DOMINIO 2

GOBIERNO Y GESTIÓN DE TI
ACERCA DEL EXAMEN CISA

Dominio 1: Proceso de
Dominio 5: auditoría a los sistemas
Protección de los de información, 21%
activos de
información, 27%

Dominio 2:
Gobierno y gestión
de TI, 17%
Dominio 4:
Operaciones de los
sistemas de
información y
resiliencia del
negocio, 23% Dominio 3: Adquisición,
desarrollo e
implementación de
sistemas de
información, 12%
DOMINIO 2

El Gobierno y gestión de TI es una parte

integral de la administración de una
empresa. El gobierno y la gestión de TI
constan de estructuras y procesos de
liderazgo y organización que garantizan
que la TI de la empresa sostenga y
extienda las estrategias y los objetivos
empresariales.
El conocimiento del gobierno de TI es
fundamental para el trabajo del auditor SI
y forma las bases para el desarrollo de
las prácticas y mecanismos de control
correctos para la supervisión y revisión
de la gerencia.
 OBJETIVOS DEL DOMINIO 2
Una vez que complete este dominio, el auditor SI debería poder hacer lo siguiente:
• Evaluar si la estrategia de TI está alineada con las estrategias y objetivos de la organización.
• Evaluar la eficacia de la estructura de gobierno de TI y la estructura organizacional de TI.
• Evaluar la gestión de las políticas y prácticas de TI en la organización.
• Evaluar si las políticas y prácticas de TI de la organización cumplen con los requerimientos legales y regulatorios
• Evaluar si la gestión de recursos y el portafolio de TI están alineados con las estrategias y los objetivos de la organización.
• Evaluar las políticas y prácticas de gestión de riesgos de la organización.
• Evaluar la gestión de TI y la supervisión de controles.
• Evaluar la supervisión y presentación de informes de los principales indicadores del rendimiento de TI (KPI).
• Evaluar si los procesos de gestión de selección y contratación de proveedores externos de TI están alineados con los
requerimientos de negocio.
• Evaluar si las prácticas de gestión de servicios de TI están alineadas con los requerimientos del negocio.
• Realizar revisiones periódicas de los sistemas de información y la arquitectura de la empresa. Evaluar las políticas y
prácticas del gobierno de datos.
• Evaluar el programa de seguridad de la información para determinar su eficacia y que estén alineadas con las estrategias y los
objetivos de la organización.
• Evaluar oportunidades y amenazas potenciales asociadas con las tecnologías emergentes, las regulaciones y las prácticas
de la industria.
TEMAS DEL DOMINIO 2

Gobierno de TI Gestión de TI
• Gobierno de TI y Estrategia de TI • Gestión de recursos de TI
• Estándares, políticas y procedimientos de TI • Adquisición y gestión de proveedores de
servicios de TI
• Estructura organizacional
• Supervisión e informes del rendimiento de TI
• Arquitectura de la empresa
• Aseguramiento de calidad y gestión de
• Gestión de riesgos empresariales
calidad de TI
• Modelos de madurez
• Leyes, regulaciones y estándares de la
industria que afectan a la organización

5
GOBIERNO DE TI Y ESTRATEGIA DE TI
• Gobierno de TI y estrategia de TI
• Marcos relacionados con TI
• Estándares, políticas y procedimientos de TI
• Estructura organizacional
• Arquitectura de la empresa
• Gestión de riesgos empresariales
• Modelos de madurez
• Leyes, regulaciones y estándares de la industria que afectan a la organización

6
 GOBIERNO DE TI Y ESTRATEGIA DE TI

Gobierno empresarial

Gobierno corporativo
Gobierno de negocios
(ej.: cumplimiento, transparencia, (ej.: rendimiento)
accountability)

Garantía de responsabilidad
Creación de valor
(ej.: controles internos y su Uso de recursos
evaluación)

GOBIERNO DE LA INFORMACIÓN Y TECNOLOGÍA DE LA EMPRESA (EGIT)

El propósito del EGIT es dirigir los esfuerzos de TI para garantizar que observen y respalden los
objetivos de la empresa y la obtención de los beneficios prometidos.

Adicionalmente, TI debe apoyar a la empresa al aprovechar las oportunidades y maximizar los

beneficios. Los recursos de TI deben usarse responsablemente y el riesgo relacionado con TI debe
manejarse de manera apropiada.
RESULTADOS DE UN GOBIERNO EFECTIVO DE LA
SEGURIDAD DE LA INFORMACIÓN

Gestión de recursos de TI
• Se centra en mantener un inventario actualizado de todos los
recursos de TI y trata el proceso de gestión de riesgos.
Medición del rendimiento
• Se centra en asegurar que todos los recursos de TI tengan el
rendimiento esperado para dar valor al negocio e identificar el
riesgo a tiempo. Este proceso se basa en los indicadores del
rendimiento que se optimizan para la entrega de valor y a partir de los
cuales cualquier desviación podría conducir a una materialización del
riesgo.

Gestión de cumplimiento
• Se centra en implementar procesos que cubran los requerimientos de
cumplimiento de los contratos y las políticas legales y regulatorias.
 BUENAS PRÁCTICAS DE EGIT
1. Los gerentes de negocio y consejos de dirección que exigen un mejor retorno sobre las inversiones de TI.

2. Preocupación por el creciente nivel de gasto en TI.

3. La necesidad de cumplir con los requerimientos regulatorios para los controles de TI en áreas como
privacidad y declaraciones financieras y en sectores específicos como finanzas, farmacia y servicios
médicos

4. La selección de proveedores de servicio y la gestión de contratación y adquisición de servicios externos

5. Iniciativas del gobierno de TI, que incluyen la adopción de marcos de control y buenas prácticas para
ayudar a monitorear y mejorar las actividades críticas de TI con el fin de incrementar el valor del negocio
y reducir el riesgo del negocio

6. La necesidad de optimizar los costos: enfoques estandarizados mejor que personalizados

7. La creciente madurez y la subsiguiente aceptación de marcos populares

8. La necesidad de las empresas de valorar su desempeño frente a los estándares generalmente aceptados y
otros similares
ROL DE LA AUDITORÍA EN EGIT
La auditoría tiene un rol significativo en la implementación del EGIT.

