Auditoria De La Gestion De Las Tic

6,291 views
6,112 views

Published on

Trabajo de Recopilacion de Información De estanadres ISO-27001

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
6,291
On SlideShare
0
From Embeds
0
Number of Embeds
124
Actions
Shares
0
Downloads
200
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Auditoria De La Gestion De Las Tic

  1. 1. AUDITORÍA DE LA GESTIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN 31 Mar 2009 Emigdio Alfaro
  2. 2. CONTENIDO 1. Problemática de la Gestión de las TI. 2. MAIGTI. 3. 3 MAIGTI – Desarrollo de la Metodología Metodología. 4. MAIGTI – Aplicaciones. 5. MAIGTI – Procedimientos. 6. Referencias. Emigdio Alfaro 2
  3. 3. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) 749 entrevistas: CEOs, CIOs, COOs, CFOs, y auditores. 652 entrevistas de manera aleatoria. 71 entrevistas a usuarios de COBIT conocidos. 26 entrevistas a usuarios experimentados de COBIT COBIT. 23 países de todos los continentes. Emigdio Alfaro 3
  4. 4. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) Emigdio Alfaro 4
  5. 5. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) Emigdio Alfaro 5
  6. 6. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 ( ) Emigdio Alfaro 6
  7. 7. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Emigdio Alfaro 7
  8. 8. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Compound Problem Index = f(Frecuencia, Severidad, Evolución del Último Año, Prioridad para resolución Próximo Año) Emigdio Alfaro 8
  9. 9. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Emigdio Alfaro 9
  10. 10. 1. Problemática de la Gestión de las TI IT Governance Institute (2008). IT Governance Global Status Report 2008 Emigdio Alfaro 10
  11. 11. 1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Standish Group, 1995) 175,000 proyectos de software en USA. Gasto mayor a US$ 250 billones billones. Costo Promedio Proyecto en Gran Empresa: US$ 2’322,000. Costo P C t Promedio P di Proyecto en M di t Mediana E Empresa: US$ 1’331 000 1’331,000. Costo Promedio Proyecto en Pequeña Empresa: US$ 434,000. Proyectos de Software están en CAOS. No se puede seguir actuando igual: no escuchar fallas, no ver fallas, no hablar de fallas. Emigdio Alfaro 11
  12. 12. 1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Standish Group, 1995) 31.1% de los proyectos serán cancelados antes de ser completados. 52.7% 52 7% de los proyectos costarán 189% de los costos estimados iniciales iniciales. En promedio se demoraron 222% del tiempo estimado inicial. En promedio, 61% de las especificaciones originales fueron incluidas. 16.2% fueron completados a tiempo y con el presupuesto estimados. Emigdio Alfaro 12
  13. 13. 1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Standish Group, 1995) En empresas grandes sólo 9% de los proyectos fueron completados a tiempo y con el presupuesto, y sólo el 42% de ellos cumplieron las especificaciones originales originales. En empresas pequeñas 78.4% de los proyectos completaron al menos 74.2% d l 74 2% de las especificaciones originales. ifi i i i l Agencias del g g gobierno y firmas de USA g gastaron US$ 81 billones en proyectos cancelados. Además, gastarán US$ 59 billones adicionales para completar otros proyectos. Los costos de oportunidad no son medibles; pero, podrían ser trillones. Emigdio Alfaro 13
