5.1 FINALIDAD DE UNA EVALUACION EN
TELECOMUNICACIONES
Una Auditoria en Telecomunicaciones es
una evaluación del entorno de las Telecomunicaciones tanto a nivel global como
a nivel empresarial.
El propósito de una auditoria en telecomunicaciones es
asegurar:
- Seguridad
- Cumplimiento de la política empresarial.
- Eficacia en cuanto al coste
- Efectividad del servicio
- El respaldo de las Telecomunicaciones al objetivo de la empresa.
Una adecuada auditoria debe incluir todos
los tipos de telecomunicaciones: voz, video y datos.
Una auditoria debe abarcar todo el equipo
de telecomunicaciones, política de servicio y gastos utilizados por la empresa.
Una auditoria empieza con una política de
evaluación, se identifican y analizan políticas relevantes para determinar si
cumplen las pautas y objetivos organizacionales.
El equipo de comunicación como sistema de correo,
IVR,... deben ser evaluados para determinar si cumplen con los requisitos del
negocio actual y, si es posible, se deben considerar soluciones alternativas.
Servicios de comunicación tales como líneas de
teléfono, servicios CENTREX y servicios de respuesta son evaluados para
determinar si los niveles de servicio y coste cumplen los objetivos
organizacionales y si otras soluciones potenciales deben ser evaluadas para
reemplazar a los servicios actuales.
La auditoria en telecomunicaciones puede
ser realizada tanto por auditoria interna como por auditores externos.
AUDITORIA EN TELECOMUNICACIONES
Auditoria en Telecomunicaciones está enfocada en la reducción del coste en telecomunicaciones resultando como promedio de ahorro entre el 35 y el 40%.
OBJETIVO ES EL AHORRO
- Estudiamos las facturas en telecomunicaciones y
proporcionamos un análisis de las facturas y soluciones de expertos para
la reducción de costes.
- Las soluciones que aportamos no requieren necesariamente cambios.
- Realizamos auditorias invisibles en cuanto a servicio, solamente es
visible el ahorro global en telecomunicaciones.
- Solicitamos modificaciones en tu nombre, bajo previa aprobación.
- Nuestras auditorias se basan en seguridad y protección.
- Probamos el ahorro proporcionado con una comparativa tras la auditoria.
Sin un profundo análisis de las facturas en
telecomunicaciones las empresas pagan más de lo que deberían. El primer paso
para conseguir una reducción de coste es una Auditoria que determine el
servicio y coste actual y tras el análisis de los objetivos y necesidades
reales de la empresa, se marca el servicio y coste en telecomunicaciones que la
empresa requiere en la actualidad.
5.2
REQUISITOS PARA LA EVALUACION DE TELECOMUNICACIONES
Con el fin de facilitar la convergencia tecnológica
y de que los particulares cumplan con lo establecido en los ordenamientos
legales aplicables, NYCE cuenta con la acreditación otorgada por la Entidad
Mexicana de Acreditación (EMA) y con la aprobación otorgada por la Comisión
Federal de Telecomunicaciones (COFETEL,ahora Instituto Federal de
Telecomunicaciones IFETEL) para operar como Organismo de Certificación de
Producto de Telecomunicaciones.
Las Normas Oficiales Mexicanas de productos de
telecomunicaciones que certificamos fueron elaboradas por la COFETEL (ahora
Instituto Federal de Telecomunicaciones IFETEL), órgano administrativo
desconcentrado de la Secretaría de Comunicaciones y Transportes (SCT) y, por lo
tanto, están sujetas a los Procedimientos de Evaluación de la Conformidad de
producto de telecomunicaciones (PEC) expedidos por la COFETEL (ahora
Instituto Federal de Telecomunicaciones IFETEL).
Conforme a lo que se establece en el Reglamento de
Telecomunicaciones, todo equipo de telecomunicaciones que se
comercialice, use u opere en el territorio nacional debe contar con el
certificado de homologación.
