmente por los

propietarios de procesos de negocio y

técnicos involucrados de TI ,que sean

pertinentes

• Mostrar y confirmar que cada

cambio solicitado sea aprobado

oficialmente por los dueños de los

procesos de negocio.

• Solo implementar cambios aprobados

que previamente han sido analizados

en base a sus características,

viabilidad y usabilidad.

Al ser el DBMS un software muy específico, dedicado a servir de interfaz entre la base de datos,

el usuario y las aplicaciones que la utilizan, es fundamental definir con claridad los cambios

que se plantean., la viabilidad de dichos cambios debe ser analizada y tener especial atención si

los mismos son necesarios para el negocio.

Cualquier cambio debe ser avalado por la normativa vigente empleada contemplando todos los

aspectos de integridad, seguridad necesarios.

AI6.3: Cambio de Emergencia – Establecer un proceso para definir, plantear, evaluar y

autorizar los cambio de emergencia que no siga el proceso de cambio establecido. La

documentación y la prueba se realizaran, posiblemente, después de la implantación del

cambio de emergencia.




10

1. Asegúrese de que existe un proceso

documentado dentro del proceso de

gestión del cambio global para

declarar, evaluar, autorizar y registrar

un cambio de emergencia

2 Asegúrese de que los cambios de

emergencia se procesan de acuerdo

con el elemento de cambio de

emergencia del proceso de gestión del

cambio formal

3 Asegúrese de que todos los acuerdos

de acceso de emergencia para los

cambios estén debidamente

autorizados, documentados y

aprobados después de que el cambio se

ha aplicado.

4 Llevar a cabo un estudio de

seguimiento de todos los cambios de

emergencia, entre todas las partes

interesadas. La revisión debería

considerar las implicaciones para

aspectos como el posterior

mantenimiento del sistema de

aplicación, el impacto sobre el

desarrollo y entornos de prueba,

calidad de las aplicaciones de

desarrollo de software, documentación

y manuales, y la integridad de datos.

• Pregunte y confirme que existe un

proceso establecido para que los

solicitantes e interesados para realizar

el seguimiento del estado de las

solicitudes en las distintas etapas del

cambio gestión de procesos.

• Preguntar y confirmar que el sistema

de seguimiento y presentación de

informes supervisa el estado de las

solicitudes de cambio (por ejemplo,

rechazados, aprobados pero no

iniciados, aprobado y en proceso).

• Preguntar y confirmar que la gestión

revisa y controla el estado detallado

de los cambios y el estado general

(por ejemplo, el análisis por

antigüedad de los pedidos de

cambios).

•

Preguntar y confirmar que los

cambios aprobados son abiertos y

cerrados en el momento oportuno,

dependiendo de la prioridad.


11

Incorporamos este control crítico al DBMS ya que en el caso de que se caiga la BD o que ocurra

algún problema que impida que se pueda acceder a la BD, deberíamos poder solucionar dicho

problema a la brevedad ya que el SIE necesita constantemente recolectar y actualizar datos en la

BD. Por lo tanto incorporamos este control critico que nos permite realizar cambios urgentes,

pero manteniendo cierto gestión de cambio o procedimientos.

AI6.4: Seguimiento y Reporte del Estatus de Cambio - Establecer un sistema de

seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los

interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los

procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas

fundamentales.



1

Categorice las solicitudes de cambio

en el proceso de seguimiento (por

ejemplo, ha sido rechazada, aprobado

pero aún no iniciados, aprobados y en

proceso, y cerrado).

• Verificar, y confirmar que el sistema






2

Implementar informes sobre la

situación de los cambios con los

parámetros de rendimiento para

permitir un examen de gestión y

control tanto de la situación detallada

de los cambios y el estado general (por

ejemplo, el análisis por antigüedad de

los pedidos de cambios). Asegúrese de

que los informes de estado forman una

pista de auditoría para que los cambios

posteriormente puedan ser rastreados

desde su creación hasta la disposición

• Verificar, y confirmar que la gestión





cambios).


12

final.

Es importante establecer una categorización de las solicitudes de cambio para poder realizar un

seguimiento de las mismas y tener conocimiento del estado actual en que se encuentren.

Además, contar con un informe sobre la situación de los cambios permitirá tener estadísticas

importantes sobre los mismos como así también poder hacer un rastreo en su ciclo de vida.

Consideramos que es muy importante aplicar este control crítico al DBMS ya que todo cambio

que sea introducido en la BD debe ser realizado dentro de un marco de gestión de cambios para

que dicho cambio sea más controlado

Este es un control importante para poder Gestionar los Cambios y se aplicara a todos los

subsistemas que forman parte de SIE.

AI6.5: Cierre y Documentación del Cambio - Siempre que se implantan cambios al sistema,

actualizar el sistema asociado y la documentación de usuario y procedimientos

correspondientes. Establecer un proceso de revisión para garantizar la implantación completa

de los cambios.



1

Asegúrese de que la documentación,

incluyendo los procedimientos

operativos, la información de

configuración, documentación de la

aplicación, pantallas de ayuda y

materiales de capacitación-sigue el

procedimiento de gestión del cambio

mismo y se considera una parte integral

del cambio.

• Verificar, y confirmar que la

documentación de cambio (por ejemplo,

los procedimientos operativos, la

información de configuración,

documentación de la solicitud, pantallas

de ayuda, materiales de capacitación) es

hasta la fecha.

2

Actualizar los procesos de negocio para

los cambios en el hardware o software,

para asegurar que la funcionalidad nueva


documentación de procesos de negocio

se actualiza por los cambios


13

o mejorada se utiliza. implementados en hardware o software

Es muy importante aplicar este control sobre el Sistema de Gestión de Base de Datos, ya que la

gestión del cambio debe corresponderse con la actualización de los sistemas y documentación

asociados para mantener la integridad y consistencia del mismo sabiendo la importancia que

este tipo de sistemas tiene para la empresa.

Así mismo, debe mantenerse el sistema actualizado para poder utilizar las nuevas

funcionalidades y mejoras del sistema.

Este control es de vital importancia para mantener el sistema SIE completamente integro y

consistente, ya que actualiza los cambios efectuados en cualquier modulo a todos los sistemas y

documentación asociada. Por este motivo se aplicara a todos los subsistemas.

AI7.1: Entrenamiento—Entrenar al personal de los departamentos afectados y al grupo

de operaciones encargado de TI, de acuerdo con el plan de entrenamiento e

implementación definido y sus materiales asociados, como parte de cada desarrollo de

sistema de información, implementación o modificación de un proyecto.