  14. 14. 1. Problemática de la Gestión de las TI STANDISH CHAOS REPORT (Rubinstein, 2007) Proyectos Exitosos: Año 2006, 32% (antes 16.2%, 1994). Proyectos Cancelados: Año 2006 19% (antes 31 1% 1994) 2006, 31.1%, 1994). Proyectos Desafiados: Año 2006, 46% (antes 52.7%, 1994). Emigdio Alfaro 14
  15. 15. 1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información R. M. N 179-2004-PCM, 14 Junio 2004. NTP-ISO/IEC 12207:2004. N° 179 2004 PCM, NTP ISO/IEC Procesos del Ciclo de Vida del Software. R. M. N 224-2004-PCM, R M N° 224 2004 PCM 23 Julio 2004 NTP ISO/IEC 17799:2004 2004. NTP-ISO/IEC 17799:2004. Código de Buenas Prácticas de Gestión de la Seguridad de la Información. R. M. N° 395-2005-PCM y R. M. N° 396-2005-PCM, 8 Noviembre 2005. Modifican plazo hasta el 30 Junio 2006. Emigdio Alfaro 15
  16. 16. 1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información 11 Agosto 2006 D U 020 2006 Dictan Normas de Austeridad y 2006. D.U. 020-2006 Racionalidad en el Gasto Público. 18 Agosto 2006. D.U. 021-2006 Dictan Medidas Complementarias al D.U. 020-2006. Emigdio Alfaro 16
  17. 17. 1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información 45 entidades convocaron 83 procesos de selección. 45 entidades (4.39%) de las 1026 usuarias de T.I. (en total 2972, según INEI 2002) realizaron acciones para la implementación de las normas técnicas de gestión de T.I. a un costo de S/. 2’760,718. Sólo 13 entidades (1.27%) habrían logrado implementar la NTP- ISO/IEC 12207. El costo total por esta norma fue S/. 912,457. Sólo 13 entidades (1.27%) habrían logrado implementar la NTP- ISO/IEC 17799. El costo total por esta norma fue S/. 1’848,261. Emigdio Alfaro 17
  18. 18. 1. Problemática de la Gestión de las TI Alfaro (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información TIPOS DE SERVICIOS EN LOS PROCESOS DE SELECCIÓN RELACIONADOS A LAS NORMAS TÉCNICAS PERUANAS DE GESTIÓN DE TECNOLOGÍA DE INFORMACIÓN TIPO DE SERVICIO ISO 12207 ISO 17799 Diagnóstico 2 11 Diagnóstico y Plan de Implementación 3 10 Plan de Implementación, P líti Pl d I l t ió Políticas, P Procedimientos, y di i t Capacitación (Implementación Completa) 5 2 Diagnóstico, Plan de Implementación, Políticas, Procedimientos, y Capacitación ( p p (Implementación Completa) p ) 8 11 Asesoría 0 3 Auditoría Interna 0 1 Personal de Apoyo para Implementación 10 9 Actualización a versión posterior 0 1 Capacitación 2 5 TOTAL 30 53 Tabla 2: Tipos de servicios prestados como consecuencia de los procesos de selección adjudicados, relacionados con las normas técnicas peruanas de Gestión de TI Emigdio Alfaro 18
  19. 19. 1. Problemática de la Gestión de las TI Alfaro (2007). Los ERPs ¿Generan o Destruyen Valor? Algunos errores comunes en la Implantación de Sistemas de Información ERPs son los siguientes: ERPs, A. Proyecto aislado del Plan Estratégico de la Organización. B. No se hace participar al usuario en la definición de requerimientos. C. C El usuario toma a la ligera su responsabilidad en la definición de f requerimientos. D. El personal de Informática no conoce los procesos de gestión a ser soportados por los sistemas de información. Emigdio Alfaro 19
  20. 20. 1. Problemática de la Gestión de las TI Alfaro (2007). Los ERPs ¿Generan o Destruyen Valor? Algunos errores comunes en la Implantación de Sistemas de Información ERPs, son los siguientes: E. Se trata de minimizar cambios y se sugiere que la empresa cambie sus procesos de acuerdo a la configuración estándar del ERP . F. Se personaliza el ERP a las necesidades de la empresa; sin embargo, los requerimientos cambian continuamente por no tener claros tanto la estrategia como los procesos para llevarla a cabo. G. G No se sig e los procesos formales del ciclo de vida del soft are En sigue ida software. especial: Plan de Pruebas, Plan de Integración y Plan de Migración. Emigdio Alfaro 20