Tiene los siguientes beneficios:

• Brindar recomendaciones prácticas de liderazgo a la alta gerencia.
• Asegurar el cumplimiento de las iniciativas del EGIT.
• Aportar un punto de vista independiente y equilibrado para facilitar mejoras cuantitativas en los procesos de TI.

ÁREAS DE AUDITORÍA DE EGIT

De acuerdo con el rol definido del auditor de SI, se necesitan evaluar los siguientes aspectos
relacionados con el EGIT:
• La alineación del gobierno de la empresa y el gobierno de TI (EGIT).
• La alineación de la función de TI con la misión, la visión, los valores, los objetivos y las estrategias de la
organización.
• El logro de objetivos de rendimiento.
• El cumplimiento con requisitos legales, ambientales, de calidad de la información, fiduciarios, de seguridad y
de privacidad.
• El entorno de control de la organización, el riesgo inherente presente y los gastos e inversiones en TI.
GOBIERNO DE SEGURIDAD DE LA INFORMACIÓN (ELEMENTOS):
• Una estrategia integral de seguridad que esté alineada con los objetivos de negocio.
• Políticas de seguridad aplicables que aborden cada aspecto de la estrategia, los controles y la regulación.
• Un conjunto completo de estándares desarrollen la política y garanticen su cumplimiento.
• Una estructura organizacional efectiva de seguridad libre de conflictos de interés.
• Procesos de monitorización que aseguren el cumplimiento y proveer retroalimentación sobre la efectividad.
GOBIERNO EFECTIVO DE LA SEGURIDAD DE LA INFORMACIÓN
• Mantener una alta calidad de la información para respaldar las decisiones del negocio
• Generar el valor de negocio a partir de inversiones habilitadas para TI
• Lograr la excelencia operativa mediante la aplicación confiable y eficiente de tecnología
• Mantener el riesgo relacionado con la TI en un nivel aceptable
• Optimizar el costo de servicios y tecnología de TI
• Cumplir con las leyes, regulaciones, acuerdos contractuales y políticas relevantes cada vez mayores
RESULTADOS DEL GOBIERNO EFECTIVO DE LA SEGURIDAD DE LA INFORMACIÓN.
• Medición del rendimiento: objetivos (SMART), mediciones internas, evaluaciones externas y auditorias
• Gestión de recursos: documentación procesos y prácticas y definir una arquitectura efectiva de seguridad
• Integración del proceso: no fragmentar las actividades de seguridad
11

• Planificación estrategia e inteligencia de negocio (BI)

ESTÁNDARES, POLÍTICAS Y PROCEDIMIENTOS
DE TI

12
 ESTÁNDARES
Un estándar es un requisito obligatorio, un código de práctica o una especificación
aprobada por una organización normalizadora externa reconocida.
Los estándares profesionales se refieren a estándares emitidos por organizaciones
profesionales, como ISACA, y las pautas y técnicas relacionadas, que ayudan a los
profesionales a implementar y cumplir con otros estándares.

Ejemplos de marcos que proporcionan estándares para EGIT:

• COBIT
• Organización Internacional de Normalización (ISO)/Comisión Electrotécnica Internacional (IEC) 27000
• Biblioteca de Infraestructura de Tecnología de la Información (ITIL®)
• Modelo de Madurez Abierto para la Gestión de la Seguridad de la Información (O-ISM3)
• ISO/IEC 38500:2015: Tecnología de la Información—Gobierno de TI para la organización
• ISO/IEC 20000
• ISO 3100:2018: Guías de gestión de riesgos
POLÍTICAS
• Son declaraciones de alto nivel, establecen la intención y expectativas de la dirección.
• Tienen vocación de permanencia, si bien deben revisarse periódicamente.
• Los auditores de SI: debe analizar las políticas y comprobar si cumplen con la normativa.
• Los controles de SI deben emanar de las políticas. Los auditores de SI deben usar las políticas como un punto
de comparación para evaluar el cumplimiento.
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
• Primer paso para la construcción de la infraestructura de seguridad en organizaciones impulsadas por las TIC.
• Aporta una norma coherente de seguridad a los usuarios, la gerencia y el personal técnico.
• Para el auditor de SI representa un marco marco general de referencia para realizar auditorías.
• La suficiencia y pertinencia de la política puede ser un área de revisión durante una auditoría de SI.
COMPONENTES DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
• Política de alto nivel: Debe incluir declaraciones relativas a la confidencialidad, integridad y disponibilidad.
• Política de clasificación de datos: describir las clasificaciones y los niveles de control en cada clasificación.
• Política para el usuario final: identifica parámetros y uso de herramientas de escritorio, dispositivos móviles y
otras herramientas.
• Políticas de control de acceso: Describen el método para definir y dar acceso a los usuarios a diferentes
recursos de TI.
• Política de uso aceptable (AUP): Controla el uso de los recursos del sistema de información mediante la
definición de cómo los recursos de TI pueden ser utilizados por los empleados.
PROCEDIMIENTOS

Los pasos definidos y documentados contribuyen a alcanzar

los objetivos de la política. Un auditor SI
examina los
Los procedimientos documentan los procesos del negocio y procedimientos para
TI alineados y los controles integrados formulados por los identificar y evaluar
dueños del proceso. los controles para
asegurar que se
Para ser eficaces, los procedimientos deben: cumplan los
• Deben revisarse y actualizarse con frecuencia. objetivos de control.
• Comunicarse a quienes afecten.
ESTRUCTURA ORGANIZACIONAL

16
ESTRUCTURA ORGANIZACIONAL
La estructura organizacional es un componente clave para el gobierno. Proporcionan las
entidades clave para la toma de decisiones en una empresa. La siguiente sección
proporciona una guía sobre las estructuras organizacionales, las funciones y las
responsabilidades dentro de una EGIT. Tenga en cuenta que las estructuras reales pueden
diferir según el tamaño, la industria y la ubicación de una empresa.