1 Confirme que exista un proceso para

asegurar que el plan de entrenamiento

se ejecuta satisfactoriamente.

Complete la documentación detallando

cómo se cumple el plan de formación.

Algunos ejemplos de información

crucial son: la lista de los miembros

del equipo invitados a asistir a la

capacitación, los asistentes, las

evaluaciones de logro de los objetivos

de aprendizaje y un apartado con

opiniones/encuestas.

• Definir detalladamente las

características del plan de

capacitación

• Verificar que el plan de capacitación

implementado satisface las

necesidades de conocimientos

requeridas por el áreas SI/Ti para

lograr los objetivos del negocio

• Pregunte si y confirme que (por

ejemplo, a través de entrevistas con

miembros clave del personal o a

través de la inspección del plan del

proyecto) que el plan de

entrenamiento identifica y abarca a


14

los grupos afectados grupos (por

ejemplo, los usuarios finales, las

operaciones de TI, soporte y

capacitación para el desarrollo de

aplicaciones de TI, proveedores de

servicios).

• Inspeccione la documentación de

capacitación para determinar el

cumplimiento con el plan de

formación (por ejemplo, la lista de

los miembros del equipo invitados a

los entrenamientos, lista de

participantes efectivos, formularios

de evaluación para el logro de los

objetivos de aprendizaje,

retroalimentación etc.).

2 Monitoree el entrenamiento para

obtener información que podría

conducir a posibles mejoras tanto en la

formación como en el sistema.

•

• Pregunte si y confirme que existe

un proceso para verificar el

cumplimiento del plan de

entrenamiento.

• Pregunte si y confirme que hay

un proceso de control del

entrenamiento, para obtener

retroalimentación que podría

conducir a posibles mejoras en el

sistema.

Monitorear todos los cambios

planificados, para garantizar que las

necesidades de entrenamiento han sido

consideradas y que se crearon los

planes adecuados. Considere la

• Pregunte si y confirme que los

cambios planificados son

monitoreados, para asegurar que

las necesidades de formación se


15

posibilidad de retrasar el cambio si el

entrenamiento no se ha realizado y la

falta de formación pone en peligro la

aplicación del cambio.

consideran adecuadas y los

planes adecuados son creados.

El manejo el manejo de DBMS requiere una capacitación adecuada que entrene al personal

involucrado de forma efectiva y eficaz. Una previa organización es indispensable para definir

los temas que deberán ser tratados, quienes serán los involucrados y la forma de entrenamiento

que se brindara.

AI7.5: Conversión de sistemas y datos - Plan de conversión de datos y migración de

infraestructuras como parte de los métodos de desarrollo de la organización, incluyendo

pistas de auditoría, respaldo y vuelta atrás.



1. Definir un plan conversión de datos y

un plan de migración de la

infraestructura. Consideramos, por

ejemplo, el hardware, redes, sistemas

operativos, software, datos de

transacción, archivos principales,

respaldos y archivos, interfaces con

otros sistemas (tanto internos como

externos), procedimientos, y

documentación del sistema en el

desarrollo del plan.

2 Confirmar que el plan de conversión

de datos no requiere cambios en los

valores de datos a menos que sea

absolutamente necesario por razones

de negocios. Documentar los cambios

realizados a los valores de datos, y la

aprobación segura del proceso de

negocio de datos originarios.

• Confirmar a las entrevistas con

miembros de la administración

cruciales o inspección de políticas y

procedimientos. La conversión de

datos y esos planes de mitigación de

infraestructura existen, y consideran

lo siguiente: El hardware, las redes,

los sistemas operativos, el software,

los datos de transacción, los archivos

principales, los respaldos y los

archivos, las interfaces con otros

sistemas internos y externos,

procedimientos, documentación de

sistema, etc.


16

3 Considerar en tiempo real de

recuperación de desastres, la

planificación de continuidad del

negocio, y la reversión en la

conversión de datos y plan de

migración de infraestructura en la

gestión del riesgo, las necesidades del

negocio, o reglamentario, o exigir el

cumplimiento de los requisitos.

6 Asegurar de que hay una copia de

seguridad de todo el sistema y los

datos obtenidos en el punto anterior de

la conversión, las pistas de auditoría se

mantienen para permitir la conversión

a un seguimiento posterior, y hay una

emergencia y un plan de recuperación

en caso de que la conversión falla.

Asegurar de que la retención de datos

de backup y archivados se ajustan a las

necesidades empresariales y de

reglamentación o los requisitos de

cumplimiento.

Consideramos que es muy importante aplicar este control crítico al DBMS porque es de suma

importancia contar con un sistema robusto de copias de seguridad, sobretodo para aquellos

datos de mayor importancia. Los sistemas pueden convertirse por múltiples motivos, entre otros

que nos parece importante nombrar son: Necesidad de cumplir con nuevos requerimientos de

información, porque nuevas aplicaciones, por ejemplo en tiempo real, requieren tiempos de

acceso inmediatos, necesidad de disponer de base de datos más potentes y seguras (ejemplo,

Oracle, arquitectura Cliente-Servidor.

El proceso de conversión de aplicaciones debe planificarse, estimarse los recursos necesarios y

llevar a cabo un liderazgo adecuado del proyecto, para minimizar el riesgo de que los plazos se

prolonguen más allá de lo estimado.

AI7.7: Prueba de aceptación final - Asegurar que los dueños de proceso de negocio y


17

los interesados de TI evalúan los resultados de los procesos de pruebas como determina el

plan de pruebas. Remediar los errores significativos identificados en el proceso de prueba,

habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y

cualquier prueba de regresión necesaria. Siguiendo la evaluación, aprobación de la

promoción a la producción.



1 Asegurar de que el ámbito de

actividades de aceptación final de

evaluación abarca todos los

componentes del sistema de

información (por ejemplo, software de

aplicaciones, instalaciones, tecnología,

procedimientos de los usuarios, los

procedimientos de operación,

seguimiento y apoyo).

2 Asegurar de que el registro de

categorías de errores detectados en el

proceso de prueba ha sido abordada

por el equipo de desarrollo. Asegurar

de que la causa de los errores ha sido

remediadas (por ejemplo, mediante

cambios apropiados a la aplicación o la

configuración o la solución y / o

corrección de retraso cuando el error es

menor).

• Confirmar que los principales

interesados son considerados en las

actividades de prueba de aceptación

final.

