sistemas de información empresarial
Post on 24-Jul-2015
5.754 Views
Preview:
TRANSCRIPT
Sistemas de información empresarial
Febrero 2013Docente: Mgs. Marco Cevallos, ITIL,
CISA, CCSA, CRMA.
Primera Parte:Organizaciones, administración y la
empresa en la red
Rol de los SI en los negocios actuales
60´s - 90´s 90´s - 05´s 05´s - 12´s
30 años 15 años 7 años
Rol de los SI en los negocios actuales
60´s - 90´s 90´s - 05´s 05´s - 12´s
30 años 15 años 7 años
Rol de los SI en los negocios actuales
60´s - 90´s 90´s - 05´s 05´s - 12´s
30 años 15 años 7 años
Qué objetivos estratégicos ayuda a cumplir la tecnología de la información
Qué objetivos estratégicos ayuda a cumplir la tecnología de la información.
Excelencia operativa, nuevos productos y servicios, proveedores y clientes
Qué objetivos estratégicos ayuda a cumplir la tecnología de la información.
Excelencia operativa, nuevos productos y servicios, proveedores y clientes
Qué objetivos estratégicos ayuda a cumplir la tecnología de la información
Qué objetivos estratégicos ayuda a cumplir la tecnología de la información.
Toma de decisiones, ventaja competitiva y servicios, superviviencia
Qué objetivos estratégicos ayuda a cumplir la tecnología de la información.
Toma de decisiones, ventaja competitiva y servicios, superviviencia
Activos complementarios para obtener valor sobre la inversión en tecnología de la información
• Inversión en el modelo de negocios: el modelo de negocios debe tener concordancia con la apertura a la innovación y optimización operativa.
• Inversión en el modelo administrativo y organizativo: modelo jerárquico abierto a la participación y creatividad de los empleados.
• Inversiones sociales: recursos de tecnología de la información, infraestructura tecnológica, conectividad, internet.
Procesos de negocio y sistemas de información
Tipos de sistemas de información empresarialSistemas de ventas y marketing: -Facturación en línea.-Controles de oferta vs. Capacidad.-Controles de costos de acuerdo a temporada y campañas.-Controles de suma de totales y valores unitarios.-Movilidad en los sistemas de marketing-Conectividad en tiempo real con los datos centralizados
Tipos de sistemas de información empresarialSistemas de manufactura y producción: -Controles de conteo -Parametrización de características, costos, y cantidad de producción.-Control de calidad en producción-Ejecución de casos de pruebas en sistemas de información-Proyección de errores y producción de unidades.
Tipos de sistemas de información empresarialSistemas de RRHH: -Generación de perfiles de empleados-Centralización de información de empleados-Acceso distribuido a la información de pagos, vacaciones, etc.-Programas de crecimiento y capacitación-Cálculo de desempeño en base a objetivos y entregables.-Proyecciones de producción y desempeño.
Tipos de sistemas de información empresarialSistemas financieros y contables:•Control de inventario•Control de ingresos y egresos•Facturación en línea•Pagos con tarjeta de crédito•Contabilización
Sistemas de información en líneaMovilidad: reuniones vía video conferencia, toma de decisiones de manera remota, tele trabajo.
Casos de éxito: Webex de Cisco, QlickView, Skype, Team Foundation Server, Banca en línea segura.
Sistemas de información en líneaSeguridad: transacciones bancarías en banca móvil
Transacciones en tiempo real, movilidad, seguridad, consulta de saldos, etc.
Empresa y tecnología de la información
• Para sacar provecho de la tecnología de la información en la empresa es necesario conocer las fortalezas y debilidades del giro de negocio y potenciar los elementos que maximicen la rentabilidad así como controlar aquellos que pueden afectar al cumplimiento de objetivos del negocio.
• El conocimiento detallado de las operaciones es esencial para aplicar la tecnología como un activo estratégico que a nivel competitivo implique una ventaja.
Empresa y tecnología de la información
En el siguiente escenario, cómo explotar la tecnología agregando valor al giro de negocio?
Empresa y tecnología de la información
En el siguiente escenario, cómo explotar la tecnología agregando valor al giro de negocio?
