PO6: Comunicar las Aspiraciones y la Dirección de la Gerencia<br />
Descripción del Proceso<br />
Control sobre el proceso de TI de:<br />	comunicación de los objetivos y aspiraciones de la gerencia <br />que satisface l...
Objetivos de Control<br />
Objetivos de Control<br />
Directrices Gerenciales<br />
Directrices Gerenciales<br />Funciones<br />Cumplimiento, Auditoria, Riesgo y Seguridad<br />CEO<br />Arquitecto en Jefe<b...
Directrices Gerenciales<br />TI<br /><ul><li>Asegurarse de la transparen-</li></ul>cia  y el entendimiento de los<br /> co...
Asegurar el uso y desempeño </li></ul>Adecuados de las aplicaciones<br />PROCESOS<br /><ul><li>Elaborar un marco de </li><...
cumplen las políticas
# de ocasiones en que </li></ul>se puso en riesgo la <br />información confidencial<br /><ul><li># de interrupciones al </...
Upcoming SlideShare
Loading in …5
×

PO6:; Comunicar las Aspiraciones y la Dirección de la Gerencia

2,379 views

Published on

Published in: Technology, Business
  • Be the first to comment

  • Be the first to like this

PO6:; Comunicar las Aspiraciones y la Dirección de la Gerencia

  1. 1. PO6: Comunicar las Aspiraciones y la Dirección de la Gerencia<br />
  2. 2. Descripción del Proceso<br />
  3. 3. Control sobre el proceso de TI de:<br /> comunicación de los objetivos y aspiraciones de la gerencia <br />que satisface los requerimientos de negocio de TI para:<br />Una información precisa y oportuna sobre los servicios de TI actuales y futuros, los riesgos asociados y las responsabilidades<br />Enfocándose en<br />Proporcionar políticas, procedimientos, directrices y otra documentación aprobada, de forma precisa y entendible y que se encuentre dentro del marco de trabajo de control de TI a los interesados<br />Se logra con:<br />La definición de un marco de trabajo de control para TI <br />La elaboración e implantación de políticas para TI<br />El refuerzo de políticas de TI<br />Y se mide con <br />El número de interrupciones en el negocio debidas a interrupciones en ele servicio de TI<br />Porcentaje de interesados que entienden el marco de trabajo de control de TI de la empresa<br />Porcentaje de interesados que no cumplen las políticas.<br />
  4. 4. Objetivos de Control<br />
  5. 5. Objetivos de Control<br />
  6. 6. Directrices Gerenciales<br />
  7. 7. Directrices Gerenciales<br />Funciones<br />Cumplimiento, Auditoria, Riesgo y Seguridad<br />CEO<br />Arquitecto en Jefe<br />Jefe de Desarrollo<br />Ejecutivo del Negocio<br />Jefe de Administración de TI<br />Jefe de Operaciones<br />PMO<br />Prop. de proceso del negocio<br />CIO<br />CFO<br />Actividades<br />
  8. 8. Directrices Gerenciales<br />TI<br /><ul><li>Asegurarse de la transparen-</li></ul>cia y el entendimiento de los<br /> costos, beneficios, etc de TI.<br /><ul><li>Asegurarse de que se puede </li></ul>confiar en las transacciones <br />Automatizadas y en los cam-<br />bios de información del neg.<br /><ul><li>Asegurar un impacto mínimo
  9. 9. Asegurar el uso y desempeño </li></ul>Adecuados de las aplicaciones<br />PROCESOS<br /><ul><li>Elaborar un marco de </li></ul>control para TI que sea <br />común e integral.<br /><ul><li>Elaborar un conjunto de </li></ul>políticas de TI que sea co-<br />mún e integral.<br /><ul><li>Comunicar la estrategia, </li></ul>políticas y el marco de <br />control de TI<br />ACTIVIDADES<br /><ul><li>Definir un marco de control</li></ul>para TI<br /><ul><li>Elaborar e implementar </li></ul>políticas de TI<br /><ul><li>Reforzar las políticas de TI</li></ul>Establece<br />Establece<br />Metas<br />Dirige<br />Dirige<br />Mide<br />Mide<br />Mide<br /><ul><li> Frecuencia de revisiones/</li></ul>Actualizaciones de las <br />políticas<br /><ul><li>Tiempo entre la aprobación</li></ul>de las políticas y la comu-<br />nicación a los usuarios<br /><ul><li>% de interesados que </li></ul>entienden las políticas <br />de TI<br /><ul><li>% de interesados que </li></ul>entienden el marco de <br />control de TI<br /><ul><li>% de interesados que no
