CGAP - Tecnologías de Información

Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Curso preparacin
CGAP
Modulo de TI
Carlos Lobos Medina, CISA, CISM
Academico
Universidad Diego Portales
1 de 12
CGA
P
Carlos Lobos Medina
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
AGENDA
Rol de las TI
Entorno de TI
Gestin de las TI
Infraestructura Tcnica
Aplicaciones
Riesgo de TI
Controles de TI
Conclusiones
2 de 12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Rol de las TI
3 de 12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Cual es el rol de las TI?

Establecer cual es el rol de las TI en una
organizacin hoy en da puede considerarse
un gran desafo.
Establecer con precisin el alcance del
entorno de TI es complejo La telefona es
responsabilidad de TI? Las impresoras?El
control de acceso fsico? Los servicios?
En trminos operacionales ms difuso
resulta Cuan dependiente somos de las TI?
Es un soporte de las actividades de
negocio?
4 de 12
CGA
P
Y en lo estratgico Es un elemento
estratgico? Quin decide en que invertir?
Curso de
Preparaci
n CGAP
Evolucin de las TI
Una visin
general del
rol de las
TI
5 de 12
CGA
P
John Mancini, the President of AIIM International
Curso de
Preparaci
n CGAP
Las TI en la actualidad
Una visin
general del
rol de las
TI
OBJETIVOS DEL NEGOCIO IMPULSADOS POR

TI
FACTOR CLAVE DE DIFERENCIACIN
TOMA DE DECISIONES DE MAYOR IMPACTO
6 de 12
CGA
P
AUMENTO DE LOS NIVELES DE

DEPENDENCIA
NIVELES OPERATIVOS DE RIESGO
ELEVADOS
AUMENTO EN LA COMPLEJIDAD Y
HETEROGENEIDAD
MAYOR INTEGRACIN Y FLEXIBILIDAD
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Factores que motivan la auditoria

de TI
En la medida que las organizaciones se

hacen ms dependientes de las TI
Se
necesita
entender
los
riesgos
estratgicos
derivados
de
una
inadecuada gestin de las TI
Un importante nmero de controles
internos claves son soportados mediante
el uso de las TI
7 de 12
CGA
P
Surge la necesidad de tener controles de

TI en diversos niveles y de diversas
caractersticas
Bajas
estadsticas
en
el
xito
de
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Entorno de TI
8 de 12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
9 de 12
CGA
P
El entorno de TI
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Gestin de las TI
10 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Gestin de las TI
La Gestin de las TI es amplia, se proporciona
en diversos niveles, desde lo estratgico a lo
operacional
Este nivel incluye las personas, estructuras,
polticas, procedimientos y procesos que
gestionan el entorno de TI.
11 de
12
CGA
P
Diversos sistemas de gestin de TI de alto nivel

se emplean para obtener las directrices de los
procesos se gestin asociados
Gobierno de TI
Gestin de Servicios de TI
Seguridad de la Informacin
Continuidad del Negocio
Gestin de Riesgos
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Gobierno de TI
12 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Gobierno de TI
Es el conjunto de responsabilidades y prcticas
ejercidas por el consejo y la direccin ejecutiva
con el objetivo de proporcionar direccin
estratgica, asegurar que los objetivos se
alcanzan, que los riesgos se gestionan
adecuadamente y verificar que los activos de la
empresa
se
utilizan
de
una
manera
responsable.
13 de
12
CGA
P
Cobit 4.1 ISACA y ITGI
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Gobierno de TI
Busca alcanzar:
Que la TI estn alineadas con la empresa
Que la TI produzcan los beneficios prometidos
Que la TI habilite a la empresa a explotar
oportunidades
Que la TI permitan maximizar beneficios
Que los recursos
responsablemente
14 de
12
CGA
P
de
la
TI
se
empleen
Que los riesgos de la TI se administren