Si usted es fabricante, importador,
comercializador, distribuidor o arrendador de productos de telecomunicaciones,
en NYCE puede obtener el Certificado de conformidad -con propósitos de
homologación- de las siguientes Normas Oficiales Mexicanas (NOM):
NOM-084-SCT1 - Especificaciones técnicas de los
equipos transmisores destinados al servicio móvil de radiocomunicación
especializada de flotillas.
NOM-088/1-SCT1 - Equipos de microondas para
sistemas del servicio fijo multicanal punto a punto y punto a multipunto -
Parte I: Radio Acceso Múltiple.
NOM-088/2-SCT1 - Equipos de microondas para
sistemas del servicio fijo multicanal punto a punto y punto a multipunto -
Parte II: Transporte.
NOM-121-SCT1 - Equipos de
radiocomunicación por salto de frecuencia y por modulación digital a operar en
las bandas 902-928 MHz, 2400-2483.5 MHz y 5725-5850 MHz – Especificaciones,
límites y métodos de prueba.
La
auditoría de comunicaciones es el proceso mediante el cual la analista
determina si la organización está comunicando eficazmente su identidad y
estrategia.
Determinar la eficacia con que se comunican la identidad y la estructura corporativa. Este proceso es la auditoría visual o de comunicación, que incluye dos objetivos:
1. Cotejar, controlar y evaluar todas las formas de comunicación, externa y interna (así, el concretar la identidad trata de establecer la lógica y la coherencia de las comunicaciones)
2. Fase que se basa en las investigaciones que se realizan entre los diversos públicos de la empresa para establecer el impacto de todas las comunicaciones de la empresa sobre las percepciones que dichos públicos tienen sobre ella (p. 65)
Incluye la comparación, el control y la valoración de todas las formas de comunicación, impresa y visual. Realización de una auditoria:
Comunicaciones impresas externas. La auditoría de comunicaciones. Se inicia recogiendo todas las formas de comunicación impresa y visual, incluyendo la memoria anual, folletos descriptivos de producción, cartas membretadadas o citas de los consejeros delegados.
- Comunicaciones internas (p.ej. Publicaciones a los empleados... También anuncios públicos, conferencias y seminarios
- Comunicaciones y percepciones. (p.ej. Detalles de la vida diaria de la empresa des de la forma en que se contesta al teléfono hasta la forma en que actuan los vendedores y la indumentaria del personal) – Estos detalles reflejan el sistema de valores vigente en la empresa. P.ej. McDonalds
También es muy importante el ambiente de despacho o del local de venta al menor.
También la arquitectura y el diseño interior.
• Además de la auditoría visual, el consultor debe evaluar otros medios de comunicación menos obvios, que van desde el efecto que producen los diseños arquitectónicos hasta la forma en que se atienden las llamadas telefónicas.
4. La auditoría de comunicación se preocupa por la lógica y la calidad de todas las comunicaciones. Analizaremos el establecimiento (p.ej. un minorista) para establecer la lógica de sus comunicaciones y determinar si reflejan su estrategia con precisión. Ka Auditoría de comunicación no sólo se ocupa de la función de diseño, sino también de la calidad e importancia de todas las formas de comunicación.
Determinar la eficacia con que se comunican la identidad y la estructura corporativa. Este proceso es la auditoría visual o de comunicación, que incluye dos objetivos:
1. Cotejar, controlar y evaluar todas las formas de comunicación, externa y interna (así, el concretar la identidad trata de establecer la lógica y la coherencia de las comunicaciones)
2. Fase que se basa en las investigaciones que se realizan entre los diversos públicos de la empresa para establecer el impacto de todas las comunicaciones de la empresa sobre las percepciones que dichos públicos tienen sobre ella (p. 65)
Incluye la comparación, el control y la valoración de todas las formas de comunicación, impresa y visual. Realización de una auditoria:
Comunicaciones impresas externas. La auditoría de comunicaciones. Se inicia recogiendo todas las formas de comunicación impresa y visual, incluyendo la memoria anual, folletos descriptivos de producción, cartas membretadadas o citas de los consejeros delegados.