• Preguntar y confirmar que los

criterios de éxito son identificados en

el plan de pruebas en las etapas de

recepción definitiva.

Consideramos aplicar este control crítico al DBMS porque además de los típicos análisis de

vulnerabilidades, es conveniente definir y simular una serie de patrones de posibles ataques

sobre nuestra infraestructura contra los que nos podríamos enfrentar, y conocer si estamos

preparados antes ellos, para su monitorización, detección de errores, respuesta y actuación.

AI7.9: Revisión Posterior a la Implantación - Establecer procedimientos en línea con los


18

estándares de gestión de cambios organizacionales para requerir una revisión posterior a

la implantación como conjunto de salida en el plan de implementación.



1 Establecer procedimientos para

asegurar que las revisiones post

implementación identifican, evalúan y

reportan en la extensión para la cual:

• los requisitos comerciales han sido

encontrados

• Esperar que los beneficios

esperados hayan sido alcanzados

• El sistema es considerado usable

• Las expectativas internas y externas

de tenedores de apuestas son

encontradas

• Los impactos inesperados en la

organización han ocurrido

• Los riesgos clave son mitigados

• La gerencia de cambio, instalación y

los procesos de la acreditación fueron

realizados efectivamente y

eficazmente.

2 Consultar a los dueños comerciales de

proceso y gerencia técnica de

tecnología de la información en la

elección de métrica para la medida de

éxito y logro de requisitos y

beneficios.

3 Considerar requisitos para la revisión

de post implementación surgiendo de

negocio exterior y tecnología de la

información (por ejemplo la de

auditoría, la de empresa la de

Confirmar a través de las entrevistas con los

miembros claves del staff que los

procedimientos de post implementación han

sido establecidos.

• Confirmar a través de las entrevistas

con los miembros clave del staff que

los dueños comerciales de proceso y

la tecnología de la información la

gerencia técnica están involucrados

en la selección de métrica para medir

éxito y el logro de requisitos y

beneficios.



la forma de la revisión de post

implementación está de conformidad

con el proceso administrativo de

cambio y que los dueños comerciales

de proceso y las terceras partes están

involucrados, según el caso.


19

administración de riesgos, y la

reguladora y la conformidad).

Consideramos que se deben aplicar dichas Prácticas de control y pasos de aseguramiento al

DBMS debido a que se debe evaluar el desempeño, performance y seguridad del sistema una

vez implementado, tomando métricas y luego analizándolas evaluando si se cumple con los

requisitos esperados.

DS5.3: Administración de Identidad - Asegurar que todos los usuarios (internos,

externos y temporales) y su actividad en sistemas de TI (aplicación de negocio, entorno de

TI, operación de sistemas, desarrollo y mantenimiento) deben ser identificables de manera

única. Permitir que el usuario se identifique a través de mecanismos de autenticación.

Confirmar que los permisos de acceso del usuario al sistema y los datos están en línea con

las necesidades del negocio definidas y documentadas y que los requerimientos de trabajo

están adjuntos a las identidades del usuario. Asegurar que los derechos de acceso del

usuario se solicitan por la gerencia del usuario, aprobados por el responsable del sistema e

implementado por la persona responsable de la seguridad. Las identidades del usuario y

los derechos de acceso se mantienen en un repositorio central. Se despliegan técnicas

efectivas en coste y procedimientos rentables, y se mantienen actualizados para establecer

la identificación del usuario, realizar la autenticación y habilitar los derechos de acceso.



1 Establecer y comunicar políticas y

procedimientos para excepcionalmente

identificar, autenticar y autorizar los

mecanismos de acceso y los derechos

de acceso para todos los usuarios bajo

necesidad saber/necesidad para tener

base, basado predeterminado y roles

probados. Claramente indique

responsabilidad de cualquier usuario

para cualquier acción en cualquier de

los sistemas y / o las aplicaciones

complejas.

• Determinar si las practicas de

seguridad requieren que usuarios y

procesos de sistema sean

excepcionalmente identificables y

sistemas para ser configurados para

implementar autenticación antes de

que el acceso es concedido.

• Determinar si el acceso

aprovisionando y los mecanismos de

control de autenticación son

utilizados para controlar el acceso

lógico a través de todos los usuarios,


20

2 Definir e implementar un

procedimiento para identificar a

usuarios nuevos y registrar, aprobar y

mantener derechos de acceso. Esto

necesita ser pedido por el usuario

administrador, ser aprobado por el

dueño de sistema e implementado por

la persona responsable.

procesos de sistema y recursos de

tecnología de la información, para

usuarios internos y remotamente

manejados, procesos y sistemas.


DBMS debido a que se deben poder definir roles y usuarios debidamente autorizados con

permisos concedidos dependiendo de las necesidades del negocio, autenticando y autorizando a

estos mediante credenciales.

Sistema de Gestión de Relaciones con los clientes (CRMS)

AI6.1: Estándares y Procedimientos para Cambios - Establecer procedimientos de

administración de cambio formales para manejar de manera estándar todas las solicitudes

(incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos,

procesos, parámetros de sistema y servicio, y las plataformas fundamentales.



1. Desarrollar, documentar y difundir un

marco de gestión del cambio que

especifique las políticas y procesos,

incluyendo:


• Clasificación y priorización de todos

los cambios basados en riesgos del

negocio

Revisar el marco de gestión del cambio

para determinar si en este se incluye:

• La definición de funciones y

responsabilidades

• Clasificación (por ejemplo, entre

infraestructura y software de

aplicación) y la priorización de

todos los cambios

• Evaluación del impacto,


21


• Autorización y aprobación de todos

los cambios por parte de los dueños de

los procesos del negocio y TI


• Impacto sobre la integridad de los

datos (por ejemplo, todos los cambios

a los datos de los archivos hechos

en el sistema y control de aplicaciones

en lugar de la intervención directa del

usuario).

procedimiento para la autorización

y aprobación

• Seguimiento de los cambios

• Mecanismo de control de

versiones

• Impacto sobre la integridad de

los datos (por ejemplo, todos los

cambios en los archivos de datos se

realizan a través del sistema o

aplicaciones de control y no

mediante la intervención directa

del usuario)

• Gestión del cambio desde el inicio

hasta la revisión y cierre de ese

cambio.