Consejo sobre la gobernabilidad de la TI. ITGI y
Deloitte.eficientemente
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Alineamiento Estrategico de TI
Cules son los principales objetivos
Gobierno de TI en relacin a la estrategia?
del
Existe la estructura de direccin y modelo de

toma de decisiones integrales de gobierno de
TI?
La estrategia de TI es conocida en toda la
organizacin?
Esta alineada la estrategia TI con la
organizacional?
15 de
12
CGA
P
Se toman las decisiones debidamente

argumentadas y efectivas en relacin a los
objetivos estratgicos de TI?
Curso de
Preparaci
n CGAP
Alineamiento Estrategico de TI
Una visin
general del
rol de las
TI
16 de
12
CGA
P

Deloitte.
Curso de
Preparaci
n CGAP
Valor Derivado de las TI
Una visin
general del
rol de las
TI
17 de
12
CGA
P

Deloitte.
Curso de
Preparaci
n CGAP
Medicin del desempeo
Una visin
general del
rol de las
TI
18 de
12
CGA
P

Deloitte.
Curso de
Preparaci
n CGAP
Cobit 5.0
Una visin
general del
rol de las
TI
REEMPLAZA EL 2012 A COBIT 4.1

FOCO EN EL GOBIERNO DE TECNOLOGAS DE
INFORMACIN
RECOGE BUENAS PRACTICAS DE DIVERSOS
MARCOS
DEFINE 5 PRINCIPIOS
ESTABLECE 7 CATALIZADORES
PROPORCIONA 37 PROCESOS CATALIZADORES
19 de
12
CGA
P
PROPORCIONA UNA FAMILIA DE PRODUCTOS
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
20 de
12
CGA
P
Cobit 5.0 procesos catalizadores
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Gestin de Servicios
de TI
21 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Cambio de Paradigma
Tradicional
Foco en Tecnologa
Foco en el Negocio
Administrar
Infraestructura
Proveer Servicios
Usuarios
Clientes
Modalidad
Bombero
Prevencin y
Control
Reactivo
22 de
12
CGA
P
Gestin de
Servicios
Proactivo
Islas
Integrado
Procesos
Informales
Estandarizacin
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
ITIL
ITIL es un acrnimo de Information
Technology Infrastructure Library
(Biblioteca de Infraestructura de
Tecnologas de Informacin)
Es propiedad de Office of Government
Commerce (Oficina de comercio
gubernamental, OGC), que es una
divisin del Ministerio de Hacienda del
Reino Unido.
23 de
12
CGA
P
Es un marco de buenas prcticas

destinadas a facilitar la entrega de
servicios de tecnologas de la
informacin (TI).
ITIL resume un extenso conjunto de
procedimientos de gestin ideados
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
24 de
12
CGA
P
ITIL
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
25 de
12
CGA
P
Procesos de ITIL
Define 26 procesos de gestin a lo largo del ciclo
de vida de servicios
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Gestin de Seguridad
de la Informacin
26 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Seguridad de la Informacin
Preservacin de la confidencialidad, integridad
y disponibilidad de la informacin ISO 27001
Confidencialida
d
TRIADA DE
SEGURIDAD
CID
Disponibilid
ad
27 de
12
CGA
P
Integridad
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Gestin de Seguridad de la
Informacin
La parte del sistema de gestin global, basada
en una orientacin a riesgo de negocio, para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
informacin. (ISO 27001:2005)
El establecimiento de un sistema que
determine qu requiere ser protegido, y por
qu, de que debe ser protegido y cmo
protegerlo. (Thomas Peltier)
28 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Sistema de Gestin de Seguridad de

la Informacin
29 de
12
CGA
P
Presentacin PMG SISTEMA DE SEGURIDAD DE LA INFORMACION DIPRES Mayo