- Comunicaciones internas (p.ej. Publicaciones a los empleados... También anuncios públicos, conferencias y seminarios
- Comunicaciones y percepciones. (p.ej. Detalles de la vida diaria de la empresa des de la forma en que se contesta al teléfono hasta la forma en que actuan los vendedores y la indumentaria del personal) – Estos detalles reflejan el sistema de valores vigente en la empresa. P.ej. McDonalds
También es muy importante el ambiente de despacho o del local de venta al menor.
También la arquitectura y el diseño interior.
• Además de la auditoría visual, el consultor debe evaluar otros medios de comunicación menos obvios, que van desde el efecto que producen los diseños arquitectónicos hasta la forma en que se atienden las llamadas telefónicas.
4. La auditoría de comunicación se preocupa por la lógica y la calidad de todas las comunicaciones. Analizaremos el establecimiento (p.ej. un minorista) para establecer la lógica de sus comunicaciones y determinar si reflejan su estrategia con precisión. Ka Auditoría de comunicación no sólo se ocupa de la función de diseño, sino también de la calidad e importancia de todas las formas de comunicación.
5.3 LA ADMINISTRACION
El objetivo de la auditoría
de sistemas informáticos es el de evaluar la eficiencia y eficacia con que se
está operando para que se tomen decisiones que permitan corregir los errores,
en caso de que existan o mejorar la forma de actuación. Otro objetivo de la
auditoría es la verificación de la observancia de las normas teóricamente
existentes en el departamento de Informática y su coherencia con las del resto
de la empresa. Para ello, deben revisarse sucesivamente y en este orden:
1. Las normas generales de
la instalación informática. Se realizará una revisión inicial sin estudiar a
fondo las contradicciones que pudieran existir, pero registrando las áreas que
carezcan de normativa, y sobre todo verificando que esta normativa general
informática no está en contradicción con alguna norma general no informática de
la empresa.
2. Los procedimientos generales informáticos.
Se verificará su existencia, al menos en los sectores más importantes. Por
ejemplo, la recepción definitiva de las máquinas debería estar firmada por los
responsables de control de calidad.
El alta de una nueva
aplicación no debería producirse si no existieran los procedimientos de
respaldo y recuperación correspondientes.
Los procedimientos específicos Informáticos.
Igualmente, se revisara su existencia en las
áreas fundamentales. Así, el área de control de calidad no debería certificar
una aplicación sin haber exigido a desarrollo la pertinente documentación. Del
mismo modo, deberá comprobarse que los procedimientos específicos no se opongan
a los procedimientos generales. En todos los casos anteriores, a su vez, deberá
verificarse que no existe contradicción alguna con la normativa y los
procedimientos generales de la propia empresa, a los que el área de informática
debe estar sometida.
Entre los objetivos
generales de la auditoría de sistemas informáticos se encuentran:
• Identificar procedimientos de control que
minimicen los riesgos asociados a los sistemas informáticos. • Asegurar una
mayor integridad, confidencialidad y confiabilidad de la información.
• Buscar la seguridad del
personal, los datos, el hardware, el software y las instalaciones.
• Conocer la situación actual del área
informática para lograr los objetivos.
• Proporcionar el apoyo de la función
informática a las metas y objetivos de la organización.
• Proporcionar seguridad,
utilidad, confianza, privacidad y disponibilidad en el ambiente informático.
• Incrementar la
satisfacción de los usuarios de los sistemas informáticos.
• Proporcionar capacitación
y educación sobre controles en los Sistemas de Información.
• Apoyar la búsqueda una mejor relación
costo-beneficio de los sistemas automáticos.
5.4
LA INSTALACION
Es muy importante ser
consciente que por más que nuestra empresa sea la más segura desde el punto de
vista de ataques externos (hackers, virus, ataques de sistema operativo, entre
otros); la seguridad de la misma será nula si no se ha previsto como combatir
un incendio o cualquier otro tipo de desastre natural y no tener presente
políticas claras de recuperación.
La seguridad física es una de los aspectos más
olvidados a la hora del diseño de un sistema informático. Si bien algunos de
los aspectos de seguridad física básicos se prevén, otros, como la detección de
un atacante interno a la empresa que intenta acceder físicamente a una sala de
cómputo de la misma, no.