COMITÉS DE GOBIERNO DE TI
Las organizaciones a menudo cuentan con comités de estrategia y dirección a nivel
ejecutivo para manejar los problemas de TI de toda la organización.

El auditor SI debe conocer las responsabilidades de dichos comités, la autoridad que

poseen y su composición.

17
ANÁLISIS DEL COMITÉ DE TI

Nivel Comité de estrategia de Comité de dirección de TI

TI
Responsabilidad Proporciona información y Decide el nivel y la asignación de
asesoramiento al consejo los gastos de TI, alinea y aprueba la
de dirección en una amplia arquitectura de TI de la empresa y
gama de temas de TI. otras funciones de supervisión.
Autoridad Asesora al consejo de Asiste al comité ejecutivo en la
dirección y a la gerencia ejecución de la estrategia de TI, a la
sobre la estrategia de TI, vez que supervisa la gestión de la
centrándose en cuestiones prestación de servicios de TI, los
estratégicas de TI proyectos y la implementación.
presentes y futuras.
Afiliación Incluye a los miembros del Incluye al ejecutivo patrocinador, al
consejo de dirección y a ejecutivo de negocios (usuarios
los especialistas que no clave), al director de información
son miembros del consejo. (CIO) y a los asesores clave, según
sea necesario.
ESTRUCTURA ORGANIZATIVA Y RESPONSABILIDADES DE SI

El cuadro refleja un ejemplo típico de estructura para TI. El auditor SI debe comparar las funciones y
responsabilidades observadas con las estructuras organizativas formales y las descripciones de los puestos
de trabajo.
19
FUNCIONES DE TI (en general, deben ser revisadas por el auditor de SI)
• Gestión del desarrollo de sistemas
• Gestión de proyectos
• Administración del centro de soporte o de servicio al cliente
• Actividades del usuario final y su gestión
• Gestión de datos
• Gestión del aseguramiento de calidad
• Gestión de seguridad de la información
• Gestión de proveedores y contratistas externos
• Operaciones y mantenimiento de la infraestructura
• Gestión de medios extraíbles
• Entrada de datos
• Control de supervisión y adquisición de datos
• Administración de seguridad y de sistemas
• Administración de bases de datos
• Desarrollo y mantenimiento de infraestructura y aplicaciones
• Gestión de redes
 SEGREGACIÓN DE FUNCIONES DE TI
Si bien los títulos de los puestos de trabajo y las estructuras
organizativas varían de una empresa a otra, un auditor SI debe
obtener la información necesaria para comprender y
documentar las relaciones entre las diversas funciones,
responsabilidades y autoridades del puesto de trabajo.

También debe valorar la idoneidad de la segregación de

funciones.

La segregación de funciones limita la posibilidad de que una

sola persona sea responsable de funciones de tal manera que
los errores o apropiaciones indebidas puedan ocurrir sin ser
detectados.

La segregación de funciones es un método importante para

desalentar y prevenir actos fraudulentos o maliciosos. También
mitiga la posibilidad de que no se detecten cambios o
modificaciones no autorizadas o erróneas de datos y programas
PAUTAS DE SEGREGACIÓN DE FUNCIONES
Las funciones que deben ser segregadas incluyen:
• Custodia de activos
• Capacidad de autorización
• Registro de transacción

Tanto los departamentos de SI como los de usuario final deben estar organizados para
cumplir con las políticas de SdF.
Si no existe una segregación de funciones adecuada, puede ocurrir lo siguiente con una
menor probabilidad de detección:
• Apropiación indebida de activos.
• Estados financieros falsos.
• Documentación financiera inexacta (debido a errores o irregularidades).
• Uso indebido de fondos o la modificación de datos.
• Modificación no autorizada o errónea de programas.
 CONTROLES COMPENSATORIOS POR FALTA DE SEGREGACIÓN DE FUNCIONES
• Las pistas de auditoría: esencial para departamentos de TI, usuarios y auditor SI. Aporta mapa para trazar el flujo real de
una transacción. Control compensatorio ante la ausencia de una adecuada segregación de funciones. Debe dejar constancia
de quien hizo qué y cuando con suficiente nivel de detalle: quien inició la transacción, la hora y la fecha de ingreso, el tipo de
ingreso, qué campos de información contenía y qué archivos actualizó.

• La conciliación es responsabilidad, en última instancia, del departamento de usuarios. En algunas organizaciones, el grupo
de control de datos puede realizar una conciliación limitada de las aplicaciones mediante el uso de totales de control y hojas
de balance. Este tipo de verificación independiente incrementa el nivel de confianza de que la aplicación ejecutó con éxito y de
que los datos están correctamente balanceados.

• Los informes de excepción deben ser manejados a nivel de supervisión para lo cual se requieren pruebas, como por
ejemplo las iniciales en el reporte, haciendo notar que la excepción ha sido debidamente tratada. También, la gerencia debe
asegurarse que las excepciones se hayan atendido oportunamente.

• Los registros (logs) de transacciones pueden ser manuales o automatizados. Un ejemplo de un registro manual es un
registro de transacciones (agrupadas o en lote) antes que las mismas sean entregadas para su procesamiento. Un registro de
transacciones automatizado provee un registro de todas las transacciones procesadas y es mantenido por el sistema de
computación.

• Las revisiones de supervisión pueden ser efectuadas a través de observación, investigación o remotamente.