2010
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
30 de
12
CGA
P
Evolucin de Serie ISO 27000
Curso de
Preparaci
n CGAP
ISO 27002:2013
Una visin
general del
rol de las
TI
REEMPLAZA
A ISO 27002:2005
OBJETIVOS
DEL NEGOCIO
IMPULSADOS POR
TI
FACTOR
CLAVE DEDE
DIFERENCIACIN
FOCO
EN CONTROLES
SEGURIDAD DE LA
INFORMACIN
REESTRUCTURA
TOMA DE DECISIONES
LOS DOMINIOS
DE MAYOR
DE IMPACTO
CONTROL
31 de
12
CGA
P
DEFINE
14 DOMINIOS
SEGURIDAD
AUMENTO
DE LOS DE
NIVELES
DE
DEPENDENCIA
ESTABLECE
OBJETIVOSDE
DERIESGO
CONTROL
NIVELES 34
OPERATIVOS
ELEVADOS
LINEAMIENTOS
AUMENTODE
ENIMPLEMENTACIN
LA COMPLEJIDAD Y
DE 114
HETEROGENEIDAD
CONTROLES
SEMAYOR
VINCULA
INTEGRACIN
UNA FAMILIA
Y DE
FLEXIBILIDAD
PRODUCTOS
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
ISO 27002:2013 Dominios de

Seguridad
Poltica de seguridad de la Informacin

Organizacin de la seguridad de la
Seguridad informacin
de recursos humanos
Administracin de activos
Control de accesos
Criptografa
Seguridad fsica y ambiental
Seguridad de operaciones
Seguridad de comunicaciones
Adquisicin, desarrollo y mantencin de

sistemas
Relaciones
con proveedores
32 de
12
CGA
P
Administracin de incidentes de seguridad

Continuidad de la seguridad de la
informacin
Cumplimiento
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Gestin de
Continuidad del
Negocio
33 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
34 de
12
CGA
P
Gestin de Continuidad del

Negocio
Es el proceso en el cual una organizacin se
prepara para abordar incidentes futuros que
puedan poner en peligro la misin central de la
organizacin y su viabilidad a largo plazo.
GTAG N10 The IIA.
Es un proceso de gestin holstico que
identifica potenciales impactos que amenazan
la organizacin y provee una estructura para la
aumentar la resistencia y la capacidad para
una respuesta efectiva que salvaguarde los
intereses
claves
de
los
stakeholders
(interesados),
su
reputacin,
marca
y
actividades de creacin de valor. Businees
Continuity Institute.
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
35 de
12
CGA
P

Negocio
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
36 de
12
CGA
P

Negocio
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
37 de
12
CGA
P

Negocio
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Gestin de Riesgo de
TI
38 de
12
CGA
P
Curso de
Preparaci
n CGAP
Gestin de Riesgos ISO 27005
Una visin
general del
rol de las
TI
Se basa en
ISO 3100
Gran similitud
en etapas y
gestin
requerida
Principales
diferencias en
la
identificacin
y estimacin
del riesgo
39 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
40 de
12
CGA
P
Riesgo de TI
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Activo de Informacin
La
informacin puede existir de muchas

formas. Puede ser impresa o escrita en papel,
almacenada electrnicamente, transmitida por
correo o medios digitales, mostrada en videos o
hablada en conversaciones. ISO 27005.
Activos primarios
Procesos y actividades del negocio
Informacin
41 de
12
CGA
P
Activos secundarios
Hardware
Software
Redes
Personal
Datacenter
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Amenazas y Vulnerabilidades
Una amenaza es Una posibilidad de violacin de
la seguridad, que existe cuando se da una
circunstancia, capacidad, accin o evento que
pudiera romper la seguridad y causar perjuicio.
Es un peligro posible que podra explotar una
vulnerabilidad
Una Vulnerabilidad es una debilidad de la
organizacin, los sistemas computacionales o un
bien que puede dar lugar a su explotacin.
42 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
10 riesgos ms criticos en
aplicaciones web
43 de
12
CGA
P
Owaps 2013
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
44 de
12
CGA
P
Tendencias
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
45 de
12
CGA
P
Tendencias
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
46 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Infraestructura
Tcnica
47 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Infraestructura Tcnica
En este nivel se considera la infraestructura y
sistemas que sustentan, soportan y hacen
posible la disponibilidad de aplicaciones
primarias del negocio.
Sistemas Operativos
Base de Datos
Redes y Comunicaciones
Centros de Datos (Datacenters)
48 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Sistema Operativo
Corresponde al grupo de aplicaciones que
permiten gestionar los recursos de una
computadora o un grupo de estas.
Los sistemas operativos de mayor utilizacin
corresponde a los de las familias Windows,
Linux y Unix.
Todos las aplicaciones de negocio residen
eventualmente en algn sistema operativo que
gestiona su correcto funcionamiento, por tanto
es necesario garantizar su adecuada proteccin
49 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Sistema Operativo
Elementos de control a considerar:
Control de acceso fsico y lgico, el acceso
debe ser restringido a personal autorizado
Continua actualizacin para disminuir las
vulnerabilidades que estos presentan
Proteccin de malware mediante antivirus,
los cuales deben estar actualizados
Respaldo de informacin dependiendo de la
criticidad de la informacin que soporten
50 de
12
CGA
P
Gestin de recursos y capacidades de