Esto puede derivar en que
para un atacante sea más fácil lograr tomar y copiar una cinta de respaldo de
la sala de cómputo, que intentar acceder vía lógica a la misma. La seguridad
física consiste en la aplicación de barreras físicas y procedimientos de
control, como medidas de prevención y contramedidas ante amenazas a los
recursos e información confidencial.
Se refiere a los controles y
mecanismos de seguridad dentro y alrededor del centro de cómputo, así como los
medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
1. Desastres naturales,
incendios accidentales, tormentas e inundaciones
2. Amenazas ocasionadas por
el ser humano
3. Disturbios, sabotajes
internos y externos deliberados.
Las principales amenazas que
se prevén en seguridad física
Evaluar y controlar permanentemente la
seguridad física de las instalaciones de cómputo y del edificio es la base para
comenzar a integrar la seguridad como una función primordial dentro de
cualquier organismo. Tener controlado el ambiente y acceso físico permite:
• Disminuir suministros
• Trabajar mejor manteniendo la sensación de
seguridad
• Descartar falsas hipótesis
si se produjeran incidentes
• Tener los medios para luchar contra
accidentes
5.5
OPERACIÓN Y SEGURIDAD
Después de ver como nuestro
sistema puede verse afectado por la falta de seguridad física, es importante
recalcar que la mayoría de los daños que puede sufrir un centro de cómputo no
será sobre los medios físicos sino contra información por él almacenada y
procesada. Así, la seguridad física sólo es una parte del amplio espectro que
se debe cubrir para no vivir con una sensación ficticia de seguridad.
Como ya se ha mencionado, el activo más
importante que se posee es la información, y por lo tanto deben existir
técnicas, más allá de la seguridad física que la asegure. Estas técnicas las
brinda la seguridad lógica.
La seguridad lógica consiste en la aplicación
de barreras y procedimientos que resguarden el acceso a los datos y sólo se
permita acceder a ellos a las personas autorizadas para hacerlo. Existe un
viejo dicho en la seguridad informática que dicta que “todo lo que no está
permitido debe estar prohibido” y esto es lo que debe asegurar la seguridad
lógica. Los objetivos que se plantean serán:
1. Restringir el acceso a los programas y
archivos
2. Asegurar que los
operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar
los programas ni los archivos que no correspondan.
3. Asegurar que se estén
utilizando los datos, archivos y programas correctos en y por el procedimiento
correcto.
4. Asegurar que la información transmitida sea
recibida por el destinatario al cual ha sido enviada y no a otro.
5. Asegurar que la
información recibida sea la misma que ha sido transmitida.
6. Asegurar que existan
sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Asegurar que se disponga
de pasos alternativos de emergencia para la transmisión de información.
Es recomendable que este tipo de seguimientos
sean realizados a la par con procedimientos de escaneo de vulnerabilidades
internas y externas para conocer los puntos débiles de la organización en
cuanto a software y ofrecer soluciones integradas de seguridad Las nuevas
tecnologías de la información han potenciado la comunicación y el acceso a la
información.
Por ello, la sociedad de la Información, en la
que estamos inmersos, debe de garantizar la seguridad de los sistemas. Los
sistemas de información deben estar preparados para prevenir, detectar y
reaccionar ante las posibles amenazas. Se entiende por amenaza a una condición
del entorno del sistema de información (persona, máquina, suceso o idea) que,
dada una oportunidad, podría dar lugar a una violación de la seguridad
(confidencialidad, integridad, disponibilidad o uso legítimo).
Para hacer frente a las
amenazas contra la seguridad, se definen una serie de servicios que hacen uso
de uno o varios mecanismos de seguridad. Uno de ellos están enfocados a
garantizar la inviolabilidad de los datos (confidencialidad, integridad y
disponibilidad), mientras que otros se orientan a protegerlos del entorno
(autenticación, no repudio y control de acceso).
Controles de acceso
• Confidencialidad:
garantiza que la información sea accesible únicamente por las entidades
autorizadas, protegiendo la identidad de las partes implicadas. Se utilizan
métodos de cifrado
. • Autenticación: garantiza
la identidad de las partes implicadas en la comunicación. Las tecnologías más
aplicadas son “firma digital”, biometría, tarjetas de banda magnética,
contraseñas, etc.