• Las revisiones independientes se llevan a cabo para compensar los errores o fallas intencionales al seguir los
procedimientos prescritos. Estas revisiones son particularmente importantes cuando las funciones en una organización
pequeña no pueden ser segregadas debidamente. Dichas revisiones ayudarán a detectar errores o irregularidades.
23
AUDITORÍA A LA ESTRUCTURA E IMPLEMENTACIÓN DEL GOBIERNO DE TI

Algunos de los indicadores más • Compras de HW/SW sin soporte o sin

significativos de los problemas potenciales autorización
incluyen: • Frecuentes ampliaciones de capacidad de
• Costos excesivos HW/SW
• Presupuesto excedido • Informes de excepción largos
• Proyectos atrasados • Informes de excepciones a los que no se
• Alta rotación de personal les hizo seguimiento
• Personal inexperto • Ausencia de planes de reemplazo
• Errores frecuentes de HW/SW • Confianza en uno o dos miembros claves
del personal
• Exceso de solicitudes atrasadas de
usuarios • Falta de capacitación adecuada
• Largo tiempo de respuesta de
computadora
• Numerosos proyectos de desarrollo
24
interrumpidos o suspendidos
REVISIÓN DE LA DOCUMENTACIÓN

La siguiente documentación de gobierno debe ser

revisada:
• Estrategias, planes y presupuestos de TI
• Documentación de política de seguridad
• Tablas funcionales/organizacionales
• Descripciones de cargos
• Informes del comité directivo de TI
• Procedimientos de cambio de programas y el desarrollo
de sistemas
• Procedimientos de operaciones
• Manuales de Recursos Humanos
• Procedimientos de aseguramiento de calidad

25
ARQUITECTURA DE LA EMPRESA

26
ARQUITECTURA DE LA EMPRESA

La arquitectura empresarial (EA) es una práctica centrada en la documentación

estructurada de los activos de TI de una organización.
La EA facilita la comprensión, la gestión y la planificación de las inversiones en TI
mediante la comparación del estado actual y un estado futuro optimizado.

La EA puede ser abordada desde una de dos perspectivas diferentes, como se describe
a continuación:
• EA centrada en la tecnología: Busca clarificar las complejas opciones tecnológicas que enfrenta
una organización, con el fin de proporcionar orientación sobre la implementación de varias
soluciones.
• EA centrada en el proceso de negocio: Intenta entender la organización en términos de sus
procesos centrales y obtener la combinación óptima de tecnologías necesarias para apoyar estos
procesos.
GESTIÓN DE RIESGOS EMPRESARIALES

28
GESTIÓN DE RIESGOS
El proceso de gestión de riesgos se centra en los recursos de información de una empresa.
Para ser eficaz, el proceso debe comenzar con una comprensión del apetito de riesgo de la
alta gerencia.

APETITO DE RIESGO
Cuatro posibles respuestas a los riesgos son:
• Evitar: eliminación de la causa del riesgo.
• Mitigar: reducción de la probabilidad de que ocurra un riesgo o de su impacto.
• Transferencia/Compartir: compartir el riesgo con los socios, por ejemplo, a través de seguros o
empresas conjuntas.
• Aceptar: reconocimiento formal de la presencia de riesgo con el compromiso de supervisarlo.

Una quinta respuesta, rechazar el riesgo al optar por pasarlo por alto no se considera una gestión eficaz del
riesgo. La presencia de esta respuesta de riesgo debería ser una señal de alarma para el auditor SI.
DESARROLLO DE UN PLAN DE GESTIÓN DE RIESGOS
Establecer el propósito del programa de gestión de riesgos.
Asignar responsabilidad para el programa de gestión de riesgos.

PROGRAMA DE GESTIÓN DE RIESGOS

Identificación de activo • Identificar los recursos o activos vulnerables a
amenazas.
Objetivo:
Evaluación de amenazas • Evaluar las amenazas y vulnerabilidades asociadas
Un equilibrio
con los activos. rentable
entre las
Evaluación del impacto
amenazas
• Describir lo que sucederá si se aprovecha una
vulnerabilidad. significativas
y la
• Formar una visión global del riesgo, basada en la aplicación
Cálculo de los riesgos probabilidad de ocurrencia y la magnitud del
impacto.
de controles
a esas
• Evaluar los controles existentes e implementar amenazas.
Respuesta a riesgos nuevos controles diseñados para alinear el riesgo
residual con el apetito de riesgo de la empresa.

30
MÉTODOS DE ANÁLISIS DE RIESGOS

El análisis de riesgos se define como un proceso por el cual se calculan la frecuencia y

la magnitud de los escenarios de riesgos de TI.
Durante el análisis de riesgos, pueden emplearse tres métodos:
• Métodos de análisis cualitativo: Se utilizan clasificaciones descriptivas para describir la
probabilidad y el impacto del riesgo.
• Métodos de análisis semi-cuantitativo: Las clasificaciones descriptivas están asociadas a valores
numéricos.
• Métodos de análisis cuantitativo: Los valores numéricos, por ejemplo, en forma de costos
financieros, se utilizan para describir la probabilidad y el impacto del riesgo.

Cada uno de los tres métodos ofrece una perspectiva sobre el riesgo, pero es importante
reconocer los supuestos incorporados en cada análisis de riesgo.
MODELO DE MADUREZ

32
MODELOS DE MADUREZ

El auditor de SI debe entender de qué manera el

desarrollo, la implementación y la integración de
las herramientas, las técnicas y los procesos
(TTP) de la calidad de madurez y capacidad
facilitarán y promoverán la calidad de los
procedimientos y las políticas de TI de la
empresa.