procesamiento, memoria y almacenamiento.
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Bases de Datos
Toda la informacin del negocio gestionada por
aplicaciones de diversa ndole y nivel de
criticidad terminan por residir en una base de
datos.
Los Sistemas de Gestin de Base de Datos
(SGBD) otorgan la capacidad de seleccionar,
insertar, actualizar o eliminar la informacin de
los diversos procesos de negocio que soporta,
generalmente mediante aplicaciones que
facilitan su procesamiento.
51 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Bases de Datos
Accesos lgico restringido
Gestin de roles y privilegios
Controles de integridad en datos
Controles de integridad referencial
Monitoreo y log de transacciones
Monitoreo de cuentas privilegiadas
Documentacin de modelos y objetos
Mecanismos de respaldo y continuidad
52 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
53 de
12
CGA
P
Redes de Comunicacin
Hoy en da prcticamente no existen
organizaciones que en su quehacer no empleen
redes y comunicaciones. Prcticamente todo
entorno de TI se encuentra interconectado,
facilitando el acceso a aplicaciones y recursos
compartidos, as como la gestin interna de
estos.
Producto de la alta necesidad que posee las
organizaciones de estar conectadas, tanto de
forma interna como externa, las redes y
comunicaciones se han transformado en un
recurso vital para la realizacin de gran
nmero de actividades, lo que implica que las
organizaciones deben establecer diversos
controles
para
garantizar
su
correcto
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
54 de
12
CGA
P
Redes de Comunicacin
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
55 de
12
CGA
P
Tipos de Red
Bsicamente existen de 2 tipos: LAN y WAN
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
56 de
12
CGA
P
Topologas de Red
Bsicamente existen de 3 tipos: bus, estrella
y anillo
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Topologas de Red
Bsicamente existen de 3 tipos: bus, estrella
y anillo
Servidores
Backbon
57 de
12
CGA
P
Estaciones de trabajo
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
58 de
12
CGA
P
Router
Un Router es un dispositivo que permite la
interconexin entre dos redes distintas, tiene la
capacidad de decidir respecto a como enrutar o
enviar los paquetes recibidos en un puerto a
una red de otro puerto, a travs de la IP de
cada uno de los dispositivos conectados.
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
59 de
12
CGA
P
Switch
Su objetivo es conectar dos puntos de red,
siendo capaz de detectar la direccin MAC
(direccin fsica de la tarjeta de red) de los
dispositivos conectados a un red para
establecer a quien enva la informacin.
Curso de
Preparaci
n CGAP
Redes Virtuales (VLAN)
Una visin
general del
rol de las
TI
Alumnos
60 de
12
CGA
P
Profesores
Permiten separar en forma lgica redes

Redes mucho ms flexibles y administrables
Mayor seguridad y eficiencia
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
DMZ Zona Desmilitarizada

