Upload
hugo-soto
View
15
Download
0
Embed Size (px)
DESCRIPTION
Implantación de Gobierno de TI para una empresa que no contaba con sistemas para el manejo de sus operaciones se utilizo Cobit 4.1
Citation preview
Introduccin
La misin principal de COBIT es investigar, desarrollar, hacer
pblico y promover un marco de control de gobierno TI autorizado,
actualizado, aceptado internacionalmente para la adopcin por
parte de las empresas y el uso diario por parte de gerentes de
negocio, profesionales de TI y profesionales de aseguramiento. La
necesidad de un marco de trabajo de control para el gobierno de TI
define las razones de por qu se necesita el gobierno TI, los
interesados y qu se necesita cumplir en el gobierno de TI.
El presente documento representa la funcionalidad que el gobierno
de TI tiene en una empresa ya que para toda empresa, organizacin,
institucin o negocio de cualquier tamao la informacin es el
recurso ms valioso. Entre ms se automaticen de forma correcta
los procesos que maneja, almacenan y generan informacin se tendr
un mejor control sobre toda actividad que se realice en la
empresa, tomando en cuenta todas las actividades de negocio as
como las actividades propias de TI
Antecedentes
La empresa Petrleo y Combustibles HS es una empresa guatemalteca
fundada en el ao 2005 por una sociedad annima local, su
funcionamiento y operaciones fueron aprobadas y monitoreadas por
el Ministerio de Energa y Minas del Gobierno de Guatemala para la
explotacin, importacin y transformacin de materias primas
locales y extranjeras.
Desde la fundacin Petrleo y Combustibles HS se convirti en un
referente en la regin por su buen funcionamiento, buenos precios
y calidad en sus productos. Hoy da la empresa se encuentra
posicionada en un lugar privilegiado ya que ha podido extenderse
por toda la regin centro americana y panam.
Petrleo y Combustibles HS cree en:
Brindar productos de calidad a todos sus clientes
Generacin de empleo para una gran cantidad personas
Responsabilidad ambiental
Productos seguros y accesibles
Siempre estar a la vanguardia en la tecnologa de sus
productos y en los mtodos para lograr todas sus operaciones
Petrleo y combustibles HS se encuentra entre el top 5 de las
compaas refinadoras de toda amrica latina.
Visin
Nos comprometemos a ser una empresa responsable del medio ambiente
que desarrolla sus operaciones y reservas, eficientemente, sin
derrames ni accidentes, para ir siempre a la vanguardia.
Misin
Producir de manera responsable el recurso petrolero de Guatemala y
la regin Centro Americana en beneficio y armona de los
empleados, las comunidades y el medio ambiente.
PLANTEAMIENTO DEL PROBLEMA
Usted fue contratado por una organizacin para la implementacin de un
gobierno de TI basado en el marco de referencia de COBIT.
La organizacin se dedica a la fabricacin de combustibles y carburantes
para la regin centroamericana.
Los procesos crticos para esta organizacin son:
1. Fabricacin de GLP.
2. Fabricacin de combustibles para automotores.
3. Importacin de materias primas.
4. Distribucin de los productos finales que se realiza de la
siguiente forma:
a. GLP venta en hogares en toda la regin.
b. Combustibles a travs de una red 100 gasolineras en la
regin.
La organizacin actualmente cuenta con sistemas obsoletos que deben ser
reemplazados por tecnologas de ltimas generacin tanto en aplicaciones
de escritorio como tecnologas mviles.
Dentro de los requerimientos del negocio se le solicita la creacin de un
nuevo datacenter y toda la infraestructura tecnolgica necesaria para la
implementacin. Considera lo siguiente:
1. Tecnologas de Oracle para BD.
2. Tecnologas de WebLogic para servidores de aplicaciones.
3. Desarrollos con tecnologa para plataforma Android.
4. Tecnologas Cisco para la red de comunicaciones centro amrica.
5. Los principales sistemas para el control de las operaciones.
6. Volumen estimado de usuarios por pas:
a. Guatemala 400.
b. Resto de C.A. 200 por pas incluyendo Panam.
7. Cantidad de datos a almacenar primer ao 3TB en base de datos y 2
TB en aplicaciones.
8. Debe existir un datacenter alterno al de Guatemala en Costa Rica.
Gobierno de T.I. para empresa que fabrica Combustibles y carburantes.