  10. 10. cumplen las políticas
  11. 11. # de ocasiones en que </li></ul>se puso en riesgo la <br />información confidencial<br /><ul><li># de interrupciones al </li></ul>negocio debidas a <br />interrupciones en el <br />servicio de TI<br /><ul><li>Nivel de entendimiento
  12. 12. de los costos beneficios,
  13. 13. estrategia, políticas y
  14. 14. niveles de servicios de TI.</li></ul>Métricas<br />
  15. 15. 0 No Existente cuando<br /> La gerencia no ha establecido un ambiente positivo de control de información. No hay reconocimiento de la necesidad de establecer un conjunto de políticas, procedimientos, estándares y procesos de cumplimiento.<br />1 Inicial / Ad Hoc cuando<br /> La gerencia es reactiva al resolver los requerimientos del ambiente de control de información. Las políticas, procedimientos y estándares se elaboran y comunican de forma ad hoc de acuerdo a los temas. Los procesos de elaboración, comunicación y cumplimiento son informales e inconsistentes.<br />2 Repetible pero Intuitivo cuando<br /> La gerencia tiene un entendimiento implícito de las necesidades y de los requerimientos de un ambiente de control de información efectivo, aunque las prácticas son en su mayoría informales. La gerencia ha comunicado la necesidad de políticas, procedimientos y estándares de control, pero la elaboración se delega a la discreción de gerentes y áreas de negocio individuales. La calidad se reconoce como una filosofía deseable a seguir, pero las prácticas se dejan a discreción de gerentes individuales. El entrenamiento se realiza de forma individual, según se requiera.<br />Modelo de Madurez<br />
  16. 16. 3 Definido cuando<br /> La gerencia ha elaborado, documentado y comunicado un ambiente completo de administración de calidad y control de la información, que incluye un marco para las políticas, procedimientos y estándares. El proceso de elaboración de políticas es estructurado, mantenido y conocido por el personal, y las políticas, procedimientos y estándares existentes son razonablemente sólidos y cubren temas clave. La gerencia ha reconocido la importancia de la conciencia de la seguridad de TI y ha iniciado programas de concienciación. El entrenamiento formal está disponible para apoyar al ambiente de control de información, aunque no se aplica de forma rigurosa. Aunque existe un marco general de desarrollo para las políticas y estándares de control, el monitoreo del cumplimiento de estas políticas y estándares es inconsistente. Las técnicas para fomentar la conciencia de la seguridad están estandarizadas y formalizadas.<br />4 Administrado y Medible cuando<br /> La gerencia asume la responsabilidad de comunicar las políticas de control interno y delega la responsabilidad y asigna suficientes recursos para mantener el ambiente en línea con los cambios significativos. Se ha establecido un ambiente de control de información positivo y proactivo. Se ha establecido un juego completo de políticas, procedimientos y estándares, los cuales se mantienen y comunican, y forman un componente de buenas prácticas internas. Se ha establecido un marco de trabajo para la implantación y las verificaciones subsiguientes de cumplimiento.<br />Modelo de Madurez<br />
  17. 17. 5 Optimizado cuando<br /> El ambiente de control de la información está alineado con el marco administrativo estratégico y con la visión, y con frecuencia se revisa, actualiza y mejora. Se asignan expertos internos y externos para garantizar que se adoptan las mejores prácticas de la industria, con respecto a las guías de control y a las técnicas de comunicación. El monitoreo, la auto-evaluación y las verificaciones de cumplimiento están extendidas en la organización. La tecnología se usa para mantener bases de conocimiento de políticas y de concienciación y para optimizar la comunicación, usando herramientas de automatización de oficina y de entrenamiento basado en computadora.<br />Modelo de Madurez<br />

×