33
INTEGRACIÓN DEL MODELO DE MADUREZ DE CAPACIDAD

34
LEYES, REGLAMENTOS Y ESTÁNDARES DE LA
INDUSTRIA QUE AFECTAN A LA ORGANIZACIÓN

35
GOBIERNO, RIESGO Y CUMPLIMIENTO
Gobierno, gestión de riesgos y cumplimiento (GRC) suele enfocarse en Finanzas y Legal
LEYES, REGLAMENTOS Y ESTÁNDARES QUE AFECTAN UNA AUDITORÍA DE SI:
• Estándares y procedimientos: Deben estar establecidos, y los empleados y otras entidades pueden observarlos para
reducir el riesgo de actividades delictivas.
• Asignación de responsabilidad al personal sénior: La responsabilidad general de cumplimiento con los estándares y
procedimientos debe estar asignada a personas específicas dentro de la alta gerencia de la organización.
• Antecedentes confiables del personal: La organización debe efectuar el control de antecedentes de los integrantes del
personal antes de establecer el acceso o las funciones de autoridad para garantizar que el poder no se delegue a
personas que han realizado actividades ilegales.
• Procedimientos de comunicación: Los estándares y procedimientos organizacionales deben ser comunicados con
eficacia a todos los empleados y a otros agentes mediante la capacitación o documentación.
• Auditoría y monitoreo de cumplimiento: La organización debe dar los pasos razonables para lograr el cumplimiento
con sus estándares (p. ej., de monitoreo y preparación de informes).
• Exigencia consistente: El cumplimiento debe exigirse con consistencia por toda la organización, con las medidas
disciplinarias correspondientes para los infractores.
• Respuesta apropiada a una infracción y prevención de infracciones similares: Las organizaciones deben actuar
como corresponde, una vez que se detecta o que ocurre una infracción (p. ej., denunciar a las autoridades
correspondientes o a las fuerzas policiales), y actuar para prevenir las infracciones futuras de forma oportuna.
36
GESTIÓN DE TI

• Gestión de recursos de TI
• Adquisición y gestión de proveedores de servicios de TI
• Supervisión e informes del rendimiento de TI
• Aseguramiento de calidad y gestión de calidad de TI

37
GESTIÓN DE RECURSOS DE TI

38
GESTIÓN DE RECURSOS DE TI

Un auditor SI debe comprender las prácticas de

inversión y asignación de una empresa para
determinar si esta está bien posicionada para lograr
el mayor valor posible de la inversión de sus
recursos.
Cuando sea factible, los beneficios no financieros
se deben hacer visibles y tangibles usando
algoritmos que los transforman en unidades
monetarias para entender su impacto y mejorar su
análisis.

39
GESTIÓN DE RR. HH.

Manual del Políticas de

Contratación
empleado promoción

Planificación Términos y
Formación e informes condiciones
de tiempo de empleo

Rendimiento Rescisión
GESTIÓN DE RR. HH. RECURSOS HUMANOS (III)
Contratación: Selección de personal eficiente
• Controles: Verificación de antecedentes, acuerdos de confidencialidad, establecimiento de fianzas, acuerdos sobre conflicto de intereses, acuerdo de
no-competencia
• Riesgos de Control: Selección de personal inadecuado, no verificar referencias, personal temporal o de terceros (perdida de control), falta de
concienciación del personal contratado
Manual del Empleado Concienciación del personal contratado, mediante código de conducta que especifique las responsabilidades de los empleados
• Contenido: Políticas y procedimientos de seguridad, expectativas de la compañía, beneficios de los empleados, política de vacaciones, reglas de tiempo
extra, evaluaciones del desempeño, procedimientos de emergencia, adopción de medidas disciplinarias
Políticas de Promoción: Definir un plan de carrera profesional para el empleado
• Consideraciones: Objetividad en la evaluación del desempeño, valoración de la experiencia, personalización según nivel de responsabilidad.
Entrenamiento: Mejora de la calidad del personal
• Consideraciones: Monitorización de la experiencia y conocimientos del empleado, definición de un programa de formación personalizado (este
aspecto es especialmente importante para los profesionales en TI dado el ritmo de cambio constante de la tecnología). Se debe entrenar a los usuarios
tras la incorporación de un nuevo sistema, se debe fomentar el entrenamiento cruzado (mitiga la dependencia funcional y se gestiona el back up de
personas)
Evaluaciones del Desempeño: Establecimiento de objetivos esperados y resultados
• Consideraciones: Establece objetivos según el mutuo acuerdo de las partes y los objetivos globales de gobierno TI definidos por la Dirección. En
función de la evaluación se realizarán los aumentos de sueldo, las promociones y las bonificaciones. El auditor revisará: la objetividad del proceso, la
definición clara y divulgada de la descripción de puestos de trabajo, la definición de las funciones y obligaciones según puesto de trabajo y la
exposición formal de las variables para la evaluación del desempeño
Vacaciones requeridas: Gestionar el back-up de personas y proporcionar continuidad a las operaciones.
• Consideraciones: El disfrute obligatorio de las vacaciones permite detectar la existencia de actos indebidos o ilegales. El auditor revisará: el
cumplimiento por parte de los profesionales TI de las vacaciones existentes por ley, analizar las posibles excepciones y su vinculación a una correcta
segregación de funciones y propodrá la rotación de puestos en situaciones sospechosas.
Políticas de extinción de contratos: Protección adecuada de los activos (sobre todo, datos)
• Consideraciones: Esta política deberá contemplar cualquier tipología de extinción de contratos (voluntarias o despidos e incluirá los siguientes
procedimientos de control: devolución de llaves de acceso, tarjetas y distintivos de identificación, devolución de los bienes de la entidad, revocación
de la identificación de usuario para iniciar la sesión, notificación a empleados y personal de seguridad de la situación, saldo de las obligaciones
dinerarias para eliminar su registro en nóminas, etc.
GESTIÓN DE CAMBIOS
La gestión del cambio organizacional
utiliza un proceso definido y documentado
para identificar y aplicar las mejoras
tecnológicas tanto en el nivel de la
infraestructura como de la aplicación.
El departamento de TI es el punto focal
para dichos cambios y dirige o facilita los
cambios con el apoyo de la alta
dirección.
La comunicación es un componente
importante de la gestión del cambio, y los
usuarios finales deben estar informados
del impacto y los beneficios de los
cambios.
GESTIÓN FINANCIERA