Marco de Trabajo Cobit 4.1
PO Planear y Organizar
PO1 Definir un Pla estratgico de T.I.
PO1.1 Situacin Actual de la Empresa
PO1.1.1 Caractersticas principales de la Empresa
La empresa Se dedica a la Fabricacin de Combustible para automotores,
carburantes y gas licuado de petrleo en la regin centroamericana, en la
cual distribuye el GLP a los hogares y el combustible en una red de 100
gasolineras en toda la regin.
PO1.1.2 Condiciones Actuales de la empresa
La organizacin actualmente cuenta con sistemas obsoletos que deben ser
reemplazados por tecnologas de ltimas generacin tanto en aplicaciones
de escritorio como tecnologas mviles para mejorar los procesos de
comunicacin y manejo de informacin en todas las reas de la empresa.
PO1.2 Modelo de Negocio
PO1.2.1 Estrategia Organizacional
La Estrategia de la empresa en convertirse en lderes del mercado en la
regin, brindndoles a sus clientes los mejores productos y de la mejor
calidad para satisfacer las necesidades de cada uno de ellos y ayudar al
cuidado y mantenimiento de sus vehculos y su economa.
Para poder cumplir con su estrategia, la empresa desea innovarse cada vez
ms para mantenerse en la cima del mercado y mantener una ventaja amplia
sobre sus competidores.
PO1.2.2 Competencias Fundamentales
Las fortalezas fundamentales de la organizacin son:
Posicionamiento en el mercado
Calidad de sus productos
Amplia cobertura
Precios Accesibles
Materia prima de ptima calidad
Para llegar a esto se utilizara:
1. Tecnologas de Oracle para BD.
2. Tecnologas de WebLogic para servidores de aplicaciones.
3. Desarrollos con tecnologa para plataforma Android.
4. Tecnologas Cisco para la red de comunicaciones centro amrica.
PO1.2.3 Estrategia Competitiva
La estrategia competitiva de la organizacin radica en mantener a sus
clientes satisfechos en muchos aspectos tanto en precio y confiabilidad
como en una buena imagen que identifica a la marca.
PO1.3 Modelo de TI
El modelo de TI de la organizacin se fortalece con la aplicacin y buen
manejo de tecnologa de ltima generacin para mantener controlados los
procesos de negocio, as como brindar una comunicacin efectiva en todas
las sedes y centros de distribucin de la regin centro americana.
Los nuevos sistemas de informacin que se implementaran servirn para
mantener un control de la informacin en las base de datos del data
center principal y creando una copia para el data center de respaldo. Los
trabajadores de la empresa podrn mantenerse en contacto con aplicaciones
desarrolladas para dispositivos mviles. Toda la tecnologa que se
implementara servir para dar el mejor servicio y productos de calidad a
los ms de 2000 usuarios.
PO2 Definir la arquitectura de la informacin
PO2.1 Modelo de Arquitectura de informacin
Procesos
crticos
Fabricacin
de GLP
Fabricacin de
combustible
Importacin
de materia
prima
Distribucin de
los productos
Objetivos de Negocio
Requisitos de
Negocio
Objetivos de
Gobierno
Informacin
de servicios
Informacin de
Criterios de
negocio
Arquitectura de TI
DATACENTER
BD Servidor de
aplicaciones Servidor de
Comunicaciones
PO2.2 Esquema de Clasificacin de Datos
Tipo de
Informacin
Proceso
Fabricacin
de GLP
Fabricacin
de
Combustible
Importacin
de materia
prima
Distribucin
de Productos
Publica X
Secreta X
Confidencial X X
PO2.3 Administracin de Integridad
Para garantizar la integridad de la informacin:
El sistema limitara el acceso a informacin con roles
Solo el DBA te tendr acceso a todas las reas de la informacin
Para la transicin de la informacin se utilizaran algoritmos de
encriptacin
El acceso al sistemas ser por medio de claves encriptada y se
cambiaran constantemente
Para acceder al data center se tomaran medidas de seguridad
biomtrica, tarjetas inteligentes y claves.