• Definición de los procedimientos

de reversión (deshacer un cambio)

• Utilización de un proceso de

"cambios de emergencia"

• Planificación de la continuidad del

Negocio

• Utilización de un sistema de

gestión de registros

• Evidencias de Auditoría


2 Considere el impacto que tienen los

proveedores de servicios contratados

(por ejemplo, tercerización de

infraestructuras, desarrollo de

aplicaciones y servicios compartidos)

sobre el proceso de gestión de

cambios. Considere la posibilidad de

integrar la gestión de cambios de la


procesos y procedimientos para

los proveedores de servicios

contratados (por ejemplo,

infraestructura, desarrollo de

aplicaciones, proveedores de

servicios de aplicaciones,


22

organización con los procesos de

gestión de cambio de los prestadores

de servicios. Considere el impacto que

tiene el proceso de gestión de cambios

organizacional, en las condiciones

contractuales y los acuerdos de nivel

de servicio (SLAs).

servicios compartidos) están

incluidos en el proceso de gestión

de cambios.

• Determinar si el proceso y los

procedimientos incluyen los

términos contractuales y los

SLA. (Niveles de Acuerdo de

Servicio)

El CRMS es el conjunto de procesos de negocio y de políticas, diseñadas para dar servicios a

los clientes. La empresa le brinda información al cliente mediante este sistema, por lo tanto es

importante que las modificaciones y/o actualizaciones que se realicen sobre este modulo estén

dentro de un marco de gestión de cambios para manejar de manera estándar todos los cambios.

Debemos considerar también el impacto que tienen los proveedores de servicios contratados

sobre el proceso de gestión de cambios del CRMS y determinar cuales son los Niveles de

acuerdo de Servicio de dicho proveedor

AI6.2: Valoración del impacto, Priorización y Autorización – Garantizar que todas las







1. Dar prioridad a todos los cambios

solicitados. garantizar que el proceso

de gestión del cambio identifica tanto a

las necesidades comerciales y técnicas

para el cambio. Tener en cuenta las

razones legales, reglamentarias y

contractuales para el cambio

solicitado.

• Mostrar y confirmar que el proceso

de gestión del cambio permite a los

propietarios de procesos de negocio e

IT a solicitar cambios en la


aplicaciones.


23

2 Evaluar a todas las solicitudes de












evaluación.

• Inspeccionar una muestra

representativa de las solicitudes de

gestión del cambio para asegurar que

fueron evaluados, priorizado,

examinado y revisado

adecuadamente.







Un módulo de CRM le permite a la empresa identificar los productos y servicios que requieren

sus clientes para poder proveérselos, optimizar los canales de entrega, identificar a grupos de

clientes para desarrollar estrategias, obtener conocimientos acerca de las necesidades actuales de

sus clientes, entender a los grupos dominantes de clientes para establecer relaciones a largo

plazo con ellos, aumentar las ventas de la empresa junto con la satisfacción del cliente, entre

otros. Para cumplimentar todo ello es necesario permitir cambios de forma organizada y

estructurada, la forma de llevar a cabo ellos es determinando prioridades y clasificación de lo

cambios propuesto siempre teniendo presente cuestiones legales y de normativa vigente.

AI6.3: Cambio de Emergencia – Establecer un proceso para definir, plantear, evaluar y

autorizar los cambios de emergencia que no sigan el proceso de cambio establecido. La

documentación y la prueba se realizaran, posiblemente, después de la implantación del

cambio de emergencia.




24

1. Asegúrese de que existe un proceso

documentado dentro del proceso de

gestión del cambio global para

declarar, evaluar, autorizar y registrar

un cambio de emergencia

2 Asegúrese de que los cambios de

emergencia se procesan de acuerdo

con el elemento de cambio de

emergencia del proceso de gestión del

cambio formal

3 Asegúrese de que todos los acuerdos

de acceso de emergencia para los

cambios estén debidamente

autorizados, documentados y

aprobados después de que el cambio se

ha aplicado.

4 Llevar a cabo un estudio de

seguimiento de todos los cambios de

emergencia, entre todas las partes

interesadas. La revisión debería

considerar las implicaciones para

aspectos como el posterior

mantenimiento del sistema de

aplicación, el impacto sobre el

desarrollo y entornos de prueba,

calidad de las aplicaciones de

desarrollo de software, documentación

y manuales, y la integridad de datos.

• Pregunte y confirme que existe un

proceso establecido para que los

solicitantes e interesados para

realizar el seguimiento del estado de

las solicitudes en las distintas etapas

del cambio gestión de procesos.

• Preguntar y confirmar que el

sistema de seguimiento y

presentación de informes supervisa

el estado de las solicitudes de

cambio (por ejemplo, rechazados,

aprobados pero no iniciados,

aprobado y en proceso).

• Preguntar y confirmar que la gestión





cambios).


cambios aprobados son abiertos y

cerrados en el momento oportuno,

dependiendo de la prioridad.


25

Ya que el CRMS es el modulo que brinda servicios al cliente, consideramos que el mismo

debería estar disponible la mayor cantidad de tiempo posible para que los clientes lo usen, y en

caso de que no este disponible, seria una perdida de servicio hacia los clientes y por ende una

perdida de dinero para la empresa. Por lo tanto incorporamos este control critico para que se le

puedan realizar cambios urgentes al modulo CRMS con el objetivo de que este en

funcionamiento el mayor tiempo posible y que estos cambios no afecten en un futuro al buen

funcionamiento del modulo, ya que los cambios urgentes se realizaran dentro de un marco de

control de cambios urgentes.





fundamentales.



1












2














cambios).


26





final.





El CRMS es el conjunto de procesos de negocio y de políticas, diseñadas para dar servicios a

los clientes. La empresa le brinda información al cliente mediante este sistema, por lo tanto es

importante que las modificaciones y/o actualizaciones que se realicen sobre este modulo estén

dentro de un marco de gestión de cambios.






de los cambios.



1









del cambio.







hasta la fecha.


27

2




o mejorada se utiliza.




implementados en hardware o software

Aplicaremos este control al subsistema CRMS para así poder mantener la integridad y

consistencia del mismo, ya que es vital para el funcionamiento de la empresa. Además,

mantenerlo actualizado y aprovechar al máximo su funcionalidad.










1. Asegúrese de que el plan de

entrenamiento identifica y aborda a

todos los grupos afectados, incluidos

los usuarios finales del negocio, las


capacitación en desarrollo de

aplicaciones de TI y a los proveedores

de servicios. El plan de entrenamiento

debe proporcionar la formación de una

manera oportuna. También deberán

identificarse los miembros del equipo

que deben estar capacitados y aquellos

para los que la formación es deseable












servicios).