  21. 21. 2. MAIGTI Normas relacionadas a la Gestión de las TI: Normas de Contraloría General de la República. Normas de la SBS. Normas Internacionales: COBIT MAGERIT PMBOK ISO/IEC 12207 IEEE 1058 IEEE-1058 COSO ISO/IEC 17799 MoProSoft ERM ISO/IEC 27001 CMM ISO 9001 ISO/IEC 20000 Métrica 3 ISO 19011 Emigdio Alfaro 21
  22. 22. 2. MAIGTI Alfaro (2008). MAIGTI - Metodología para la Auditoría Integral de la Gestión de Tecnología de Información. El objetivo del estudio fue el desarrollo de una metodología para la auditoría integral de la gestión de la tecnología de información (MAIGTI) (MAIGTI), enfocada en procesos, y basada en estándares de calidad internacionales. Emigdio Alfaro 22
  23. 23. 2. MAIGTI 2.1 COBIT. 2 1 COBIT Control Objectives for Information and related Technologies Technologies. Grupos de Objetivos de Control de COBIT: a) Planificación y Organización. b) Adquisición e Implementación. c) Entrega de Servicios y Soporte. d) Monitoreo y Control. Emigdio Alfaro 23
  24. 24. 2. MAIGTI 2.2 ISO/IEC 12207 Procesos del Ciclo de Vida del Software A. Procesos Principales. Incluye: (a) Adquisición; (b) Suministro; (c) Desarrollo; (d) Operación; y (e) Mantenimiento Mantenimiento. B. Procesos de Apoyo. Incluye: (a) Documentación; (b) Gestión de la Configuración; (c) Aseguramiento de la Calidad; (d) Verificación; (e) Validación; (f) Revisión Conjunta; (h) Auditoría; y (i) Solución de Problemas. C. Procesos Organizativos. Incluye: (a) Gestión; (b) Infraestructura; (c) Mejora; y (d) Recursos Humanos Humanos. Emigdio Alfaro 24
  25. 25. 2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la Seguridad de la Información A. Evaluación y Tratamiento del Riesgo. B. Política de Seguridad. Incluye: (a) Documento de Política de Seguridad de la Información; y (b) Revisión y Evaluación. C. Aspectos Organizativos de la Seguridad. Incluye: (a) Estructura para la Seguridad de la Información (Comité Recursos (Comité, Recursos, Responsabilidades, Asesoría de Expertos, Colaboración entre organizaciones y Evaluación Independiente); (b) Seguridad en los accesos de terceras partes; y (c) Outsourcing Outsourcing. D. Clasificación y Control de Activos. Incluye: (a) Responsabilidades sobre los activos; y (b) Clasificación de la Información. Emigdio Alfaro 25
  26. 26. 2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la Seguridad de la Información E. Seguridad Ligada al Personal. Incluye: (a) Seguridad en la Definición del Trabajo y Recursos; (b) Formación y capacitación en seguridad de la información; y (c) Respuesta ante incidencias y malos funcionamientos de la seguridad. F. Seguridad Física y del Entorno. Incluye: (a) Áreas Seguras; (b) Seguridad de los equipos; y (c) Controles Generales. G. Gestión de Comunicaciones y Operaciones. Incluye: (a) Procedimientos y Responsabilidades de Operación; (b) Planificación y Aceptación del Sistema; (c) Protección contra software malicioso; (d) Gestión Interna de Respaldo y Manipulación; (e) Gestión de redes; (f) Uso y seguridad de los medios de información; y (g) Intercambio de Información y Software. Emigdio Alfaro 26