Una
zona
desmilitarizada(DMZ)
o
red
perimetral es una red local (una subred) que se
ubica entre la red interna de una organizacin
y una red externa, generalmente Internet.
La DMZ se usa habitualmente para ubicar
servidores que es necesario que sean
accedidos desde fuera, como servidores de email, Web y DNS.
61 de
12
CGA
P
Esto permite que los equipos (hosts) de la DMZ

dar servicios a la red externa a la vez que
protegen la red interna en el caso de que
intrusos comprometan la seguridad de los
equipos
(host)
situados
en
la
zona
desmilitarizada.
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
62 de
12
CGA
P
DMZ Zona Desmilitarizada
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Redes de Comunicaciones
Diseo con mecanismos de seguridad adhoc
Gestin de accesos e identidades
Habilitacin mnima de servicios
Actualizacin de software
Segregacin de redes
Gestin de recursos de red
Acuerdo de niveles de servicios
Mecanismos de prevencin y deteccin
Monitoreo de red
Mecanismos de cifrado
63 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Centros de Datos (Datacenter)

Son
la
infraestructura
clave
para
el
almacenamiento de la informacin corporativa
de una organizacin, en ella residen los
servidores en los cuales se almacenan las
diversas aplicaciones de negocio.
Al ser una infraestructura generalmente critica
para una organizacin, un Centro de Datos
generalmente cuenta con una serie de
controles
de
diversa
naturaleza
para
salvaguardar su operacin.
64 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
65 de
12
CGA
P
Centro de Datos
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
66 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Aplicaciones
67 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
68 de
12
CGA
P
Aplicaciones
Realizan actividades especficas relacionadas
con las operaciones del negocio. En trminos
generales se pueden distinguir dos categoras:
aplicaciones de negocio y aplicaciones de
soporte.
Pese a existir estas categoras generales de
clasificacin, existen una serie de matices a
considerar al momento de comprender las
aplicaciones empleadas en una organizacin:
Tipo de aplicacin (transaccional o soporte)
Tipo de desarrollo (interno o externo)
Acceso al cdigo fuente (cerrado o abierto)
Soporte operativo (interno o externo)
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
69 de
12
CGA
P
Aplicaciones
ERP
Otros
Desarrollo de
Software
Sistemas Externos
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
70 de
12
CGA
P
Ciclo de Vida de Desarrollo de

Software
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
71 de
12
CGA
P
Ciclo de Vida de Desarrollo de Software

Otra Visin
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Especificacin de Requerimientos
Define y documenta en forma completa el
comportamiento del sistema a ser construido.
Caracterizndose por :
Definidos sin ambigedad
Son completos
Tienen consistencia
Especifica el origen
Evita detalles de diseo
Se clasifican como funcionales
funcionales
72 de
12
CGA
P
no
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Especificacin de Requerimientos
Una Buena Administracin de Requerimientos
Mejor control de proyectos complejos.
Mejora en la calidad del software y en la satisfaccin
del cliente.
Reduccin en los retrasos y en los costos del
proyecto.
Mejora en la comunicacin del equipo.
Facilita
la
conformidad
con
estndares
y
regulaciones.
Los Problemas
Requerimientos
73 de
12
CGA
P
de
la
Administracin
de
No son siempre obvios y tienen muchas fuentes.

No son siempre fciles de expresar en palabras.
Hay muchos tipos diferentes a distintos niveles de
detalle.
El nmero puede llegar a ser inmanejable.
Estn relacionados a otros en una variedad de
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
74 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
75 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
76 de
12
CGA
P
Son exitosos los proyectos de

software?
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
77 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
78 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Pruebas de Software
Se debe preparar un ambiente de pruebas lo
ms similar al ambiente de produccin .
Se deben generar ambientes de pruebas tanto
para el rea de desarrollo como para el usuario
final.
Sirven para validar la calidad y/o el estado de
un producto.
Existen distintos tipos de pruebas y revisiones.
Cada una especializada en un determinado
producto / escenario.
79 de
12
CGA
P
Las pruebas y revisiones ayudan a encontrar

falencias, y a identificar riesgos, que seran
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
80 de
12
CGA
P
Pruebas de Software
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Implantacin
Corresponde a la adecuacin de la plataforma
para la explotacin de las aplicaciones por
parte de los usuarios finales.
Se realiza la copia de los nuevos programas,
estructuras, relaciones, parmetros, objetos,
entre otros elementos creados para utilizar la
aplicacin.
Se realizan las cargas de datos, migraciones
y/o
actualizaciones
necesarias
para
la
implantacin del nuevo sistema,
81 de
12
CGA
P
El sistema debe ser aceptado por los usuarios