Procesos de vigilancia:-Sistemas estadísticos y de registros históricos transaccionales.-Sistemas de gestión de riesgos asociados al fraude.-Sistemas de archivo y colaboración de información con terceros.
La tecnología no aportará valor a un nivel estratégico si no permite tomar decisiones, para esto es necesario información a tiempo, precisa, integra y que mantenga la confidencialidad del caso. Esto es, reportes automatizados.
Empresa y tecnología de la informaciónEn el siguiente escenario, cómo explotar la tecnología agregando
valor al giro de negocio?
- Sistemas de inteligencia de negocio alimentados de información de:
- Sistemas de administración financiera (ejecución presupuestaria, cumplimiento de deadlines, etc.)
- Sistemas de RRHH, cumplimiento de objetivos.- Sistemas de core de negocio: atención al cliente, sistemas de
producción, facturación, etc.
La tecnología no aportará valor a un nivel estratégico si no permite tomar decisiones, para esto es necesario información a tiempo, precisa, integra y que mantenga la confidencialidad del caso. Esto es, reportes automatizados.
Empresa y tecnología de la informaciónEn el siguiente escenario, cómo explotar la tecnología agregando
valor al giro de negocio?
Procesos auxiliares:-Sistemas de producción, medición, indicadores y pruebas automatizadas.-Gestión de RRHH-Sistema de gestión de servicios de TI-Sistema financiero y de inventario
La tecnología no aportará valor a un nivel estratégico si no permite tomar decisiones, para esto es necesario información a tiempo, precisa, integra y que mantenga la confidencialidad del caso. Esto es, reportes automatizados.
Empresa y tecnología de la informaciónEn el siguiente escenario, cómo explotar la tecnología agregando
valor al giro de negocio?
Procesos auxiliares:-Gestión de trámites, workflow de peticiones y aprobaciones.-Sistema de cálculo y gestión de impuestos en base a ingresos.-Aplicativos de notificación: sms, correo, oficios, etc.
La tecnología no aportará valor a un nivel estratégico si no permite tomar decisiones, para esto es necesario información a tiempo, precisa, integra y que mantenga la confidencialidad del caso. Esto es, reportes automatizados.
Sistemas de información estratégicos
• Deben soportar la gestión de la estrategia empresarial y agregar valor en las operaciones del negocio: • Objetivo estratégico: masificar el uso de transacciones en
línea remplazando los canales tradicionales.• Indicadores de proceso.• Sistemas de medición e indicadores de logro del proceso
de banca móvil. • Sistemas de inteligencia de negocio que permitan tomar
decisiones al negocio como: abrir nuevas agencias en lugares con carencias de acceso digital, potenciar el uso mediante programas de recompensas en empresas, descuentos, promociones.
Sistemas de información estratégicos
• Deben facilitar la materialización o viabilidad de los objetivos estratégicos.• Sistemas móviles de banca.• Seguridad en la transaccionalidad de banca móvil: asegurar
ejecución sin riesgos, mantener la disponibilidad del servicio 24/7, masificar el servicio, concientizar sobre la importancia del uso responsable.
• Sistemas de seguridad: sistemas que garanticen la inviolabilidad de los sistemas por parte de atacantes y virus.
• Sistemas de monitoreo transaccional de los clientes: envío de alertar y notifiaciones en caso de detectar comportamientos erraticos de los clientes. Ej.: transacciones de 10.000 usd, envío de dinero a cuentas extrañas, sobregiros, retiros ATM, etc.
• Deben presentar y reportar indicadores de estrategia.
Sistemas de información estratégicos
• Deben presentar y reportar indicadores de estrategia:• Indicadores de cumplimiento de las metas y objetivos:
Cantidad de clientes que utilizan el canal electrónico vs. Clientes que usan el canal tradicional.
• Indicadores de crecimiento de objetivos: crecimiento porcentual del universo de clientes en el canal electrónico.
• Indicadores de disminución de afluencia en agencias de canales tradicionales.
• Indicadores de transaccionalidad periódica, clasificada por el canal.
• Cantidad de fraudes ejecutados en el canal de banca en línea.