28









2 Monitoree el entrenamiento para



formación como en el sistema.

• Pregunte si y confirme que hay un

proceso de control del entrenamiento,

para obtener retroalimentación que

podría conducir a posibles mejoras en

el sistema.

• La evaluación periódica sobre los

conocimientos adquiridos en la

capacitación, puede llegar a permitir

el descubrimiento de cambios

interesantes e innovadoras.

• La práctica que brinda el

entrenamiento permitirá conocer

sugerencias, obstáculos que

permitirán aportar mejoras.












29

Monitorear todos los cambios

planificados, para garantizar que las

necesidades de entrenamiento han sido

consideradas y que se crearon los

planes adecuados. Considere la

posibilidad de retrasar el cambio si el

entrenamiento no se ha realizado y la

falta de formación pone en peligro la

aplicación del cambio


cambios planificados son

monitoreados, para asegurar que las

necesidades de formación se

consideran adecuadas y los planes

adecuados son creados.

• No aplicar cambio si el

entrenamiento no ha dado resultados

satisfactorios

• Pregunte si y confirme que se

considera que las estrategias

alternativas de formación garantizan

que una relación costo-eficiencia se

ha seleccionado e incorporado en el

marco de formación.

• Pregunte si y confirme que existe un

proceso para verificar el


entrenamiento.

La capacitación y entrenamiento deben ser periódicas y deben abarcar temas previamente

definidos y avalados por los directivos. Las alternativas de formación deben tener en cuenta la

implicancia costo – beneficio ya que el negocio debe evaluar dichos aspectos y dar el aval para

su implantación.


las interesados de TI evalúan los resultado de los procesos de pruebas como determina el





Prácticas de Control Pasos de Aseguramiento


30










3 Asegurar de que la evaluación de

aceptación final se mida según los

criterios de éxito establecidos en el

plan de pruebas. Asegurar de que el

proceso de examen y evaluación es

adecuadamente documentada.

4 Documentar e interpretar los resultados

finales de las pruebas de aceptación, y

presentarlos en una forma que sea

comprensible para los dueños de los

procesos de negocio y TI con el fin de

una reconsideración informada y la

evaluación puede tener lugar.

5 Asegurar que los dueños comerciales

de proceso, las partes pertinentes y las

partes interesadas de TI formalmente

aprueban formalmente el resultado del

proceso de prueba según lo establecido

en el plan de pruebas Esta autorización

es obligatoria antes de la promoción a

la producción.




final.

• Preguntar y confirmar que la

documentación apropiada para su

revisión y evaluación existe.

• Informar a las partes interesadas

claves si la documentación y

presentación de los resultados finales

de las pruebas de aceptación son

completas y oportunas.

Aplicamos este control crítico a CRMS ya que proporciona la posibilidad de que las diferentes

áreas trabajen juntos con el mismo objetivo: su cliente ideal (el plan de prueba). Además hace

posible el diseño de programas que hagan sentir al cliente como en casa.

Desde la perspectiva de planificación se puede mantener el registro de todas las oportunidades

de negocios, controlando las actividades de cada una de las personas que participan en la venta,


31

permitiendo de esta forma mantener un conocimiento del estado real de una oportunidad, y

establecer estrategias que todo el equipo de ventas conozca para que se genere la sinergia

necesaria.











encontrados






encontradas







eficazmente.

2 Convenir e implementar un plan de

acción del que ocuparse asuntos

identificados en la revisión de post

implementación. Involucre a los

dueños comerciales de proceso y

tecnología de la información gerencia


con los miembros claves del staff que

los procedimientos de post

implementación han sido

establecidos.










32

técnica en el desarrollo del plan de

acción


CRMS debido a que se debe evaluar si el resultado obtenido es el esperado, considerando los

usuarios clave del negocio.















1 Asegure que un flujo oportuno de

información está en lugar que reporta

cambios en los trabajos (i.e., Pueble

adentro, pueble fuera, cambio de

personas). Conceda, revoque y adapte

a derechos de acceso del usuario en co-

ordinaciòn con recursos humanos y los

departamentos del usuario para los

usuarios que son nuevos, quien ha

dejado la organización, o quien tienen

cambiado papeles o trabajos









• Estando los papeles predeterminados

y preaprobados son utilizados para

conceder acceso, determine si los

papeles claramente delinean

responsabilidades basadas en los


33








privilegios mínimos, y aseguran que

el establecimiento y modificación de

papeles es aprobado por gerencia del

dueño de proceso.


CRMS debido a que se deben tener controles de acceso a información de los clientes o

potenciales cliente debido a que dicha información es confidencial y de uso empresarial y no

debe ser divulgada.

Sistema de Gestión de Cadena de Abastecimiento (SCMS)










incluyendo:




negocio


Revisar el marco de gestión del cambio para

determinar si en este se incluye:


responsabilidades.



aplicación) y la priorización de todos

los cambios.


procedimiento para la autorización y

aprobación.


34










usuario).

• Seguimiento de los cambios.

• Mecanismo de control de versiones.



en los archivos de datos se realizan a

través del sistema o aplicaciones de

control y no mediante la intervención

directa del usuario).



cambio.

• Definición de los procedimientos de

reversión (deshacer un cambio).


"cambios de emergencia".


Negocio.

• Utilización de un sistema de gestión

de registros.

• Evidencias de Auditoría.

• Segregación de funciones.
















procesos y procedimientos para los


(por ejemplo, infraestructura,

desarrollo de aplicaciones,

proveedores de servicios de

aplicaciones, servicios compartidos)

están incluidos en el proceso de

gestión de cambios.


procedimientos incluyen los términos

contractuales y los SLA. (Niveles de

Acuerdo de Servicio)


35

de servicio (SLAs).

El modulo de SCMS es importante para la empresa debido a que es la secuencia de proveedores

que contribuyen a la entrega del servicio al cliente final, por lo tanto deberíamos tener un marco

de control de los cambios introducidos en dicho modulo de manera de tener un seguimiento de

los cambios de estados del modulo para poder analizar y sacar conclusiones sobre la mejora del

servicio de entrega de productos al cliente. Sin este control, los cambios se producirían sin

políticas y procesos que brindan información útil a la empresa además de estandarizar el

proceso de cambio y/o actualizaciones de los módulos.