El rea de TI es responsable de la seguridad, almacenamiento,
distribucin y comunicacin de la informacin para todas las reas
de la empresa
En TI hay responsabilidades compartidas as como una
responsabilidad especfica para cada miembro del equipo
Nunca se compartir informacin importante va telefnica
Los empleados que tengan acceso a informacin confidencial de la
empresa debern seguir un estricto cdigo de conducta para evitar
percances con ingeniera social
PO3 Determinar la direccin tecnolgica
PO3.1 Planeacin de la direccin tecnolgica
Bajo esta direccin recae la responsabilidad de supervisar y evaluar la
actividad de los tcnicos e integrantes de la empresa, estableciendo los
objetivos y mecanismos necesarios para la consecucin de la evolucin de
nuestros productos y servicios.
Sus principales tareas son:
Registrar y controlar la propiedad de las tecnologas desarrolladas
e implantadas.
Registrar, administrar y controlar los sistemas internos de
control.
Generar la documentacin y metodologa necesaria, que facilite la
rpida adaptacin de los sistemas.
Asegurar, mediante el estudio continuo de los procedimientos y
mecanismos de control, la mayor calidad en la ejecucin de los
proyectos que caigan bajo su espectro funcional, organizando las
prioridades con carcter tecnolgico que se adecuen a la oferta
realizada.
Organizar, controlar, dirigir y supervisar al personal tcnico.
Asegurar la realizacin de tareas de seguimiento continuo para
mantener y mejorar la calidad de los servicios y productos.
Coordinar con la Direccin de Innovacin los planes de implantacin
y adecuacin tecnolgicos.
Asesorar proactivamente a la Direccin en la elaboracin y diseo
de los planes tecnolgicos anuales y plurianuales.
PO3.2 Plan de infraestructura tecnolgica
Dentro de los requerimientos del negocio se le solicita la creacin de un
nuevo datacenter y toda la infraestructura tecnolgica necesaria para la
implementacin. Considera lo siguiente:
1. Tecnologas de Oracle para BD.
2. Tecnologas de WebLogic para servidores de aplicaciones.
3. Desarrollos con tecnologa para plataforma Android.
4. Tecnologas Cisco para la red de comunicaciones centro amrica.
5. Los principales sistemas para el control de las operaciones.
6. Volumen estimado de usuarios por pas:
a. Guatemala 400.
b. Resto de C.A. 200 por pas incluyendo Panam.
7. Cantidad de datos a almacenar primer ao 3TB en base de datos y 2 TB
en aplicaciones.
8. Debe existir un datacenter alterno al de Guatemala en Costa Rica.
PO4 Definir los Procesos, Organizacin y Relaciones de TI.
PO4.1 Marco de trabajo de procesos de TI
Trabajo a
realizar
Procesos
Base de
Datos
Aplicaciones Comunicaciones Control de
Distribucin de
productos
Generacin de
informacin
X X X
Almacenamiento
de informacin
X
Control de
trfico de
informacin
X
PO4.2 Polticas que debe cumplir el personal contratado
1- Cumplir fielmente en forma presencial el tiempo estipulado en su
contrato. En caso de presentrsele una situacin especial debe
comunicarlo por escrito.
2- Cumplir las expectativas y resultados esperados.
3- Manejar las informaciones dentro del Canon de absoluta
discrecionalidad.
4- Toda persona que entra al departamento entra en condicin de prueba
de 3 meses; decidiendo su continuidad a partir de los resultados.
5- Todo miembro ha de cumplir fielmente el cronograma de trabajo;
presentando a ms tardar el da 5 de cada mes una memoria de sus
ejecutorias.
6- Todo miembro del equipo ha de respetar los canales y procedimientos
establecidos.
7- Asistir a las reuniones y jornadas a las que se le convoque.
8- Presentar todas las sugerencias y propuestas que considere pueden
contribuir al cumplimiento pleno de la misin del departamento.
9- Cultivar el perfil de dinamismo, cooperacin, integracin,
solidaridad, respeto, alegra y desarrollo integral del departamento y
cada uno de sus miembros.
10- Consultar con la instancia superior cualquier inconveniente o
procedimiento no tomado previamente en consideracin.
11- Aplicar el procedimiento general y las tcnicas especficas a
emplearse en la organizacin y ejecucin de la Evaluacin.