Segunda Parte:Infraestructura y procesos de tecnología de la información
Infraestructura de tecnología de la informaciónTodo ambiente de tecnología de la información, en cualquier estructura que éste mantenga tiene 4 áreas y varios procesos que lo componen:
Ambiente controlado de tecnología de la informaciónLos objetivos estratégicos empresariales se verán seriamente afectados en cuanto a cumplimiento en caso de no mantener un ambiente controlado que permita mantener: control interno, cumplimiento de regulaciones, controles anti fraude, etc.
Arquitectura empresarial en tecnología de la información
La arquitectura empresarial permite definir líneas de crecimiento para satisfacer de manera óptima el crecimiento y la inversión de TI en el tiempo.
Los pilares del gobierno de tecnología de la información para alinearse con la estrategia empresarial
Estrategia, Entrega de Valor, Gestión de Recursos, Gestión de Riesgos y Gestión del Desempeño
Proceso: Asegurar la Seguridad de la Información
Reportes
Reportes
Estructura de indicadores
Indicadores de tecnología de la información proyectados a los procesos de negocio
Procesos de negocio
EVALUACIÓN Y GESTIÓN DE RIESGOS DE TI (PO9)
Continuidaddel servicio de TI (DS4)
Lineamientos y normas para losProcesos de:
Seguridadde los sistemas (DS5)
Lineamientos y normas para losProcesos de:
Cumplimiento derequerimientos externos TI ( ME3)
Lineamientos y normas para losProcesos de:
Planes de continuidad
de TI
Identificación de Recursos
críticos
Mantenimiento de planes de
continuidad
Entrenamiento y distribución del
plan
Recuperación de servicios de TI
Respaldos de
información
Gestión de seguridad
TI
Plan Estratégico Seguridad de TI
Gestión de Identifica-
ciones
Pruebas de Seguridad y monitoreo
Incidentes de
seguridad
Gestión de la criptografía
Prevenciòn y detecciòn de soft.
malicioso
Seguridad en la Red
Intercambio de información
Cumplimiento de requisitos regulatorios de
TI
Aplicaciones BDD Servidores (S.O) Infraestructura Servicios
Procesos y controles
Pruebas del plan de
continuidad
Gestión de accesos lógicos
E
O O
OO
O
E EE
E
E
O
O
O
O O
O O
1 2 3 4 5 13 1 2 3 4 5 7 8 9 10 11 12 5 6 7
EVALUACIÓN Y GESTIÓN DE RIESGOS DE TI (PO9)
Rendimiento ycapacidad de TI (DS3)
Lineamientos y normas de seguridad para los
procesos de:
Gestión de cambiosde TI (AI6)
Lineamientos y normas de seguridad para los
procesos de:
Implementación Y acreditación de tecnología (AI7)
Lineamientos y normas de seguridad para los
procesos de:
Monitoreo de controlInterno de TI (ME1)
Lineamientos y normas de seguridad para los
procesos de:
Adquirir y mantenersoftware (AI6)
Lineamientos y normas de seguridad para los
procesos de:
Adquirir y mantenerInfraestructura
tecnológica (AI3)Lineamientos y normas
de seguridad para losprocesos de:
Estandarización de capacidad
Disponibilidad de recursos de TI
Controles de sistema y auditabilidad
Configuración e implementación de
aplicaciones
Seguridad en aplicaciones
Aseguramiento de calidad SWF
Estandarizar la disponibilidad e integridad de la
infraestructura
Integridad de los datos en la
conversión o migración
Cierre y documentación de
cambios
Plan de implementación de
soluciones tecnológicas
Monitoreo de la capacidad de TI
Cambios de emergencia
Evaluación de impacto y prioridad
Estándares y procedimientos de
cambios en producc
Aceptación final de la solución
Monitoreo de cumplimiento de
políticas
Definición de posibles acciones de remediación
Aplicaciones BDD Servidores (S.O) Infraestructura Servicios
Estandarización de desempeño
E O
O
O E
E
OE
E E
E
E
E
EE
O
7 9 10 132 4 9 11 2 3 4
E
E
72 7 10 13 2 4 13
Indicadores implicados (ejemplo)
Continuidaddel servicio de TI (DS4)
Lineamientos y normas para losProcesos de:
Planes de continuidad
de TI
Identificación de Recursos
críticos
Mantenimiento de planes de
continuidad
Entrenamiento y distribución del
plan
Recuperación de servicios de TI
Respaldos de
información
Pruebas del plan de
continuidad
E
O
O
O
O O
E
1 2 3 4 5 13
1. Número de horas por usuario por mes perdidas por caídas de x sistema.
1. Porcentaje de cumplimiento de los SLA’s acordados.2. Cantidad de procesos críticos del banco que no están
cubiertos por el plan de continuidad.3. Porcentaje de pruebas de contingencia que cumplen
con los tiempos objetivos de recuperación.4. Frecuencia de interrupción (semana) de sistemas
críticos.