Otro aspecto a tener en cuenta es que como el modulo esta a cargo de un proveedor, se debe

considerar el impacto que tienen los proveedores de servicios contratados sobre el proceso de

gestión de cambios del SCMS y determinar cuales son los Niveles de acuerdo de Servicio de

dicho proveedor

AI6.2:Valoración del impacto, Priorización y Autorización – Garantizar que todas las







1. Desarrollar un proceso que permita a

los propietarios de procesos de negocio

e IT a solicitar cambios en la


aplicaciones. Desarrollar controles

para asegurar que todos estos cambios

sólo se dan a través de la solicitud del

proceso de cambio de gestión.

(forma de logística , innovación)






aplicaciones.

• Mostrar y confirmar que los cambios

solicitados se clasifican (por ejemplo

entre: infraestructura, sistema

operativo, redes, aplicación de

sistemas, aplicación del sistema

adquirido)



36















adecuadamente.

2 Clasificar todos los cambios

solicitados (por ejemplo:

infraestructura, sistema operativo,

redes, aplicación de sistemas,

aplicación del sistema adquirido)

• Clasificar los cambios solicitados por

un criterio común






adquirido)

• Confirmar a través de entrevistas con

funcionarios que los cambios

requeridos se priorizan sobre la base

de criterios predefinidos. (por

ejemplo necesidades comerciales y

técnicas para el cambio y requisitos

legales, reglamentarios y

contractuales.)






37



SCMS es el proceso de planificación, puesta en ejecución y control de las operaciones de la red

de suministro con el propósito de satisfacer las necesidades del cliente con tanta eficacia como

sea posible, ya sea con implementación de nuevas tecnologías , infraestructura y nueva logística.

La correcta administración de la cadena de suministro debe considerar todos los

acontecimientos y factores posibles que puedan causar una interrupción.

Para logran una homogeneidad que permita llevar un control de los cambios que se desean

implementar es indispensable una clasificación adecuada a las necesidades del negocio





fundamentales.



1












2













cambios).


38






final.





El modulo de SCMS es importante para la empresa debido a que es la secuencia de proveedores

que contribuyen a la entrega del servicio al cliente final, por lo tanto deberíamos tener un marco

de control de los cambios introducidos en dicho modulo.






de los cambios.



1









del cambio.







hasta la fecha.


39

2








implementados en hardware o software.

Aplicaremos este control al subsistema SCMS para así poder mantener la integridad y

consistencia del mismo. Además, mantenerlo actualizado y aprovechar al máximo su

funcionalidad.




AI7.1:Entrenamiento—Entrenar al personal de los departamentos afectados y al grupo






1. Monitoree el entrenamiento para



formación como en el sistema

• La mejora de planificaciones y

distribuciones surge de un

entrenamiento productivo y

orientado.

• Pregunte si y confirme que hay un

proceso de control del entrenamiento,

para obtener retroalimentación que

podría conducir a posibles mejoras en

el sistema de logística y distribución.






40








servicios).

2 Para el desarrollo de sistemas,

implementación o modificación de

proyectos, un plan de entrenamiento es

una parte integral del plan maestro

global del proyecto. Asegúrese de que

el plan identifica claramente los

objetivos de aprendizaje, los recursos,

los principales hitos, las dependencias

y las tareas del camino crítico que

afectan la entrega del plan de

formación. El plan debe considerar

estrategias alternativas de

entrenamiento en función de las

necesidades del negocio, nivel de

riesgo (por ejemplo, para sistemas de

misión crítica, puede ser adecuado un

sistema formal de acreditación y

reacreditación de usuario), y

requerimientos regulatorios y de

cumplimiento (por ejemplo, el impacto

de diferentes leyes de privacidad puede

requerir la adaptación de la formación

a un nivel nacional).

• Pregunte si y confirme que un plan de

entrenamiento es parte del plan

global maestro del proyecto para los

proyectos de desarrollo.

• Adecuar el entrenamiento a las

necesidades y objetivos del negocio.











El entrenamiento para lograr una unificación entre el subsistema SCMS y SIE se lograra

definiendo aspectos de capacitación relacionados con la mejora de planificaciones y

distribuciones lo cual solo puede surgir de un entrenamiento productivo y orientado.


41

La documentación de las capacitaciones involucradas permitirá llevar un registro claro de las

pautas definidas para el o los planes de entrenamiento



























menor).







final.














42


















la producción.

Es importante tener en cuenta este control crítico dentro del SCMS ya que es significativo la

predicción de la demanda para poder realizar el adecuado pedido de mercadería, gestión de

inventarios y sobre todo la planificación de la producción. Con el control de la demanda y el

cálculo de la misma, podes reparar errores cometidos y no cometerlos en un futuro. Las partes

involucradas en este proceso pueden desarrollar un sistema eficiente de ejecución y control de

pedidos para su resultado.











43




encontrados






encontradas







eficazmente.




implementación. Involucre losa dueños

comerciales de proceso y tecnología de

la información gerencia técnica en el

desarrollo del plan de acción






beneficios.








con miembros cruciales de la

administración que los requisitos para

la revisión de post implementación

levantándose de negocio exterior y

tecnología de la información son

considerados.


SCM debido a que se deben validar que se han cumplimentado todos los requerimientos de

negocios, ya que este sistema interactuara con proveedores y debe validarse que se cumplan los

requisitos para que este sea eficiente.


44





















ordinaciòn con recursos humanos y los





















45


SCM debido a que aquí la información debe ser oportuna y fiable para optimizar la compra de

insumos y así abaratar los costos.

Sistema de Gestión de Recursos Humanos / Contabilidad










incluyendo:




negocio






Revisar el marco de gestión del cambio para

determinar si en este se incluye:


responsabilidades.




los cambios.



aprobación.









46






usuario).




cambio.


reversión (deshacer un cambio)




Negocio.


de registros.


• Segregación de funciones.















de servicio (SLAs).














Es importante aplicar este punto de control al Sistema de Gestión de Recursos Humanos ya que

este sistema es el encargado de gestionar los recursos humanos con los que cuenta la empresa, y

es de conocimiento público que es un área delicada dentro de la organización por la dificultad


47

que implica administrar personas. Por lo tanto, todo cambio y/o actualización que se le

implemente al modulo, debe ser efectuado en base a este marco de control de cambios

También debemos determinar cual es el papel del proveedor a la hora de implementar dicho

cambio, ya que el DBMS es provisto por un Proveedor de servicios. Por lo tanto hay que

Considerar el impacto que tienen los proveedores de servicios contratados sobre el proceso de

gestión de cambios

AI6.2: Valoración del impacto, Priorización y Autorización – Garantizar que todas las







1. Evaluar a todas las solicitudes de












evaluación.