  27. 27. 2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la g Seguridad de la Información H. Control de A H C t l d Accesos. I l Incluye: ( ) R (a) Requisitos d negocio para el control i it de i l t l de accesos; (b) Gestión de acceso a usuarios; (c) Responsabilidades de los usuarios; (d) Control de acceso a la red; (e) Control de acceso al sistema operativo; (f) Control de acceso a las aplicaciones; (g) Seguimiento de accesos y usos del sistema; (h) Informática móvil y teletrabajo. j I. Adquisición, Desarrollo y Mantenimiento de Sistemas. Incluye: (a) Requisitos de seguridad en los sistemas; (b) Seguridad de las aplicaciones; (c) Controles criptográficos; (d) Seguridad de los archivos del sistema; y (e) Seguridad en los procesos de desarrollo y soporte. Emigdio Alfaro 27
  28. 28. 2. MAIGTI 2.3 ISO/IEC 17799 Código de Buenas Prácticas de Gestión de la g Seguridad de la Información J. Gestión d I id t d S J G tió de Incidentes de Seguridad de la Información. id d d l I f ió K. Gestión de la Continuidad del Negocio. Incluye: ( ) Planificación; (b) g y (a) ;( ) Prueba; y (c) Mantenimiento y reevaluación de los planes de continuidad. L. Cumplimiento. Incluye: (a) Cumplimiento de los requisitos legales; (b) Revisiones de la política de seguridad y la conformidad técnica; y (c) Consideraciones sobre l auditoría d sistemas. C id i b la di í de i Emigdio Alfaro 28
  29. 29. 2. MAIGTI 2.4 ISO/IEC 20000 Modelo de Gestión de Servicios de T.I. (ITIL: ( Information Technology Infrastructure Library) A. Acuerdos d niveles d servicio y procedimientos d atención d A A d de i l de i i di i t de t ió de requerimientos de sistemas en producción (desarrollo de software y soporte técnico). B. Service Desk. C. Gestión de Incidentes. D. Gestión de Problemas. E. E Gestión de Cambios Cambios. F. Gestión de Versiones. G. G Gestión de Configuraciones Configuraciones. Emigdio Alfaro 29
  30. 30. 2. MAIGTI 2.5 PROJECT MANAGEMENT BODY OF KNOWLEDGE GRUPOS DE PROCESOS: ÁREAS DE CONOCIMIENTO: a) Inicio. a) Gestión de la Integración. b) Planificación. b) Gestión del Alcance. c) Ejecución. Ejecución c) Gestión del Tiempo Tiempo. d) Seguimiento y Control. d) Gestión del Costo. e) Cierre. Cierre e) Gestión de la Calidad. Calidad f) Gestión de los Recursos Humanos. g) ) Gestión de las Comunicaciones. G ió d l C i i h) Gestión de los Riesgos. i) Gestión de las Adquisiciones. Emigdio Alfaro 30
  31. 31. 2. MAIGTI 2.6 Alcances de las Normas con respecto a la Auditoría de la Gestión de Tecnología de Información No se ha encontrado una metodología orientada a la auditoría integral de la gestión de la tecnología de información en una organización, con la excepción del uso del p p proceso ggeneral de auditoría ( (ISO 19011) ) teniendo en cuenta los objetivos de control de las normas gubernamentales o los estándares internacionales. Emigdio Alfaro 31
  32. 32. 3. MAIGTI - Desarrollo de la Metodología ISO 200000 ISO 200000 ISO 200000 ISO 200000 ISO 12207 ISO 17799 ISO 12207 ISO 17799 ISO 12207 ISO 17799 ISO 12207 ISO 17799 BOK BOK BOK BOK PMB PMB PMB PMB 1 1 1 1 1 1 1 1 2 2 2 2 PLANIFICACIÓN Y ADQUISICIÓN E ENTREGA DE MONITOREO ORGANIZACIÓN IMPLEMENTACIÓN SERVICIOS Y SOPORTE Y CONTROL COBIT PROCESO GENERAL DE AUDITORÍA Estructura de MAIGTI - Metodología para la Auditoría Integral de la Gestión de la Tecnología de Información Emigdio Alfaro 32