1. Tiempo transcurrido entre pruebas de recuperación de elementos de TI relacionados a un servicio crítico X de negocio.
2. Cantidad de horas de capacitación en el plan de continuidad o contingencia al personal relacionado.
3. Porcentaje de infraestructura crítica que posee monitoreo automático y continuo.
4. Frecuencia de revisiones del plan de continuidad de TI.5. Porcentaje promedio de pruebas exitosas realizadas en la
recuperación de componentes específicos de TI.
5.2 Ámbitos implicados en el modelo. (ISO27001)
Políticas de seguridad de la información
Organización de la seguridad de la inf.
E2
Administrar la seguridad de inf. en la parte interna del BP
2
Administrar la seguridad de la inf. con externos y proveed.
3
5
E
Gestión de activos de la información
Responsabilidad por los activos
Clasificación de la información
5
7
E
Seguridad del Recurso humano
Roles, responsabilidades
Concientización terminación
2
3E
Seguridad física y amb. Áreas Seguras (DC) Seg. de equipos 2 8 E O
Gestión de las comunicaciones y
operaciones
Operación de TI y control de cambios
Entrega de servicios de TI con terceros
Planificación y aceptación de los sistemas
Protección contra código malicioso
Seguridad en la Red
Intercambio de información
Comercio Electrónico
Monitoreo
Controles de acceso
Información
Administración de accesos de usuario
Responsabilidades
Red datos Aplicaciones
Comp. portátil
2 4 5 8 E O
2 6 8 E O13
9 O1311
3 4 11 E O129
2 3
E O13
4
1211
5 8 9
2 8 E O
2 3 4 5 7 9
E O
2 3 4 6 8 E O1310
5.2 Ámbitos implicados en el modelo . (ISO27001)
Requerimientos de seguridad para los sistemas
E
2 4
3
E
O
Incidentes de seguridad de la información
Reporte de eventos y debilidades de seg.
Requisitos de seguridad en continuidad
Riesgos en continuidad
Pruebas de contingencia
Cumplimiento de requerimientos legales de TI
Cumplimiento de políticas y estándares de seg
Administración de continuidad de
negocio
Consideraciones en auditoría a los sistemas
Adquisición, desarrollo y
mantenimiento de sistemas de información
Correcto procesamiento de las aplicaciones
Controles Criptográficos
Seguridad en archivos de sistemas
Seguridad en los procesos de desarrollo
Administración de vulnerabilidades técnicas
Administración de incidentes
Cumplimiento de normas y regulaciones
6 7
9 13
1211
E
O
2 4
1310
O
2
4 5 13
10
7
75
6 13
E
O
Nota: Todos los ámbitos son normados y monitoreados por Riesgo Tecnológico; y ejecutados por los departamentos de seguridad y de tecnología de la información.
Ámbito ISO 27001 Proceso
Gestión de activos de la información
Responsabilidad por los activos
Clasificación de la información
5
7
E
•Proceso de clasificación de la información
•Necesidades del negocio en cuanto a clasificación; •Convenciones para clasificación y reclasificación;•Periodicidad de las revisiones de clasificación de los dueños de la información.•Niveles de clasificación; Criterios para definir la categoría de clasificación.•Niveles de protección de la información; Periodos de retención de la información.•Periodos de tiempo que debe mantenerse en cada categoría de información antes de que pueda cambiar (ej. Información interna luego de 7 años procederá a ser pública);•Definir las regulaciones que deben ser consideradas; Etiquetado de información; Etiquetado de medios para información en tránsito.
Lineamientos normativos
•Política de clasificación de la información.•Procedimiento de clasificación de la información.•Estándar para la categorización de información.