• Analizar el impacto que generaran los

cambios teniendo en cuenta

implicancias legales, contractuales y

de seguridad.






aplicaciones.








contractuales.)



48

















adecuadamente.

2 Dar prioridad a todos los cambios

solicitados. Garantizar que el proceso






solicitado.

• Priorizar en base a las necesidades

comerciales sin dejar de lado

implicancias normativas








contractuales.)









49









adecuadamente.

El sistema de información de Recursos Humanos obtiene datos e información de los empleados,

el ambiente empresarial, este flujo de datos experimenta un trabajo de recolección,

procesamiento y utilización para lo cual es indispensable establecer una priorización de los

cambios que subyugan de dichas tareas, de esta forma la interrelación con SIE será transparente,

definida de forma detallada y programada





fundamentales.



1






• Verificar, y confirmar que el

sistema de seguimiento y

presentación de informes

supervisa el estado de las

solicitudes de cambio (por

ejemplo, rechazados, aprobados

pero no iniciados, aprobado y en


50

proceso).

2













final.


gestión revisa y controla el estado

detallado de los cambios y el

estado general (por ejemplo, el

análisis por antigüedad de los

pedidos de cambios).





Este sistema es el encargado de gestionar los recursos humanos con los que cuenta la empresa,

por lo tanto, todo cambio y/o actualización que se le implemente al modulo, debe ser efectuado

en base a este marco de control de cambios.






de los cambios.




51

1









del cambio.


documentación de cambio (por

ejemplo, los procedimientos



solicitud, pantallas de ayuda,

materiales de capacitación) es hasta

la fecha.

2






documentación de procesos de

negocio se actualiza por los cambios

implementados en hardware o

software

Aplicaremos este control al subsistema de Gestión de RRHH/Contabilidad para así poder

mantener la integridad y consistencia del mismo. Además, mantenerlo actualizado y aprovechar

al máximo su funcionalidad.











52

1. Confirme que exista un proceso para

asegurar que el plan de entrenamiento

se ejecuta satisfactoriamente.

Complete la documentación detallando

cómo se cumple el plan de formación.

Algunos ejemplos de información

crucial son: la lista de los miembros

del equipo invitados a asistir a la

capacitación, los asistentes, las

evaluaciones de logro de los objetivos

de aprendizaje y un apartado con

opiniones/encuestas.


ejemplo, a través de entrevistas

con miembros clave del personal

o a través de la inspección del

plan del proyecto) que el plan de

entrenamiento identifica y abarca

a los grupos afectados grupos

(por ejemplo, los usuarios finales,

las operaciones de TI, soporte y


aplicaciones de TI, proveedores

de servicios).

• Pregunte si y confirme que existe

un proceso para verificar el


entrenamiento.




formación (por ejemplo, la lista

de los miembros del equipo

invitados a los entrenamientos,

lista de participantes efectivos,

formularios de evaluación para el

logro de los objetivos de

aprendizaje, retroalimentación

etc.).

2 Para el desarrollo de sistemas,




global del proyecto. Asegúrese de que












53
























servicios).










entrenamiento.











El manejo del entrenamiento para datos confidenciales y restringidos requiere de una

concientización y capacitación adecuada, para ellos es necesarios definir un plan de


54

entrenamiento certero y avalado por los directivos del negocio, siempre tenido como estándar

las normativas e imposiciones legales.

















4 Considerar en tiempo real de

recuperación de desastres, la

planificación de continuidad del

negocio, y la reversión en la

conversión de datos y plan de

migración de infraestructura en la

gestión del riesgo, las necesidades del

negocio, o reglamentario, o exigir el

cumplimiento de los requisitos.

5 Coordinar y verificar la oportunidad y

la exhaustividad de la conversión de

corte y cambio por lo que es una

transición suave y continua, sin

pérdida de transacciones. En este caso,




procedimientos) esa conversión de








sistemas internos y externos, otros


sistema, etc.


55

en ausencia de otra alternativa, la

congelación de las operaciones en

vivo.

6 Asegurar de que hay una copia de

seguridad de todo el sistema y los

datos obtenidos en el punto anterior de

la conversión, las pistas de auditoría se

mantienen para permitir la conversión

a un seguimiento posterior, y hay una

emergencia y un plan de recuperación

en caso de que la conversión falla.

Asegurar de que la retención de datos

de backup y archivados se ajustan a las

necesidades empresariales y de

reglamentación o los requisitos de

cumplimiento.

Es importante aplicar este control en este sistema ya que, para poder lograr la conversión de

datos, la migración y la posterior revisión de la misma, se precisa de una planificación,

tratamiento y coordinación del equipo de trabajo asignado a tal tarea. El recurso humano es el

material más importante de las organizaciones.

AI7.7 Prueba de aceptación final - Asegurar que los dueños de proceso de negocio y











• Confirmar si los principales




56
















menor).





















final.














57

la producción.

De igual manera que el anterior, el recurso humano en este control es de gran importancia para

poder lograr todas las prácticas de control que se proponen. Es el recurso humano el que se

propone, planifica y llega a la aceptación o no de las pruebas.










• Los requisitos comerciales han sido

encontrados

• Esperar que los beneficios esperados

hayan sido alcanzados




encontradas







eficazmente.









establecidos.















considerados.


58









beneficios.


SISTEMA DE GESTION DE RRHH debido a que se la información de los empleados debe ser

manejada únicamente por responsables de RRHH y se debe considerar si el sistema cumple con

todos los aspectos esperados por los referentes de RRHH.
























59



ordinación con recursos humanos y los

















Sistema de gestión de RRHH debido a que aquí la información de cada empleado y recurso es

sensible y debe ser administrada en tiempo y forma por los referentes de RRHH

Aplicaciones de Inteligencia de Negocios








60




incluyendo:




negocio











usuario).

• Revisar el marco de gestión del

cambio para determinar si en este se

incluye:


responsabilidades.




los cambios.



aprobación.











cambio.


reversión (deshacer un cambio).




Negocio.


de registros.




61















de servicio (SLAs).














Las aplicaciones de inteligencia de negocios son herramientas que permiten obtener

información, de manera sencilla e inmediata, para la toma de decisiones a nivel gerencial. Seria

importante entonces Desarrollar, documentar y difundir un marco de gestión del cambio que

especifique las políticas y procesos para que las actualizaciones sobre este modulo estén

estandarizadas y los cambios que se le realicen al modulo estén estandarizados por la empresa.