  33. 33. 3. MAIGTI - Desarrollo de la Metodología 2. ESPECIFICAR EL 3. SOLICITAR LA ALCANCE Y ELABORAR 1. DETERMINAR INFORMACIÓN PLAN DE TRABAJO (P062) EL OBJETIVO a. Papeles Trabajo b. Informe 5. EJECUTAR EL PROCESO MAIGTI - Introducción 4. RECIBIR LA - Objetivo INFORMACIÓN, 5.1 EVALUAR DOCS - Alcance ORDENARLA E PLANIFICACIÓN Y - Procedimientos INGRESARLA AL ORGANIZACIÓN - Técnicas PROCESO MAIGTI - Evaluación - Opinión 5.2 EVALUAR DOCS 5.4 EVALUAR DOCS SALIDAS ADQUISICIÓN E MONITOREO ENTRADAS IMPLEMENTACIÓN Y CONTROL -Informes auditoría 5.3 EVALUAR DOCS anteriores 6. COMUNICAR, ENTREGA DE - Planes DISCUTIR, Y SERVICIOS Y - Evaluación de Riesgos CORREGIR SOPORTE - Organización INFORME (P060) - Metodologías 5.5 5 5 EJECUTAR - Contratos PROCEDIMIENTOS - Actas - Reportes P052->P059 7. DISTRIBUIR - Sistemas de Inf. INFORME FINAL - Manuales, etc. , (P061) MAIGTI - Metodología para la Auditoría Integral de la Gestión de la T.I. Emigdio Alfaro 33
  34. 34. 3. MAIGTI - Desarrollo de la Metodología 5. EJECUTAR EL PROCESO MAIGTI 4. RECIBIR LA INFORMACIÓN, P002->P020 ORDENARLA E INGRESARLA AL 5.1 EVALUAR DOCS PROCESO MAIGTI PLANIFICACIÓN a. Papeles Trabajo Y ORGANIZACIÓN b. b Informe - Introducción - Objetivo 5.2 EVALUAR DOCS 5.4 EVALUAR DOCS - Alcance ENTRADAS ADQUISICIÓN E MONITOREO - Procedimientos IMPLEMENTACIÓN Y CONTROL - Técnicas - Documentos Planificación - Evaluación y Organización. Para cada gerencia: - Documentos Adquisición P021->P035 P042->P051 Para cada hallazgo: 5.3 EVALUAR DOCS e Implementación. - Enunciado ENTREGA DE - Documentos Entrega de - Descripción SERVICIOS Y Servicios y Soporte. - Causa SOPORTE - Documentos Monitoreo - Efecto y Control. - Riesgo P036->P041 - Recomendación - Opinión 5.5 EJECUTAR SALIDAS PROCEDIMIENTOS P052->P059 Proceso MAIGTI Emigdio Alfaro 34
  35. 35. 4. MAIGTI - Aplicaciones MAIGTI se ha aplicado de manera integral a 2 empresas de seguros y 1 entidad recaudadora del Estado Peruano. También se ha aplicado de manera parcial a 8 entidades más usuarias más, de tecnologías de información. Emigdio Alfaro 35
  36. 36. 5. MAIGTI - Procedimientos P001: MAIGTI: Metodología para la Auditoría Integral de la Gestión de la Tecnología de Información Información. P002: Procedimiento para la auditoría de la Planificación Estratégica. P003: Procedimiento para l auditoría d l Pl P003 P di i t la dit í de los Planes O Operativos. ti P004: Procedimiento para la auditoría de la Evaluación de Riesgos. P005: Procedimiento para la auditoría de la Planificación Estratégica de Tecnologías de Información. P006: Procedimiento para la auditoría de los Planes de Proyecto de Desarrollo de Sistemas de Información. P007: Procedimiento para la auditoría de los Planes de Proyecto de Compra de Sistemas de Información. P008: Procedimiento para la auditoría del Plan de Contingencias de Informática. Emigdio Alfaro 36
  37. 37. 5. MAIGTI - Procedimientos P009: Procedimiento para la auditoría del Plan de Continuidad de Negocio. Negocio P010: Procedimiento para la auditoría del Plan de Seguridad de la Información. P011: Procedimiento para la auditoría del Plan de Licenciamiento de Software. P012: Procedimiento para la auditoría del Plan de Capacitación. P013: Procedimiento para la auditoría del Plan de Mantenimiento p Preventivo de Hardware de Computadoras, Redes y Equipos Relacionados. P014: Procedimiento para l auditoría d l Pl d M P014 P di i la di í del Plan de Mantenimiento i i Correctivo de Hardware de Computadoras, Redes y Equipos Relacionados. Emigdio Alfaro 37