antes de ponerse en explotacin (produccin).
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Post - Implantacin
El sistema ya desarrollado pasa a produccin
donde su utilidad crea dependencia y apoyo a
los procesos de la compaa, por lo tanto las
sub-actividades post-implantacin hacen parte
del funcionamiento del sistema.
La sub-actividades de esta etapa corresponden
a:
Copias de seguridad
Actualizacin de componentes
Cambios en la informacin
Soporte tcnico
82 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
83 de
12
CGA
P
Preguntas del Modulo
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Riesgo de TI
84 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
85 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Controles de TI
86 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Controles de TI
Los controles se disean para brindar
una garanta razonable de que se
logren los objetivos del negocio
Los controles se disean para brindar

una garanta razonable de que eventos
no deseados puedan evitarse,
detectase y/o corregirse
87 de
12
CGA
P
Manual de Preparacin Examen CRISK 2014
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Alcance de los Controles de TI

CONTROLES DEL
NEGOCIO
CONTROLES
GENERALES
CONTROLES DE
APLICACIN
88 de
12
CGA
P
Objetivos del Negocio

Requerimientos
Regulaciones
Riesgo del Negocio
Polticas
Procedimientos de
Operacin
Infraestructura
Aplicaciones de Negocio
Controles en software
Controles de
procesamiento
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Categora de Controles de TI
CONTROLES
COMPENSATORIOS
CONTROLES CORRECTIVOS
CONTROLES DETECTIVOS
CONTROLES DISUASIVOS
CONTROLES PREVENTIVOS
89 de
12
CGA
P
Curso de
Preparaci
n CGAP
Interdependencia de controles
Una visin
general del
rol de las
TI
AMENAZA
CONTR Descubre
OL
DETECT
IVO
Activa
EVENTO
DE
AMENAZ
A
Reduce
Factibilida
d
Explota
VULNERABILI
DAD
Protege
CONTROL
PREVENTI
VO
Reduc
e
90 de
12
CGA
P
CONTROL
COMPENSAT
ORIO
DISUASIVO
IMPACTO
Disminuy
e
CONTROL
CORRECTI
VO
Provoca
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
91 de
12
CGA
P
Cmo saber si los controles

existentes brindan una
garanta razonable de que se
logren los objetivos del
negocio?
Cmo saber si los controles
existentes brindan una
garanta razonable de que
eventos no deseados puedan
evitarse, detectase y/o
corregirse?
Curso de
Preparaci
n CGAP
Marcos y buenas prcticas
Una visin
general del
rol de las
TI
ISO 31000
Gestin de Riesgos
COBIT
Gobernabilid
ad de TI
92 de
12
CGA
P
ISO 27000
Gestin de
Seguridad de la
Informacin (SGSI)
ISO 22301
Gestin de
Continuidad
Negocio
ISO 20000
Gestin de servicios
de TI
ITIL
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
93 de
12
CGA
P
Beneficios de la Adopcin
RECOGEN MEJORES PRACTICAS EN LA
MATERIA
ALTA ACEPTACIN A NIVEL INTERNACIONAL
ALTA APLICABILIDAD EN CUALQUIER TIPO DE
ORGANIZACIN
REQUISITOS GENERICOS Y NEUTRALES
TECNOLOGICAMENTE
PROPORCIONAN DIRECTRICES DE
IMPLEMENTACIN
PROVEEN DE ELEMENTOS DE CONTROL Y
MEDICIN
OTORGAN UNA LINEA BASE PARA LA
CONDUCCIN DE ACTIVIDADES DE AUDITORA
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
La auditoria de controles
Un reto al que se enfrentan los auditores,

cuando llevan a cabo una auditora de TI, es
saber contra qu deben auditar.
Muchas organizaciones no han desarrollado
completamente sus lneas de base para los
controles de TI en todas las aplicaciones y
tecnologas.
Un auditor de TI puede hacer uso de estas
normas como lneas de base para realizar
su auditora en referencia a ellas.
94 de
12
CGA
P
Tambin pueden ser tiles para informar

sobre deficiencias dado que se elimina la
subjetividad.
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
95 de
12
CGA
P
Reflexin
Si se compara la afirmacin: sera
conveniente mejorar la seguridad de
las
contraseas
con
las
contraseas no estn en conformidad
con la normativa ISO 27002 sobre
seguridad de la informacin..
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Controles de Entrada
96 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Controles de Entrada (Edicin)