El presupuesto de SI permite la adecuada asignación de fondos y la previsión, la

supervisión y el análisis de la información financiera.
El presupuesto de SI debe estar vinculado a los planes de TI a corto y largo plazo.
Un sistema de "pago por uso" puede mejorar la aplicación y el control de los gastos y
recursos de SI.
• En este acuerdo, se cobran a los usuarios finales los costos de los servicios de SI que reciben.
• Estos cargos se basan en una fórmula estándar e incluyen servicios de SI como tiempo del
personal, tiempo de servicio técnico y otros costos pertinentes.
SEGURIDAD DE LA INFORMACIÓN

El gobierno de la seguridad de la información:

• Responsabilidad tanto del consejo de dirección como de la gerencia ejecutiva.
• Subconjunto del gobierno corporativo y provee estrategia de seguridad y logro de objetivos.

El programa de seguridad de la información comprende el liderazgo, las estructuras organizativas y los

procesos que salvaguardan la información.

El marco de gobierno de seguridad de la información constará de lo siguiente:

• Una estrategia de seguridad que tenga un vínculo con los objetivos de negocio.
• Políticas de seguridad que traten la estrategia, los controles y la regulación.
• Normas para asegurar que los procedimientos y pautas cumplan con las políticas
• Una estructura organizacional efectiva de seguridad, libre de conflictos de interés.
• Procedimientos de monitoreo para garantizar cumplimiento y proveer retroalimentación sobre la eficacia.

La gestión de seguridad de la información provee la función rectora para garantizar que la información y los
recursos de procesamiento de información de la organización bajo su control estén debidamente protegidos.
ADQUISICIÓN Y GESTIÓN DE PROVEEDORES DE
SERVICIOS DE TI

45
ESTRATEGIAS DE FUNCIÓN DE SERVICIOS DE TI

Definir la función de TI que debe ser externalizada. Interno

Describir los niveles de servicio requeridos y las métricas Externo
mínimas que se deben cumplir.
Híbrido
Estar consciente del nivel deseado de conocimiento,
habilidades y calidad que se espera del proveedor de En sitio
servicio. Remoto
Conocer la información actual del costo interno, para En el extranjero
compararlo con las ofertas de terceros.
Realizar revisiones de debida diligencia de posibles
proveedores de servicio.
Confirmar las consideraciones de la arquitectura para
cumplir los requisitos contractuales o normativos.
46
PRÁCTICAS Y ESTRATEGIAS DE CONTRATACIÓN
DE SERVICIOS EXTERNOS

El auditor SI debe
revisar lo siguiente:
• Programas de
calidad (ISO/IEC
15504 [SPICE], y
las metodologías
CMMI, ITIL e ISO)
• Revisión de SLA

47
PRÁCTICAS Y ESTRATEGIAS DE CONTRATACIÓN DE SERVICIOS EXTERNOS
• Expectativas de calidad de servicio • Procedimientos de continuidad del negocio,
• Políticas y Administración de la seguridad: recuperación ante desastres y las pruebas
(proveedor/cliente?). apropiadas.
• Informe de las infracciones y su seguimiento. • Establecer la confidencialidad, integridad,
• Notificación al propietario y cooperación con disponibilidad y la propiedad de los datos.
las investigaciones. • Cumplimiento requisitos legales incluidos los
• Control y prueba de cambio/versión para las posteriores al inicio del contrato.
etapas de implementación y producción. • Establecer períodos definidos de garantía y
• Controles sobre la red. mantenimiento.
• Parámetros de rendimiento • Proveer disposiciones para colocar el software
• Administración de la capacidad. en custodia de un tercero.
• Posibles cambios al contrato. • Proteger la propiedad intelectual (Abordar la
• Procedimiento para escalado y resolución de que desarrolle el proveedor durante el contrato)
disputas. • Establecer roles y responsabilidades claros
• Posibles indemnizaciones por daños causados entre las partes.
por el proveedor. • Control de las subcontrataciones: sujetas a
• Clausulas de confidencialidad que protejan a identificación y aprobación por el cliente.
ambas partes.
• “derecho a auditar” para el cliente.
48
PRÁCTICAS Y ESTRATEGIAS DE GLOBALIZACIÓN

El auditor de SI puede ayudar en este proceso al asegurarse que la gerencia de TI

considere los siguientes riesgos y preocupaciones de auditoría al definir la
estrategia de globalización y efectuar la posterior transición a las ubicaciones en
el extranjero:
• Aspectos legales, reglamentarios y fiscales.
• Continuidad de operaciones.
• Personal.
• Problemas de telecomunicaciones.
• Problemas transfronterizos y transculturales.
• Globalización planificada o expansión importante
49
CONTRATACIÓN DE SERVICIOS EXTERNOS E
INFORMES DE AUDITORÍA DE TERCEROS
Un auditor SI debe estar familiarizado con lo siguiente:
• Afirmaciones de la gerencia y qué tan bien éstas abordan los servicios que
son proporcionados por el proveedor del servicio
• Auditorias sometidas a regulación o control de terceros: (ej. SSAE informe
18; AICPA: informes SOC 1, SOC 2 y SOC 3; etc.): incluyen aspectos
financieros, seguridad, disponibilidad, integridad de procesamiento,
confidencialidad o privacidad
• Informes de auditoría de terceros adicionales, como las pruebas de
penetración y las evaluaciones de seguridad. Nota: Las evaluaciones de
terceros deben realizarse de manera independiente, objetiva y competente
por parte de terceros.
• Cómo obtener el informe, revisarlo y presentar los resultados a la gerencia
para nuevas acciones

50
GOBIERNO EN LA NUBE

Asegurarse de que TI está alineada con el negocio, que los

sistemas son seguros y que se gestiona el riesgo es una
Las políticas se
tarea desafiante en cualquier ambiente e incluso es más deben modificar o
complejo en una relación con un tercero. desarrollar para
abordar el proceso
Las actividades de gobierno, tales como el establecimiento de abastecimiento,
de metas, las políticas y el desarrollo de estándares, la gestión y
definición de roles y responsabilidades, y el manejo del discontinuidad del
riesgo deben incluir consideraciones especiales cuando se uso de servicios en
trata de la tecnología de la nube y sus proveedores. la nube.