También debemos tener este modulo es proporcionado por un proveedor de servicios, por lo

tanto debemos Considerar la posibilidad de integrar la gestión de cambios de la organización

con los procesos de gestión de cambio de los prestadores de servicios


62

AI6.2 Valoración del impacto, Priorización y Autorización – Garantizar que todas las







1. Dar prioridad a todos los cambios

solicitados. Garantizar que el proceso






solicitado.






aplicaciones.






adquirido).








contractuales.)






sistemas y aplicaciones.


63







Las aplicaciones de Business Intelligence (BI) son herramientas de soporte de decisiones que

permiten en tiempo real, acceso interactivo, análisis y manipulación de información crítica para

la empresa. Estas aplicaciones proporcionan a los usuarios un mayor entendimiento que les

permite identificar las oportunidades y los problemas de los negocios. Los usuarios son capaces

de acceder y apalancar una vasta cantidad de información y analizar sus relaciones y entender

las tendencias que últimamente están apoyando las decisiones de los negocios.

Es indispensable implantar una gestión de cambio que se adapte a las necesidades del negocio





fundamentales.



1












2







64










final.




cambios).





Este subsistema permite obtener información, de manera sencilla e inmediata, para la toma de

decisiones a nivel gerencial, por lo tanto es importante mantener un seguimiento y reportes

correspondientes sobre los cambios que se efectúen sobre el mismo.






de los cambios.



1












65




del cambio.


hasta la fecha.

2








implementados en hardware o software

Aplicaremos este control al subsistema de Aplicación de Inteligencia de Negocios para así

poder mantener la integridad y consistencia del mismo. Además, mantenerlo actualizado y

aprovechar al máximo su funcionalidad.










1. Para el desarrollo de sistemas,




global del proyecto . Asegúrese de que
















66




















servicios).

Pregunte si y confirme que se









entrenamiento.

2 Asegúrese de que el plan de

entrenamiento identifica y aborda a

todos los grupos afectados, incluidos

los usuarios finales del negocio, las


capacitación en desarrollo de

aplicaciones de TI y a los proveedores

de servicios. El plan de entrenamiento

debe proporcionar la formación de una

manera oportuna. También deberán

identificarse los miembros del equipo

que deben estar capacitados y aquellos

para los que la formación es deseable

• El entrenamiento debe ser orientado a

las necesidades que se plantean en el

negocio







• El entrenamiento debe ser orientado a

capacitar al personal involucrado con

el subsistema.




67









Para tener un funcionamiento adecuado e integrado de SIE es indispensable capacitar y entrenar

al personal involucrado con dicho subsistemas, la definición clara de los objetivos del negocio

permitirá incorporar temas de capacitación relevante para los directivos.

















2 Asegurar que el plan de conversión de

datos incorpora métodos de

recolección, transformación y




procedimientos) esa conversión de








sistemas internos y externos, otros


sistema, etc.


68

verificación que deseamos convertir, e

identificar y resolver los errores

encontrados durante la conversión.

Esto incluye la comparación de los

datos originales y si se convirtieron en

totalidad e integridad.

• A través de las entrevistas con


cruciales, inquirir acerca de la

oportunidad del momento y la

plenitud de corte de conversión.

Esta herramienta, nos permite acudir al análisis y la presentación de los datos. También a la

extracción de información de las bases de datos acerca del consumidor, mediante la utilización

de aplicaciones que pueden aislar e identificar patrones o tendencias del consumidor en un alto

volumen de datos, compartir información entre departamentos; generar y procesar datos.


















menor).








Preguntar y confirmar que la




69




Este control en este sistema nos permite identificar oportunidades y amenazas, hacer

pronósticos de ventas y devoluciones; lo cual es de suma importancia para poder hacer una

proyección y lograr así el objetivo que nos proponemos.










• Los requisitos comerciales han sido

encontrados

• Esperar que los beneficios esperados

hayan sido alcanzados




encontradas







eficazmente.







establecidos.















considerados.



70











beneficios.

4 Asegure que la forma de la revisión de

post implementación está en

conformidad con el proceso

administrativo de cambio. Involucre


terceros, según el caso


administración que un plan de acción

existe dirigirle la palabra a los

asuntos identificados en la revisión

de post implementación y que los


tecnología de la información gerencia

técnica está involucrada en el

desarrollo del plan de acción.


Sistema de inteligencia de negocios debido a que dicha información es crucial para la

organización por el hecho de que es utilizada por niveles gerenciales para la toma de desiciones

por lo que debe ser oportuna, confiable, consistente y fiable. Por lo que se debe evaluar que se

hayan cumplimentados todos los requisitos post implementación.












71











ordinación con recursos humanos y los




















• Determinar si el acceso

aprovisionando y los mecanismos de

control de autenticación son

utilizados para controlar acceso

lógico a través de todos los usuarios,

sistema procesos y recursos de

tecnología de la información, para

usuarios internos y usuarios

remotamente manejados, procesos y

sistemas.


Sistema de inteligencia de negocios debido a que dicha información es crucial a nivel gerencial,

por lo tanto solo deben tener acceso niveles jerárquicos de la organización y/o áreas

determinadas por ellos, por lo que los permisos y usuarios deben estar validados por ellos.


72

Conclusión

La actividad práctica consideramos que nos favoreció a nuestro aprendizaje de manera que nos encontramos en posición de investigar las características principales de los distintos subsistemas conociendo así como estos funcionan y son implementados.

Gracias a los objetivos de control empleados se logro identificar los pasos de aseguramiento mas adecuadas para cada subsistema existente en el caso de estudio y además se logro una comprensión cabal del funcionamiento de la empresa en si.

No fue tarea fácil realizar un planteo acerca objetivos de control fundamentales para cada subtema, con la utilización de COBIT y bibliografía extra logramos llegar a concluir este trabajo.

El trabajo grupal permitió un avance mas acelerado de las tareas y un crecimiento tanto personal como grupal del que decidimos llevarnos todo el aprendizaje y experiencia adquirido


73

Bibliografía

• IT COBIT® 4.1

• HEAM_CASITI2010_Caselet

• COBIT Control Practices 2nd

• IT Assurance Guide : Using COBIT

• Pagina WEB - ISACA : http://www.isaca.org

• Pagina WEB – SearchStorage: http://www.searchstorage.es/

Download - Casiti2010 Gt08 Ap1 Vo1

Top Related