Las aplicaciones deben proporcionar una
seguridad
razonable
de
que
el
almacenamiento,
procesamiento
y
presentacin
de
datos
se
realice
adecuadamente.
El punto ms econmica para la correccin
de errores de introduccin de datos es al
momento en que los datos se introducen en
el sistema. Por estas razones, los controles
de entrada son el foco principal de las
actividad de la auditora interna.
Son dos los tipos de operaciones

entrada de datos ms importantes:
CGA
Procesamiento por lotes
P
97 de
12
de
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Controles en el procesamiento por lotes
Totales financieros
Montos totalizados para la comparacin
con proceso manual.
Contadores de registro
Registro de procesamiento de registros
para
la
comparacin
de
nmeros
esperados de procesamiento.
Hash de totalizadores
Controles
totales
miscelneos
verificacin de la integridad.
98 de
12
CGA
P
para
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI

Totales financieros
N cheque
Monto
10009233
90.000
10009234
90.000
10023990
345.03
9
20390303
99 de
12
CGA
P
903.34
0
Total =
345.903.904
N
documentos=301
Reporte de Validacin
301 documentos
procesados
Total = 345.903.904
Tiempo Proceso= 3:45
minutos
Estado=completo
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Contadores de registro
Reporte de Validacin
N factura
rea
2334
Sur
2335
Sur
2336
Norte
2890
100 de
12
CGA
P
Norte
N Registros
procesados= 536
536 registros
procesados
135 rea Sur
180 rea Norte
221 rea Central
Tiempo Proceso= 2:45
horas
Estado=completo
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Hash de totalizadores
Antes del
proceso
N
factura
Despus del
proceso
N
factura
2334
2334
2335
2336
2890
101 de
12
CGA
P
=
?
2335
2336
2890
Permite verificar que los datos no han sido

modificados una vez que se ha realizado el
procesamiento.
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Controles de ingreso On-Line

Preformateo
Ayuda en la entrada de datos.
Chequeos de campos
Verifica si los datos son apropiados
para el campo.
Chequeos de validacin
Compara los datos con valores validos.
Chequeos de rango limite
Verifica que los datos se encuentren en
los rangos apropiados.
102 de
12
CGA
P
Dgitos de auto- chequeo

Aplicacin de algoritmos
sobre
los
Curso de
Preparaci
n CGAP
Preformateo
Una visin
general del
rol de las
TI
Sr.
Presente
Le informamos que el cheque
, serie
Del banco
ha sido protestado.
De no regularizar la situacin antes del
enviado a nuestras oficinas de cobranza judicial.
ser
Atte.
103 de
12
CGA
P
La idea es facilitar el ingreso de datos mediante

estructuras predefinidas.
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
Chequeos de campos a nivel de base de datos

N
Factura
Fecha
emisin
Monto
Estado
Rut
D
V
10-10-2008
200000
Emitida
1534433
2
10-11-2008
300000
Pagada
1534433
2
10-12-2009
400000
Pagada
1534433
2
Podra
ingresar
algn
valor que
no sea
4
01-01-2009
500000
Rechazada
1534433
3
una fecha en la fecha de emisin? 2
En el campo RUT podra ir una letra?
El digito verificador puede ser una T?
El monto podra ser un nmero
negativo?
104 de
12
CGA
P
Curso de
Preparaci
n CGAP
Chequeos de validacin a nivel de bases de

datos
Una visin
general del
rol de las
TI
ID
Tipo
Banc
o
Valor
Fecha
Ctacte
RUT
123
3
CHEFE
001
180000
0
21-072009
123242
1.233.2222
123
4
CHEFE
001
180000
0
21-082009
123242
1.233.2222
Cdigo
Banco
Descripcin
001
Banco Chile
009
Banco Internacional
037
Banco Santander
Debera poder ingresar un banco que no est en