• Integridad: garantiza que
la información sólo pueda ser modificada por las entidades autorizadas.
Requiere el uso de tecnologías como el hash criptográfico con firma digital, y
los time-stamps (marcas de tiempo). Entre los principales controles de acceso que
se pueden mencionar están:
• Uso autorizado 1. Las cuentas de ingreso a
los sistemas y los recursos de cómputo son propiedad de la empresa y se usarán
exclusivamente para actividades relacionadas con la misma.
2. Ninguna cuenta de usuario podrá ser usada para
propósitos ilegales, criminales o no éticos.
3. Las cuentas en los sistemas son
estrictamente personales e intransferibles.
4. Para reforzar la seguridad de la
información de la cuenta, el usuario bajo su criterio deberá hacer respaldos de
su información dependiendo de la importancia y frecuencia del cambio de la
misma.
• Tiempo de uso de las cuentas
1. Se prohíbe dejar sesiones
abiertas sin control alguno.
2. Por razones de seguridad todo usuario que
salga temporalmente de la institución tiene la obligación de notificar al
administrador las máquinas de las cuales se conectará a la red.
3. Cuando el usuario deje de
tener alguna relación oficial con la empresa o la cuenta deje de ser utilizada
por un tiempo definido por los administradores, esta debe ser removida.
4. Cuando el usuario deje de laborar o de
tener una relación con la empresa, este debe notificarlo al administrador de
sistemas para proceder y tomar las medidas pertinentes con su información y
cuenta de acceso.
• Gestión de claves Contraseñas reutilizadas,
sencillas o fácilmente adivinables a nivel de estación de trabajo pueden poner
en peligro la seguridad de sus servidores. Cuentas de usuarios o de prueba con
excesivos privilegios
5.6
PERSONAL RESPONSABLE DEL AREA
La finalidad principal del auditor es evaluar y dar seguimiento oportuno al
conjunto de proyectos de auditoría en informática que serán ejecutados en un
plazo determinado con el fin de apoyar las estrategias del negocio,
considerando los diversos factores internos y externos que se relacionan con la
organización.
Cada uno de estos proyectos deberá estar enmarcado en los límites definidos
para la función, esto es, debe enfocarse al control, seguridad y auditoría de
los diferentes elementos que mantengan contacto directo o indirecto con la
tecnología informática.
Los auditores en informática dirigirán la participación directa y
entusiasta del personal de informática y de los usuarios involucrados durante
la auditoría.
El responsable de la función de auditoría en informática (externo o
interno) que revise las diferentes áreas
de informática se debe coordinar con el responsable de la auditoría
tradicional, la alta dirección y con el responsable de informática mediante
reuniones formales y periódicas con objeto de lograr objetivos comunes para el
bien del negocio.
Estructura organizacional y
funciones de la auditoría en informática
Ubicación jerárquica de la función
La alta dirección de cualquier organización tiene que estar consciente de
que la función de auditoría se debe ejercer con el criterio básico de
independencia personal jerárquica, es decir, el desempeño de las actividades
profesionales en el proceso de evaluación y control no debe verse afectado por
aspectos emocionales ni de autoridad emanados de los responsables e
involucrados en el momento de la auditoría.
En la medida en que la dirección establezca políticas claras que
especifiquen que la función del auditor es asegurar el control y la seguridad
de los elementos relacionados con la informática y que responde a una necesidad
de la alta dirección, el apoyo y participación de las áreas del negocio fluirá
de manera natural; asimismo, se evitará que esta situación se convierta en un
proceso tenso y complicado, o en una actividad burocrática e improductiva.
Se recomienda ubicar la función de auditoría en informática en un nivel
organizacional que le asegure la independencia y soporte requerido en la alta
dirección, con la finalidad de contar con una entidad confiable y eficiente.
El control y la seguridad no pueden establecerse ni supervisarse desde los
niveles inferiores de una empresa; su posición debe ser estratégica o por
perfiles especiales del negocio, táctica. Nunca se ejercerán desde un nivel
operativo. La alternativa es que los realice personal profesional externo.
