El propósito de está auditoria es evaluar el objetivo de control, comunicar las aspiraciones y la dirección de la gerencia dentro de la empresa DayTec; Se busca conocer las políticas de comunicación de TI las cuales deben ser conocidas por el personal de la empresa DayTec, para así detectar si se está cumpliendo con las políticas y si se están comunicando oportunamente a los usuarios, esto se debe hacer mediante frecuentes revisiones por la dirección de alto nivel.
La dirección debe elaborar un marco de trabajo de control empresarial para TI y definir y comunicar las políticas. Un programa de comunicación continua se debe implantar para articular la misión, los objetivos de servicio, las políticas y procedimientos, etc.
Para enfocarse en proporcionar procedimientos, directrices, políticas y otra documentación apropiada, entendibles y aprobadas para los stakeholders, colocando en un marco de ambiente de control.
Es alcanzado por:
- La definición de un marco de trabajo de control para TI
- La elaboración e implantación de políticas para TI
- El número de interrupciones de negocio debido a interrupciones en servicios de TI
- El porcentaje de interesados que entienden el marco empresarial de control IT
- Porcentaje de interesados que no están conformes con las políticas
Focos de gobierno IT:
Primaria: alineación estratégica y administración de riesgos.
Recursos de TI implicados:
Información.
Personas.
Objetivos de control detallado
P-O6.1 Ambiente de políticas y de control: Definir los elementos de un ambiente de control para TI, alineados con la filosofía administrativa y el estilo operativo de la empresa. Estos elementos incluyen las expectativas / requerimientos respecto a la entrega de valor proveniente de las inversiones en TI, el apetito de riesgo, la integridad, los valores éticos, la competencia del personal, la rendición de cuentas y la responsabilidad. El ambiente de control se basa en una cultura que apoya la entrega de valor, mientras que al mismo tiempo administra riesgos significativos, fomenta la colaboración inter-divisional y el trabajo en equipo, promueve el cumplimiento y la mejora continua de procesos, y maneja las desviaciones (incluyendo las fallas) de forma adecuada.
Elaborar y dar mantenimiento a un marco de trabajo que establezca el enfoque empresarial general hacia los riesgos y hacia el control interno para entregar valor mientras al mismo tiempo se protegen los recursos y sistemas de TI. El marco de trabajo debe estar integrado por el marco de procesos de TI y el sistema de administración de calidad, y debe cumplir los objetivos generales de la empresa. Debe tener como meta maximizar el éxito de la entrega de valor mientras minimiza los riesgos para los activos de información por medio de medidas preventivas, la identificación oportuna de irregularidades, la limitación de pérdidas y la oportuna recuperación de activos del negocio.
PO6.3 Administración de políticas para TI: Elaborar y dar mantenimiento a un
conjunto de políticas que apoyen la estrategia de TI. Estas políticas deben incluir la intención de las políticas, roles y responsabilidades, procesos de excepción, enfoque de cumplimiento y referencias a procedimientos, estándares y directrices. Las políticas deben incluir tópicos clave como calidad, seguridad, confidencialidad, controles internos y propiedad intelectual. Su relevancia se debe confirmar y aprobar de forma regular.
implantan y se comunican a todo el personal relevante, y se refuerzan, de tal forma que estén incluidas y sean parte integral de las operaciones empresariales. Los métodos de implantación deben resolver necesidades e implicaciones de recursos y concientización.
PO6.5 Comunicación de los objetivos y la dirección de TI: Asegurarse de que
la conciencia y el entendimiento de los objetivos y la dirección del negocio y de TI se comunican a toda la organización. La información comunicada debe abarcar una misión claramente articulada, los objetivos de servicio, la seguridad, los controles internos, la calidad, el código de ética y conducta, políticas y procedimientos, etc., y se deben incluir dentro de un programa de comunicación continua, apoyado por la alta dirección con acciones y palabras. La dirección debe dar especial atención a comunicar la conciencia sobre la seguridad de TI y el mensaje de que la seguridad de TI es responsabilidad de todos. Entorno Positivo de Control de la Información.
Responsabilidad de la Dirección en cuanto a Políticas.
- Comunicación de las políticas de la organización
- Recursos para la implementación de las políticas.
- Mantenimiento de las políticas.- Recursos para la implementación de las políticas.
- Cumplimiento de políticas, procedimientos y Estándares
- Compromiso de calidad.
- política sobore el marco de referencia para la seguridad y el control interno
- Derechos de la propiedad intelectual.
- Políticas pa asituaciones específicas.
- Comunicación para la concientización sobre seguridad de las TI
- Recursos
- Director General
- Director de operaciones
- Director de Finanzas
- Director de las TI,
- Responsable de seguridad
- Miembros del comité de planificación de recursos de información
- Miembros de comité
Editado por María.
No hay comentarios:
Publicar un comentario