51
GOBIERNO EN CONTRATACIÓN DE SERVICIOS EXTERNOS
Aseguramiento de la viabilidad contractual a través de revisión continua, mejoramiento
y obtención de beneficios para ambas partes.

Inclusión de un programa explícito de gobierno en el contrato.

Gestión de la relación para asegurar que las obligaciones contractuales se cumplan a

través de acuerdos de nivel de servicio (SLA) y acuerdos de nivel operativo (OLA).

Identificación y manejo de todas las partes interesadas, sus relaciones y expectativas.

Establecimiento de roles y responsabilidades claros para la toma de decisiones, escalado

de problemas, gestión de disputas, gestión de demandas y prestación de servicios.

Asignación de recursos, gastos y consumo de servicios en respuesta a las necesidades

priorizadas.

Evaluación continua del rendimiento, coste, satisfacción de los usuarios y eficacia.

Comunicación de todas las partes interesadas de forma continua.

52
MONITOREO Y GESTIÓN DE LOS SERVICIOS DE TERCEROS

Supervisar Gestionar
• Niveles del rendimiento • Cambios en la organización
• Informes de servicio • Cambios en los servicios de terceros
• Incidentes de seguridad • Cambios en la ubicación física de las
• Las pistas de auditoría y los registros de instalaciones de servicios
eventos de seguridad, problemas • Cambio de proveedores o subcontratistas
operativos, fallos, rastreo de faltas e
interrupciones relacionadas con el servicio
entregado.
• Resolver y manejar cualquier problema
identificado

53
SUPERVISIÓN E INFORMES DEL RENDIMIENTO DE TI

54
SUPERVISIÓN E INFORMES DEL RENDIMIENTO DE TI
Contribución al negocio, incluida la finanza, entre otros.

Rendimiento en relación con el plan estratégico empresarial y el plan de TI.

Riesgo y cumplimiento con los reglamentos.

Satisfacción del usuario interno y externo con respecto a los niveles de servicio.

Procesos clave de TI, incluida la entrega de servicios y soluciones.

Actividades orientadas al futuro (p. ej., tecnología emergente, infraestructura reutilizable, y conjuntos de
habilidades de negocios y del personal de TI).

OPTIMIZACIÓN DEL RENDIMIENTO

Se encuentra disponible una variedad de metodologías de optimización y mejora que complementan los
simples enfoques desarrollados internamente. Incluyen:
• Las metodologías de mejora continua, como el ciclo PDCA
• Mejores prácticas integrales, como ITIL
• Marcos, como COBIT
55
MÉTODO PDCA

• Establecer los
Hacer • Estudiar los
Actuar
objetivos y procesos resultados del paso
necesarios para • Implementar el plan, "Hacer", buscando • Analizar las
lograr los resultados mediante la desviaciones de los desviaciones y
deseados. recolección de datos resultados solicitar acciones
para gráficos y deseados. correctivas.
análisis.

Planificar Controlar
HERRAMIENTAS Y TÉCNICAS

• Un análisis cuantitativo del proceso, reducción de defectos y enfoque de

Six Sigma mejora.

• Es una técnica de evaluación de la gestión de procesos que puede aplicarse

BSC de TI con eficacia para valorar las funciones y los procesos de TI.

• Una medida que determina qué tan bien se está desempeñando el proceso
KPI para hacer posible la consecución de la meta.

• Un enfoque sistemático para comparar el rendimiento de una empresa con

Análisis comparativo el de competidores para aprender métodos.

• El análisis exhaustivo y el rediseño de los procesos de negocio para

BPR establecer una estructura de mejor rendimiento con ahorros en los costes.

• El proceso de diagnóstico para establecer los orígenes de los eventos, para

Análisis de causa raíz poder desarrollar controles que aborden esas causas.

Análisis de coste-beneficio • Evaluación del ciclo de vida, análisis de costos y beneficios del ciclo de vida
del ciclo de vida para determinar la dirección estratégica de los sistemas de TI.
CUADRO DE MANDO DE TI

El cuadro de mando integral de TI (BSC) es una técnica de evaluación de la gestión de

procesos que puede aplicarse al proceso de EGIT.
Va más allá de la evaluación financiera tradicional, ya que mide:
• Satisfacción del usuario (o consumidor).
• Procesos internos de operaciones.
• La capacidad de innovar.

