Sojo ToBe - Tecnologías de la Información y la Comunicación.docx

7/26/2019 Sojo ToBe - Tecnologas de la Informacin y la Comunicacin.docx

1/12

1.1. TI: Tecnologas de la Informacin y la Comunicacin

1.1.1. TI-010: Administrar la relacin con proveedores de TI

Descripcin general de las actividades:

TI-010-010: Realizar requerimiento

Descripcin El proceso comienza cuando el usuario tiene una necesidad de algn producto o servicio

de TI, una vez determinado el requerimiento se procede a elaborar el formatoRequerimiento de compra de producto o servicio de TI, ane!ando su firma comousuario solicitante " present#ndolo al encargado de sistemas$

Actividades de Control: %uando algn usuario realice una solicitud de compra de algn producto o servicio de TI,debe llenar el formato Requerimiento de compra de producto o servicio de TI firmada$

olticas y

rocedimientos:

&'(

Iniciativas a considerar

en la implementacin:

)e recomienda la creaci*n del formato Requerimiento de compra de producto o servicio

de TI, el cual contenga el detalle del producto solicitado, ane!ando un campo para lafirma de autorizaci*n de: +suario solicitante, encargado de sistemas " %ontralor$

Documentos!elacionados:

Requerimiento de compra de producto o servicio de TI

"mites y

!esponsa#ilidades:

Es responsabilidad del usuario solicitante la elaboraci*n del formato Requerimiento decompra de producto o servicio de TI " firmarla$

!iesgos : a funci*n de compras no deber# adquirir mercancas o servicios por los cuales lasrequisiciones de compras no .a"an sido aprobadas por la administraci*n$

TI-010-0/0: Evaluar requerimiento

Descripcin +na vez que el Encargado de sistemas .a recibido el requerimiento de producto oservicio de TI, por medio del formato correspondiente, procede a evaluar dic.o

requerimiento, verificando que los productos o servicios solicitados estn permitidos porla empresa de acuerdo a la poltica de productos o servicios de TI permitidos$

Actividades de Control: &'(

1


2/12

olticas y

rocedimientos:

oltica de productos o servicios de TI permitidos$ %rear una poltica que especifique lossistemas " productos que sean compatibles con los planes de desarrollo tecnol*gico de laempresa$



)e recomienda la creaci*n de una poltica donde se especifiquen los productos oservicios de TI que pueden ser solicitados por los usuarios para compra$

Documentos

!elacionados:

&'(

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas la realizaci*n de la evaluaci*n de

requerimientos de acuerdo a la poltica de compras autorizadas de productos o serviciosde TI

!iesgos : &'(

TI-010-020: &otificar motivos de negaci*n del requerimiento

Descripcin En el caso de que el requerimiento de compra de productos o servicios de TI searec.azado, el Encargado de sistemas debe notificarle al usuario solicitante por medio de

correo electr*nico los motivos de rec.azo$

Actividades de Control: 3ebe quedar evidencia de la notificaci*n al usuario de rec.azo de los requerimientos pormedio del envo de un correo electr*nico$

olticas y

rocedimientos:

&'(



&'(

Documentos

!elacionados:

&'(

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas el envo de la notificaci*n al usuario del

motivo de rec.azo de los productos o servicios requeridos$

!iesgos : a funci*n de compras no deber# adquirir mercancas o servicios por los cuales lasrequisiciones de compras no .a"an sido aprobadas por la administraci*n$

TI-010-040: Identificar proveedores " preparar R56

Descripcin +na vez que el Encargado de sistemas autoriza el requerimiento de compra procede aidentificar posibles proveedores del producto o servicio$ +na vez identificados talesproveedores procede a preparar los R56s 7Request for 6uotation8 para los proveedores

identificados$ En los R56s se deben incluir las necesidades de adquisici*n, as como losresultados esperados$ Estos R56s se entregan a los proveedores de TI identificados que

son capaces de proporcionar el producto, servicio o soluci*n requerida por el #rea de TI$)e debe proporcionar la informaci*n necesaria requerida por el proveedor para asegurarel entendimiento del proveedor en cuanto a las necesidades de la empresa$

Actividades de Control: )e deber# realizar R56 para 2 proveedores como mnimo donde aplique$ En casosespeciales donde no e!isten m#s proveedores que presten el servicio se deber# de9arevidencia documentando en la orden de compra las razones de la selecci*n delproveedor$

olticas y

rocedimientos:

&'(



)e recomienda que en lo posible se definan los proveedores que son conocidos "confiables en un %at#logo de proveedores para su futuro uso por parte del encargado

de sistemas$ )e recomienda que dic.o cat#logo de proveedores sea aprobado por el%ontralor

Documentos );5R-02 %at#logo de roveedores

2


3/12

!elacionados:

"mites y

!esponsa#ilidades:Es responsabilidad del Encargado de sistemas identificar proveedores " preparar lasR56s

!iesgos : )i los cambios al arc.ivo maestro de proveedores no son correctos, los resultados puedenoriginar *rdenes de mercancas a proveedores no aprobados, el envo de pagos a

direcciones incorrectas o el cambio del pago o los trminos de descuento sin

autorizaci*n$

TI-010-0


4/12

!esponsa#ilidades: proveedores al %ontralor$

!iesgos : &'(

TI-010-0@0: )eleccionar proveedor

Descripcin +na vez que el %ontralor evala la selecci*n preliminar realizada por el encargado de

sistemas, procede a realizar la selecci*n final de proveedor, " firma el formato deevaluaci*n de proveedores$

Actividades de Control: +na vez seleccionada la opci*n final, el %ontralor, firma de autorizado el formatoEvaluaci*n de proveedores seleccionando claramente la me9or opci*n$

olticas y

rocedimientos:

&'(



&'(

Documentos

!elacionados:

);5R-01 Evaluaci*n de roveedores " %ontratistas

"mites y

!esponsa#ilidades:

Es responsabilidad del %ontralor la realizaci*n de la selecci*n final de proveedor "

firmar la evaluaci*n de proveedores$

!iesgos : )i el comprador no evala las cotizaciones realizadas, la empresa puede incurrir engastos innecesarios o e!cesivos$

TI-010-0A0: Recibir producto o servicio con proveedores

Descripcin El Encargado de sistemas se encarga de recibir el producto o atender al proveedor querealizara el servicio de TI$ 3e igual manera, el encargado de sistemas, se encarga de

solicitar al proveedor la factura del servicio o producto de TI para firmar deconformidad$

Actividades de Control: El Encargado de sistemas, se encarga de solicitar al proveedor la factura del servicio oproducto de TI para firmar de conformidad$

olticas y

rocedimientos:

&'(



&'(

Documentos

!elacionados:

5actura);5R-0< Requisici*n de %ompra

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas realizar la atenci*n a los proveedores de

productos o servicios relacionados con TI$

!iesgos : )i los productos no cumplen con las normas especificadas, las acciones apropiadaspueden incluir la devoluci*n de los productos a la producci*n para traba9o adicional,a9ustes a los valores del inventario, a9ustes a las cuentas por cobrar, "'o el desec.o de los

productos$ 3e9ar de monitorear la calidad de los productos recibidos en el inventario deproductos terminados puede originar la venta de productos de calidad inferior a losclientes, lo cual, a su vez, puede ocasionar la insatisfacci*n del cliente$

TI-010-100: lenar reporte de incidencias

Descripcin El Encargado de sistemas compara los detalles de la requisici*n de material "'o orden de

compra "'o facturas, con las mercancas'servicios recibidas, en caso de no .aber erroresde firma " sella la remisi*n o factura de entrada, si .a" diferencias se llena un reporte deincidencia$

Actividades de Control: as mercancas'servicios recibidas se comparan con los detalles de la requisici*n de

4


5/12

material "'o orden de compra "'o facturas, con las mercancas'servicios recibidas, encaso de no .aber errores de firma " sella la remisi*n o factura de entrada, si .a"diferencias se llena un reporte de incidencia " solicitar la firma del proveedor$ Estereporte debe enviarlo al ;efe de compras, para la evaluaci*n del proveedor$

olticas y

rocedimientos:

&'(

Iniciativas a consideraren la implementacin:

)e recomienda la creaci*n de una base de datos en E!cel en la que el encargado desistemas pueda verificar las requisiciones .ec.as contra los documentos que amparen lasmercancas por recibir$

Documentos

!elacionados:

Remisi*n$5actura$);5R-0/4 Reporte de Incidencias$

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas revisar que el material'servicio a recibir seencuentre en perfectas condiciones, que sea e!actamente el solicitado " que lascantidades sean las ordenadas$

!iesgos : &'(

5


6/12


7/12

TR) ' correo electr*nico " procede a an#lisis de la petici*n$


olticas y

rocedimientos:

&'(



&'(

Documentos

!elacionados:

3escripci*n de petici*n

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas recibir " entender las peticiones de

soporte$

!iesgos : &'(

TI-0/0-020: Dalidar petici*n con el usuario

Descripcin +na vez recibida la petici*n " no es mu" clara la e!plicaci*n del +suario, El Encargado

de sistemas, procede a la validaci*n de la petici*n va telef*nica o por medio de %orreoelectr*nico$


olticas y

rocedimientos:

&'(



&'(

Documentos

!elacionados:

3escripci*n de petici*n

"mites y

!esponsa#ilidades:

El encargado de sistemas tiene la responsabilidad de asegurarse de la validaci*n de ladescripci*n con el +suario$

!iesgos : &'(

TI-0/0-040: Revisar petici*n 7%ambiar estatus de TicBet8

Descripcin El Encargado de sistemas revisa la petici*n o incidente registrado en TR), cambiastatus de TicBet,


olticas y

rocedimientos:

&'(



)e recomienda emitir una it#cora del TR) de todas las peticiones solicitadas por elusuario$

Documentos

!elacionados:

&'(

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas revisar las peticiones o notificaciones quelos usuarios levantaron con el TicBet del TR)

!iesgos : &'(

TI-0/0-0


8/12


olticas y

rocedimientos:olticas de prioridad para TI$ %rear polticas que inclu"an el an#lisis de c*mo semane9ar#n las prioridades de atenci*n a usuarios$



)e recomienda crear polticas de prioridad para TI que inclu"an un an#lisis de c*mo semane9ar#n las prioridades de atenci*n de usuarios$

Documentos!elacionados: &'(

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas asegurarse de priorizar la petici*n desoporte$

!iesgos : &'(

TI-0/0-0?0: (tender petici*n

Descripcin %uando el Encargado de sistemas determina qu si se puede atender incidente o petici*n

de soporte, se procede a e9ecutar la soluci*n de forma telef*nica'remota'personal$ )ecambia el status del ticBet en TR)$

)e notifica al usuario en nuevo status del ticBet$


olticas y

rocedimientos:

&'(



&'(

Documentos

!elacionados:

&'(

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas asegurarse de la resoluci*n de incidentes

o atenci*n de peticiones$

!iesgos : &'(

TI-0/0-0@0: Escalar incidente

Descripcin El Encargado de sistemas escala el incidente'petici*n al proveedor de servicios quecorresponda$

Actividades de Control: 3ebe quedar evidencia electr*nica de que fue escalado el incidente'petici*n a algnproveedor$

olticas y

rocedimientos:

&'(



&'(

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas asegurarse de escalar losincidentes'peticiones que no pueda resolver$

!iesgos : &'(

TI-0/0-0F0: (ctualizar estado de TicBet en TR)

Descripcin +na vez atendida la petici*n de soporte o incidente, el Encargado de sistemas, actualiza

el estado del ticBet .a solucionado$ En el caso de que el incidente o petici*n .a"a sidoescalado a un proveedor, se debe tambin actualizar su estado a Escalado " especificarel proveedor correspondiente$

8


9/12

Actividades de Control: 3ebe quedar evidencia en una bit#cora emitida del TR) acerca de losincidentes'peticiones resueltos por el encargado de sistemas, donde se especifique elprocedimiento utilizado para su resoluci*n " los comentarios adicionales que estoconlleva$ En el caso de los incidentes'peticiones escalados, tambin deber# quedar

registro en la bit#cora$

olticas y

rocedimientos:

&'(



&'(

Documentos

!elacionados:

it#cora de incidentes 7TR)8

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas asegurarse de actualizar el estado de

registro de incidente$

!iesgos : &'(

9


10/12

1.1.&. TI-0&0: roveer seguridad de la informacin

Descripcin general de las actividades:

TI-020-010: Identificar " analizar problemas por fallas de seguridad

Descripcin El Encargado de sistemas realiza una inspecci*n peri*dica del equipo, aplicaci*n o

activo de red, identifica el problema de la falla de seguridad, registra " especifica en elformato de reporte de fallas de seguridad, la fec.a, lugar, #rea de la falla, usuario,equipo, aplicaci*n o activo " una breve e!plicaci*n del caso, el reporte debe ser enviadoal %ontralor para su informaci*n$

3etectar amenazas que puedan e!plotar vulnerabilidades " que pongan en riesgo dic.o

activo, es decir, que a"uden a proteger " salvaguardar tanto informaci*n como lossistemas que la almacenan " administran