105 de
mi lista?
12
CGA
P
Curso de
Preparaci
n CGAP
Chequeos de validacin a nivel de aplicacin
Una visin
general del
rol de las
TI
Lista de Valores
106 de
12
CGA
P
Usualmente se utilizan listas de valores asociadas a los

datos.
En las bases de datos el concepto se llama integridad
referencial.
Curso de
Preparaci
n CGAP
Chequeos de rango limite
Una visin
general del
rol de las
TI
107 de
12
CGA
P
La idea es validar el ingreso de cierto

valores mximos o mnimos no
permitidos.
Curso de
Preparaci
n CGAP
Dgitos de auto-chequeo.
Una visin
general del
rol de las
TI
Digito Verificador
Debemos ingresar el valor a verificar?

Debemos dejar que lo calcule la aplicacin por si sola?
108 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
109 de
12
CGA
P
Curso de
Preparaci
n CGAP
Una visin
general del
rol de las
TI
carlos.lobos@gmail.com
110 de
12
CGA
P

CGAP - Tecnologías de Información

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

CGAP - Tecnologías de Información

Uploaded by

Copyright:

Available Formats

Curso de

Carlos Lobos Medina

Cual es el rol de las TI?

John Mancini, the President of AIIM International

OBJETIVOS DEL NEGOCIO IMPULSADOS POR

AUMENTO DE LOS NIVELES DE

Factores que motivan la auditoria

En la medida que las organizaciones se

Surge la necesidad de tener controles de

Diversos sistemas de gestin de TI de alto nivel

Cobit 4.1 ISACA y ITGI

Que los riesgos de la TI se administren

Existe la estructura de direccin y modelo de

Se toman las decisiones debidamente

Consejo sobre la gobernabilidad de la TI. ITGI y

Valor Derivado de las TI

Consejo sobre la gobernabilidad de la TI. ITGI y

Medicin del desempeo

Consejo sobre la gobernabilidad de la TI. ITGI y

REEMPLAZA EL 2012 A COBIT 4.1

PROPORCIONA UNA FAMILIA DE PRODUCTOS

Cobit 5.0 procesos catalizadores

Es un marco de buenas prcticas

Sistema de Gestin de Seguridad de

Presentacin PMG SISTEMA DE SEGURIDAD DE LA INFORMACION DIPRES Mayo

Evolucin de Serie ISO 27000

ISO 27002:2013 Dominios de

Poltica de seguridad de la Informacin

Adquisicin, desarrollo y mantencin de

Administracin de incidentes de seguridad

Gestin de Continuidad del

Gestin de Continuidad del

Gestin de Continuidad del

Gestin de Continuidad del

Gestin de Riesgos ISO 27005

informacin puede existir de muchas

Gestin de recursos y capacidades de

Redes Virtuales (VLAN)

Permiten separar en forma lgica redes

DMZ Zona Desmilitarizada

Esto permite que los equipos (hosts) de la DMZ

DMZ Zona Desmilitarizada

Centros de Datos (Datacenter)

Ciclo de Vida de Desarrollo de

Ciclo de Vida de Desarrollo de Software

No son siempre obvios y tienen muchas fuentes.

Son exitosos los proyectos de

Las pruebas y revisiones ayudan a encontrar

El sistema debe ser aceptado por los usuarios

Preguntas del Modulo

Preguntas del Modulo

Los controles se disean para brindar

Manual de Preparacin Examen CRISK 2014

Alcance de los Controles de TI

Manual de Preparacin Examen CRISK 2014

Objetivos del Negocio

Manual de Preparacin Examen CRISK 2014

Manual de Preparacin Examen CRISK 2014

Cmo saber si los controles

Marcos y buenas prcticas

Un reto al que se enfrentan los auditores,

Tambin pueden ser tiles para informar

Controles de Entrada (Edicin)

Son dos los tipos de operaciones