  38. 38. 5. MAIGTI - Procedimientos P015: Procedimiento para la auditoría de la Planificación de Labores de Rutina relacionadas con las Tecnologías de Información Información. P016: Procedimiento para la auditoría del Plan de Calidad. P017: Procedimiento para l auditoría d l Pl d C P017 P di i t la dit í del Plan de Compras d de Tecnologías de Información. P018: Procedimiento para la auditoría del Reglamento de Organización y Funciones. P019: Procedimiento para la auditoría del Manual de Organización y p g Funciones. P020: Procedimiento para la Evaluación del Currículum Vitae del personal d T l de Tecnología d I f l í de Información. ió P021: Procedimiento para la auditoría del Inventario de Hardware de Tecnología de Información Información. Emigdio Alfaro 38
  39. 39. 5. MAIGTI - Procedimientos P022: Procedimiento para la auditoría del Inventario de Software de Base. Base P023: Procedimiento para la auditoría del Inventario de Sistemas de Información. P024: Procedimiento para la auditoría de las Solicitudes y Evaluaciones de Cotizaciones para las compras de hardware de computadoras, redes y equipos relacionados. P025: Procedimiento para la auditoría de las Solicitudes y Evaluaciones de Cotizaciones para las compras de software de base base. P026: Procedimiento para la auditoría de las Solicitudes y Evaluaciones de Cotizaciones para las compras de sistemas de información información. P027: Procedimiento para la auditoría de los contratos de compra de bienes y servicios, de hardware de computadoras, redes y equipos relacionados. Emigdio Alfaro 39
  40. 40. 5. MAIGTI - Procedimientos P028: Procedimiento para la auditoría de los contratos para la compra de software de base base. P029: Procedimiento para la auditoría de los contratos para la compra de sistemas de información. P030: Procedimiento para la auditoría de los contratos de seguros para las tecnologías de información. P031: Procedimiento para la auditoría de la metodología de desarrollo de sistemas de información. P032: Procedimiento para la auditoría de la metodología para la atención de requerimientos de soporte técnico. P033: P P033 Procedimiento para l auditoría d l metodología para l atención di i la di í de la d l í la ió de requerimientos de desarrollo de sistemas de información. Emigdio Alfaro 40
  41. 41. 5. MAIGTI - Procedimientos P034: Procedimiento para la auditoría de la documentación de los manuales técnicos de los sistemas de información información. P035: Procedimiento para la auditoría de la documentación de los manuales de usuario de los sistemas de información. P036: Procedimiento para la auditoría de la arquitectura de la red de tecnologías de información. P037: Procedimiento para la auditoría de la seguridad de acceso a los sistemas de información. P038: Procedimiento para la auditoría de la seguridad de acceso a las carpetas en los servidores. P039: Procedimiento para l auditoría d l manuales d P039 P di i la di í de los l de procedimientos de soporte técnico. Emigdio Alfaro 41
  42. 42. 5. MAIGTI - Procedimientos P040: Procedimiento para la auditoría de los manuales de procedimientos de desarrollo de sistemas de información información. P041: Procedimiento para la Revisión de los Formularios de Control de Entregables de Proyectos y Requerimientos de Desarrollo de Sistemas de Información. P042: Procedimiento para el Seguimiento de Informes de Auditoría Interna. P043: Procedimiento para el Seguimiento de Informes de Auditoría Externa. Externa P044: Procedimiento para la auditoría de las Certificaciones de Calidad de Tecnología de Información Información. P045: Procedimiento para la auditoría de la Evaluación de Desempeño del Área de Tecnología de Información. Emigdio Alfaro 42