Actividades de Control: )e debe registrar el equipo, aplicaci*n o activo " el usuario en el 5ormato de reporte defallas de seguridad, anotando debidamente la fec.a de identificaci*n " una brevee!plicaci*n del caso, tal formato debe de enviarlo al %ontralor$

olticas y

rocedimientos:

);-01< olticas de )eguridad de la Informaci*n$



)e recomienda la creaci*n de un formato de reporte de fallas de seguridad$

Documentos

!elacionados:

);5R-0/@ Reporte de 5allas

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas asegurarse de la realizaci*n de esta

actividad mediante la identificaci*n " an#lisis de problemas por fallas de seguridad$

!iesgos : &'(

10


11/12

TI-020-0/0: 3efinir acciones' requerimientos de seguridad de informaci*n

Descripcin +na vez registrada la falla en el formato de reporte, se procede a realizar un an#lisis "determinaci*n de los requerimientos del negocio basados en la falla presentada$

3efinir acciones que permitan resguardar " proteger la informaci*n buscando mantenerla confidencialidad, la disponibilidad e integridad de la misma$

Actividades de Control: 3ebe quedar evidencia fsica 7debidamente firmada por el encargado de sistemas8 o3igital 7enviada al %ontralor8 de la definici*n de los requerimientos de seguridad deinformaci*n$

olticas y

rocedimientos:

);-01< olticas de )eguridad de la Informaci*n



)e recomienda establecer polticas de control en torno a la seguridad de TI$ levar a cabo

controles continuos, con m#s ciclos formales para confirmar la disposici*n de riesgo$Establecer procedimientos para mane9ar " escalar los problemas$

Documentos

!elacionados:

&'(

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas asegurarse de definir acciones "requerimientos de seguridad de informaci*n$

!iesgos : obres controles de seguridad " privacidad de la informaci*n de la empresa$

TI-020-020: Implementar requerimientos' acciones de seguridad de informaci*n

Descripcin +na vez creado un plan de acci*n, este debe ser implementado activamente$a implementaci*n del plan debera ser acordada entre todas las partes relacionadas "e9ecutada con seguridad

Actividades de Control: )e deber# de9ar constancia de la implementaci*n de los requerimientos de seguridadimplementados ante el %ontralor por medio de un correo electr*nico$

olticas y

rocedimientos:

);-01< olticas de )eguridad de la Informaci*n



&'(

Documentos

!elacionados:

&'(

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas asegurarse del implemento derequerimientos " acciones de seguridad de informaci*n$

!iesgos : obres controles de seguridad " privacidad de la informaci*n de la empresa$

TI-020-040: (uditar'robar los sistemas de seguridad de informaci*n

Descripcin +na vez implementados los requerimientos de seguridad de informaci*n, el Encargadode )istemas, procede a realizar la prueba'auditora de los requerimientos implementados

os procesos en e9ecuci*n, cone!iones de red, arc.ivos, directorios " muc.o m#sdeberan ser auditados activamente en tiempo real$

Actividades de Control: 3ebe quedar evidencia escrita en un 5ormato de (uditoria en Inform#tica cuando se

realicen las auditoras con las firmas aut*grafas de los responsables de la misma$ osresponsables de la auditora o prueba deben ser personas distintas a las queimplementaron los requerimientos de seguridad, en este caso ser# el encargado desistemas, en supervisi*n del %ontralor quien realice estas pruebas$

11


12/12

olticas y

rocedimientos:

oltica de (uditora de inform#tica$ 3ebe especificar los sistemas " equipos a probar,adem#s que toda falla de seguridad deber# ser reportada al %ontralor$



)e recomienda la creaci*n de un 5ormato de (uditora en Inform#tica$(dem#s se recomienda la creaci*n de una poltica de (uditora de inform#tica, donde seespecifique que toda falla de seguridad deber# ser reportada al %ontralor

Documentos

!elacionados:

);5R-020 (uditora de Inform#tica

3ictamen de la auditora o documentaci*n de las pruebas de seguridad$

"mites y

!esponsa#ilidades:

Es responsabilidad del Encargado de sistemas asegurarse de auditar " probar los sistemas

de seguridad de informaci*n$ (dem#s, el %ontralor debe supervisar dic.as auditoras$

!iesgos : Incapacidad para revisar pr#cticas de seguridad " privacidad$

12

Sojo ToBe - Tecnologías de la Información y la Comunicación.docx

Documents