Si la auditoría en informática es ejercida por personal externo a la
empresa, se recomienda que el seguimiento, coordinación, apoyo y aprobación del
trabajo efectuado por los asesores externos sea ejecutado a cabo por la alta
dirección.
5.7
NIVEL DE APLICACIÓN DE AUDITORIA EN TELECOMUNICACIONES
COBIT, lanzado en 1996, es una
herramienta de gobierno de TI que ha cambiado la forma en que trabajan los
profesionales de TI. Vinculando tecnología informática y prácticas de control,
COBIT consolida y armoniza estándares de fuentes globales prominentes en un
recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de
información de toda la empresa, incluyendo las computadoras personales, mini
computadoras y ambientes distribuidos. Esta basado en la filosofía de que los
recursos de TI necesitan ser administrados por un conjunto de procesos
naturalmente agrupados para proveer la información pertinente y confiable que
requiere una organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores
Usuarios:
·
La
Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el
rendimiento de las mismas, analizar el costo beneficio del control.
·
Los
Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control
de los productos que adquieren interna y externamente.
·
Los
Auditores: para soportar sus opiniones sobre los controles de los proyectos de
TI, su impacto en la organización y determinar el control mínimo requerido.
·
Los
Responsables de TI: para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de
las empresas por el responsable de un proceso de negocio en su responsabilidad
de controlar los aspectos de información del proceso, y por todos aquellos con
responsabilidades en el campo de la TI en las empresas.
Características:
·
Orientado
al negocio
·
Alineado
con estándares y regulaciones "de facto"
·
Basado
en una revisión crítica y analítica de las tareas y actividades en TI
·
Alineado
con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios:
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.
·
Requerimientos
de la información del negocio
Para alcanzar los requerimientos de
negocio, la información necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad,
Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.
·
Efectividad:
La información debe ser relevante y pertinente para los procesos del negocio y
debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.
·
Eficiencia:
Se debe proveer información mediante el empleo óptimo de los recursos (la forma
más productiva y económica).
·
Confiabilidad:
proveer la información apropiada para que la administración tome las decisiones
adecuadas para manejar la empresa y cumplir con sus responsabilidades.
·
Cumplimiento:
de las leyes, regulaciones y compromisos contractuales con los cuales está
comprometida la empresa.
Requerimientos de Seguridad:
Confidencialidad, Integridad y Disponibilidad
·
Confidencialidad:
Protección de la información sensible contra divulgación no autorizada
·
Integridad:
Refiere a lo exacto y completo de la información así como a su validez de
acuerdo con las expectativas de la empresa.
·
Disponibilidad:
accesibilidad a la información cuando sea requerida por los procesos del
negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.
·
Recursos
de TI
En COBIT se establecen los siguientes
recursos en TI necesarios para alcanzar los objetivos de negocio:
·
Datos:
Todos los objetos de información. Considera información interna y externa,
estructurada o no, gráficas, sonidos, etc.
·
Aplicaciones:
entendido como los sistemas de información, que integran procedimientos
manuales y sistematizados.
·
Tecnología:
incluye hardware y software básico, sistemas operativos, sistemas de
administración de bases de datos, de redes, telecomunicaciones, multimedia,
etc.
·
Instalaciones:
Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
·
Recurso
Humano: Por la habilidad, conciencia y productividad del personal para planear,
adquirir, prestar servicios, dar soporte y monitorear los sistemas de
Información.
·
o
Procesos
de TI
La estructura de COBIT se define a
partir de una premisa simple y pragmática: "Los recursos de las
Tecnologías de la Información (TI) se han de gestionar mediante un conjunto de
procesos agrupados de forma natural para que proporcionen la información que la
empresa necesita para alcanzar sus objetivos".
COBIT se divide en tres niveles:
Dominios
Procesos
Actividades
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI.
Dominios
Procesos
Actividades
Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional.
Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control.
Actividades: Acciones requeridas para lograr un resultado medible.
Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI.
No hay comentarios.:
Publicar un comentario