Instrumentos normativos
Ámbito ISO 27001 Objetivos de control ISO Indicadores
Gestión de activos de la información
Responsabilidad por los activos
Clasificación de la información
5
7
E •Los activos de información deben estar inventariados o clasificados.•Los activos de información críticos deben estar protegidos por controles de seguridad.•Definir los dueños y responsables de los activos de información•Definir normas de uso aceptable de los activos de información.
•Definir lineamientos y estándares de clasificación de la información del banco.• Definir estándares de etiquetado de la información y de los medios que contienen información.
• (%)Áreas de negocio con información clasificada / áreas de negocio.• (%)Tipo de información clasificada / tipos de información existente.• (%)Tipo de información con dueños y responsables asignados / Tipos de información existente.•# de medios de almacenamiento y transporte de información clasificados para etiquetado.•# de estándares de clasificación de la información.• Definición de dueños de la información.• Estándares para definir criticidad de la información.
Ámbito ISO 27001
Objetivos de control ISO
Requerimientos de seguridad
para los sistemas
2
4
Adquisición, desarrollo y mantenimiento de sistemas de información
6
7
9
13
12
11
E
O
Lineamientos normativos
•Lineamientos de seguridad para el desarrollo de software•Consideraciones de control para certificación de una aplicación•Consideraciones de seguridad en la planificación y análisis de software• Consideraciones de seguridad en la arquitectura de software• Prácticas de seguridad en la codificación de software• Controles de seguridad para asegurar la integridad en el procesamiento de información en los sistemas.• Políticas de gestión de los archivos de sistemas para mantener la confidencialidad, integridad y disponibilidad de los mismos.• Procedimientos para la gestión de vulnerabilidades
•Política de seguridad para el desarrollo, adquisición e implementación de software.•Política para implementación y de controles criptográficos.•Política de gestión de vulnerabilidades técnicas.•Estándar de requerimientos de seguridad para los sistemas de información.•Estándar de seguridad para las configuraciones de infraestructura.•Estándar de manejo de errores en producción.•Estándar de algoritmos y controles criptográficos.
Definición de estándares de seguridad en sistemas de información
Evaluación y análisis de vulnerabilidades en diseño de software
Seguridad en los procesos de desarrollo de software
Procesos de seguridad
Instrumentos normativos
Correcto procesamiento de
las aplicaciones
Controles Criptográficos
Seguridad en archivos de
sistemas
Seguridad en los procesos de desarrollo y
soporte
Administración de
vulnerabilidades técnicas
Implementación de estándares de seguridad en sistemas de información
Ámbito ISO 27001
Objetivos de control ISO
Responsabilidades de los
usuarios
2
4
Controles de acceso
6
7
9
13
12
11
E
O
Sistemas de Aplicación
Administración de accesos de usuario
Red de datos y sistema operativo
Lineamientos normativos
•Política de gestión de acceso a recursos de información, que defina los lineamientos y estrategia del negocio para otorgar y monitorear el acceso a recursos de información.•Procedimiento para la administración, definición y custodia de contraseñas.•Procedimiento de revisión de perfiles de usuario.•Estándar de perfiles de usuario.•Estándar de seguridad para definición y administración de cuentas de usuario (nomenclatura de cuentas, sesiones, contraseñas, etc.).•Política de escritorios limpios•Política de responsabilidad de uso de la información.
Gestión de perfiles de usuario
Procesos de seguridad
Instrumentos normativos
•Definir las necesidades del BP en cuanto al acceso y restricciones de información.•Definir la estrategia que se aplicará para la entrega y consumo de información con el personal interno, proveedores y terceros.•Definir la importancia, periodicidad y alcance de las revisiones y monitoreo sobre el uso de la información institucional.•Definir la estrategia y normas generales en las actividades relacionadas a la gestión de contraseñas de los recursos tecnológicos.•Estandarizar la nomenclatura, definición y alcance de todos los perfiles del BP considerando las políticas relacionadas al acceso a la información.•Normar el tránsito y almacenamiento de información confidencial o crítica.•Normar las responsabilidades que tienen los empleados, proveedores y terceros al acceder a la información institucional.
Gestión de usuarios y contraseñas
Gestión de acceso a recursos tecnológicos
FIN
Julio 2012Mgs. Marco Cevallos, ITIL, CISA, CCSA, CRMA.
top related