  43. 43. 5. MAIGTI - Procedimientos P046: Procedimiento para la auditoría de la Evaluación de Desempeño del Personal de Tecnología de Información Información. P047: Procedimiento para la Revisión de los Formularios de Control de Cambios en Proyectos de Compra o Desarrollo de Sistemas de Información. P048: Procedimiento para la Revisión de los Formularios de Control de Riesgos en Proyectos de Compra o Desarrollo de Sistemas de Información. P049: Procedimiento para la Revisión de los Formularios de Seguimiento de Avances en Proyectos de Compra o Desarrollo de Sistemas de Información. P050: Procedimiento para la auditoría del Control de Calidad de los Requerimientos de Compra o Desarrollo de Sistemas de Información. Emigdio Alfaro 43
  44. 44. 5. MAIGTI - Procedimientos P051: Procedimiento para la auditoría del Control de Calidad de los Requerimientos de Soporte Técnico Técnico. P052: Procedimiento para Entrevistar a los usuarios de Tecnologías de Información. P053: Procedimiento para la auditoría de las Instalaciones Eléctricas de los Equipos de Cómputo y Redes. P054: Procedimiento para la auditoría de la Seguridad de Acceso al Centro de Cómputo Principal. P055: Procedimiento para la auditoría de las Instalaciones del Centro de Cómputo Principal. P056: Procedimiento para l auditoría d l S P056 P di i la di í de la Seguridad d A id d de Acceso al l Centro de Cómputo Alterno. P057: Procedimiento para la auditoría de las Instalaciones del Centro de Cómputo Alterno. Emigdio Alfaro 44
  45. 45. 5. MAIGTI - Procedimientos P058: Procedimiento para la auditoría del Cableado de Redes de Datos. P059: Procedimiento para la auditoría del Cálculo de la Generación de Valor de los Proyectos. P060: P P060 Procedimiento para l El b di i t la Elaboración d l I f ió del Informe P li i Preliminar. P061: Procedimiento para el Envío, Sustentación y Corrección del Informe Final Final. P062: Procedimiento para la Elaboración del Plan de Trabajo de la Auditoría. P063: Procedimiento para la Medición de la Resistencia de la Puesta a Tierra. Emigdio Alfaro 45
  46. 46. 6. Referencias Alexander A. (2007). Diseño de un Sistema de Gestión de Seguridad de la Información: Óptica ISO/IEC 27001:2005. Bogotá: Alfa Omega p g g Colombiana. Alfaro, E. A. (2007). Alfaro E A (2007) Los ERPs ¿Generan o Destruyen Valor? Congreso Valor?. Internacional de Ingeniería de Sistemas, Universidad César Vallejo: Trujillo. Alfaro, E. A. (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información. Congreso Internacional SSudamericano de Ingeniería de Sistemas, Computación e í S C ó Informática XII: Arequipa. Alfaro, E. A. (2008). Avance en la Implementación de las Normas Técnicas Peruanas de Gestión de Tecnología de Información. Congreso Internacional Sudamericano de Ingeniería de Sistemas, Computación e Informática XII: Arequipa. Emigdio Alfaro 46
  47. 47. 6. Referencias IT Governance Institute (2008). IT Governance Global Status Report 2008. Retrieved f 2008 R i d from h // http://www.isaca.org. i Rubinstein, D. (2007). Standish Group Report: Three’s Less ( ) p p Development Chaos Today. Software Development Times, 169(1), 1. Standish Group (1995) Standish Group Report Retrieved March 8 (1995). Report. 8, 2007, from http://www.standishgroup.com/sample_research/chaos_1994_1.php. Emigdio Alfaro 47

×