Los objetivos del BSC de TI sirven para:

• Establecer un método para la presentación de informes de gestión a la junta directiva.
• Fomentar el consenso entre las partes interesadas sobre los objetivos estratégicos de TI.
• Demostrar la eficacia de la TI.
• Facilitar la comunicación sobre el rendimiento, los riesgos y las capacidades de TI.
EJEMPLO DE UN CUADRO DE MANDO DE TI

Cuadro de mando genérico de TI

Contribución al negocio
¿Cómo ve la dirección al departamento
de TI?
Misión
Obtener una contribución razonable de
las inversiones en TI para el negocio
Objetivos Causa
Alineación de TI/negocio Efecto
Entrega de valor
Orientación para usuarios Gestión de costos Orientación para el futuro
¿Cómo ven los usuarios al departamento de TI? ¿Cómo está posicionada la TI para
Gestión de riesgo
Misión satisfacer futuras necesidades?
Ser el proveedor preferido de sistemas de Misión
información. Desarrollar oportunidades que respondan
Objetivos
Proveedor preferido de aplicaciones y
BSC de TI a los futuros desafíos.
Objetivos
operaciones Capacitación y educación del personal de TI
Asociación con los usuarios Experiencia del personal de TI
Satisfacción del usuario Investigación sobre tecnologías emergentes
Excelencia operativa
¿Cuán eficientes y efectivos son los
procesos de TI?
Misión
Entregar aplicaciones y servicios de TI
eficientes y efectivos.
Objetivos
Desarrollos eficientes y efectivos
Operaciones eficientes y efectivas
Nivel de madurez de procesos de TI

Fuente: ISACA, Prácticas y competencias para el dominio del Gobierno de TI: Medir y demostrar el valor de TI, EE. UU., 2005, figura 7
ASEGURAMIENTO DE CALIDAD Y GESTIÓN DE
CALIDAD DE TI

60
ASEGURAMIENTO DE LA CALIDAD (QA)
QA QC
El personal de QA realiza usualmente dos funciones distintas:
• Aseguramiento de la calidad (QA): Siguiendo un patrón planificado y sistemático de todas las
acciones necesarias para proporcionar la confianza adecuada de que un elemento o producto cumple los
requisitos técnicos. ( ej. que cumple con ISO 9001).
• Control de calidad (QC) Las actividades y técnicas de observación utilizadas para cumplir con los
requerimientos para la calidad. El QC es responsable de realizar las pruebas o revisiones para verificar y
asegurar que el software esté libre de defectos y llene las expectativas del usuario. Esto podría hacerse
en varias etapas del desarrollo de un sistema de aplicación, pero debe hacerse antes de que los
programas sean llevados a producción. (ej.: QC ayudará a asegurar que los programas y documentación
se adhieren a los estándares y convenciones de nomenclatura.
GESTIÓN DE CALIDAD
Las áreas de control para la administración de calidad pueden incluir lo siguiente:
• Desarrollo, mantenimiento e implementación de software
• Adquisición de hardware y software
• Operaciones del día a día
• Gestión de servicios
• Seguridad
• Gestión de RR. HH.
• Administración general
61
PREGUNTAS DE PRÁCTICA

62
 PREGUNTA DE PRÁCTICA

El gobierno de TI eficaz se asegurará de que el

plan de TI sea consistente con:
A. el plan de negocios.
B. el plan de auditoría.
C. el plan de seguridad.
D. el plan de inversión.

63
 PREGUNTA DE PRÁCTICA

La responsabilidad del gobierno de TI debe

recaer en:
A. el Comité de estrategia de TI.
B. el Director de Informática.
C. el Comité de auditoría.
D. el Consejo de dirección.

64
 PREGUNTA DE PRÁCTICA

Al desarrollar una arquitectura de seguridad,

¿cuál de los pasos siguientes debería ejecutarse
PRIMERO?
A. Desarrollar procedimientos de seguridad
B. Definir una política de seguridad
C. Especificar una metodología de control de acceso
D. Definir roles y responsabilidades

65
 PREGUNTA DE REPASO

El beneficio PRINCIPAL de una iniciativa de

arquitectura de empresa (EA) es:
A. permitir que la organización invierta en la
tecnología más adecuada.
B. asegurar que los controles de seguridad sean
implementados en las plataformas críticas.
C. permitir que los equipos de desarrollo
respondan mejor a los requerimientos de
negocio.
D. brindar a las unidades de negocio una mayor
autonomía para seleccionar las soluciones
que se adapten a sus necesidades.
66
 PREGUNTA DE REPASO

Un auditor SI ha sido asignado para revisar las

estructuras y actividades de TI subcontratadas
recientemente a varios proveedores. ¿Cuál de
las siguientes opciones debería determinar
PRIMERO el auditor SI?
A. Hay una cláusula de auditoría presente en todos
los contratos.
B. El acuerdo de nivel de servicio de cada contrato
está sustanciado por los indicadores clave del
rendimiento apropiados.
C. Las garantías contractuales de los proveedores
soportan las necesidades de negocio de la
organización.
D. A la terminación del contrato, el soporte está
garantizado por cada contratista para los nuevos
contratistas. 67
REPASO DEL DOMINIO 2

Como auditor SI, ahora debería poder:

• Evaluar si la estrategia de TI está alineada con las estrategias y objetivos
de la organización.
• Evaluar la eficacia de la estructura de gobierno de TI y la estructura
organizacional de TI.
• Evaluar la gestión de las políticas y prácticas de TI en la organización.
• Evaluar si las políticas y prácticas de TI de la organización cumplen con los
requerimientos legales y regulatorios
• Evaluar si la gestión de recursos y el portafolio de TI están alineados con
las estrategias y los objetivos de la organización.
• Evaluar las políticas y prácticas de gestión de riesgos de la organización.
• Evaluar la gestión de TI y la supervisión de controles.
REPASO DEL DOMINIO 2
• Evaluar la supervisión y presentación de informes de los principales
indicadores del rendimiento de TI (KPI).

• Evaluar si los procesos de gestión de selección y contratación de

proveedores externos de TI están alineados con los requerimientos de
negocio.

• Evaluar si las prácticas de gestión de servicios de TI están alineadas con

los requerimientos del negocio.

• Realizar revisiones periódicas de los sistemas de información y la

arquitectura de la empresa. Evaluar las políticas y prácticas del gobierno
de datos.

• Evaluar el programa de seguridad de la información para determinar su

eficacia y que estén alineadas con las estrategias y los objetivos de la
organización.

• Evaluar oportunidades y amenazas potenciales asociadas con las

tecnologías emergentes, las regulaciones y las prácticas de la industria.