PO5 Administrar la inversin en TI
Descripcin conceptos
Excelente Bueno Regular Deficiente
Existencia marco
de trabajo
financiero para
administrar las inversiones y el
costo de los
activos y
servicios de TI
X
Cumplimiento marco de trabajo
financiero para
administrar las
inversiones y el
costo de los
activos y servicios de TI
X
Retroalimentacin
marco de trabajo
financiero para
administrar las
inversiones y el
costo de los
activos y
servicios de TI
X
Existencia implementacin
del proceso de
toma de
decisiones para
dar prioridades a la asignacin de
recursos de TI
X
Cumplimiento
implementacin
X
del proceso de toma de
decisiones para
dar prioridades a
la asignacin de
recursos de TI
Retroalimentacin
implementacin
del proceso de
toma de
decisiones para
dar prioridades a la asignacin de
recursos de TI
X
Existencia
proceso de
administracin y
elaboracin de
los presupuestos
de inversin de
TI
X
Cumplimiento proceso de
administracin y
elaboracin de
los presupuestos
de inversin de
TI
X
Retroalimentacin
proceso de
administracin y
elaboracin de
los presupuestos
de inversin de
TI
X
Existencia
proceso de administracin de
costos que
compare los
costos reales con
los
presupuestados
X
Cumplimiento proceso de
administracin de
costos que
compare los
costos reales con
los presupuestados
X
Retroalimentacin
proceso de
administracin de
costos que compare los
costos reales con
los
presupuestados
X
Existencia
implementacin de
un proceso de
monitoreo de
beneficios
X
Cumplimiento implementacin de
un proceso de
monitoreo de
beneficios
X
Retroalimentacin implementacin de
un proceso de
monitoreo de
beneficios
X
PO6 Comunicar las aspiraciones y la direccin de la Gerencia
El proceso para comunicar las aspiraciones y la direccin son informales e inconsistentes
debido a que no existe comunicacin entre la persona encargada de crearlos y el nivel
gerencial, y las polticas y procedimientos de la direccin gerencial son desorganizados debido
a que el nivel gerencial no ha realizado reuniones formales para poder crearlos.
Estos procesos se van a tecnificar y se har una reestructuracin tecnolgica para que la
comunicacin sea satisfactoria y siempre la informacin est disponible en todas las reas de la
empresa.
PO7 Administrar los Recursos Humanos de TI
Por la entrevista informal realizada a la persona encargada del
Departamento Administrativo y la encuesta realizada al personal de la
empresa, conocemos que la administracin de los recursos humanos de TI y
en general no cuenta con un proceso previamente establecido que siga
prcticas definidas y aprobadas para el reclutamiento, entrenamiento,
evaluacin del desempeo, la promocin y la terminacin de la fuerza de
trabajo.
El proceso para administrar el recurso humano no cuenta con una persona o
grupo de personas asignadas formalmente, no existe conciencia de la
necesidad del proceso en la organizacin.
PO8 Administrar la Calidad
Por la entrevista informal realizada a la persona encargada del
Departamento Administrativo conocemos que la administracin de la calidad
es un proceso inicial en la empresa. A nivel gerencial se preocupa por
obtener certificacin ISO 9001-2000; el personal administra la calidad de
su trabajo indistintamente y sin supervisin.
El proceso para administrar la calidad no tiene una metodologa definida
en la organizacin, la alta gerencia reconoce que es necesario un sistema
de administracin de la calidad pero este no tiene una estructura
documentada para seguir, todo se realiza de manera intuitiva y
desorganizada.
PO9 Descripcin del Proceso
Por la entrevista informal realizada a la persona encargada del
Departamento Administrativo conocemos que la evaluacin y administracin
de los riesgos de TI es un proceso inexistente en la empresa, porque no
cuentan con un marco de trabajo que identifique, analice y evalu
cualquier impacto potencial sobre las metas de la organizacin causada
por algn evento no planeado.
El proceso para evaluar y administrar los riesgos de TI no tiene
conciencia de la importancia de contar con una metodologa que solucione
vulnerabilidades de seguridad e incertidumbres en el desarrollo de
proyectos, evaluando los riesgos en los procesos y en las decisiones del
negocio.
PO10 Administrar Proyectos
Por la entrevista realizada al Vicepresidente Ejecutivo de la empresa, y
la entrevista informal realizada a la persona encargada del Departamento
Administrativo conocemos que la administracin de proyectos de TI es un
proceso inexistente en la empresa porque no cuentan con una metodologa
definida que garantice la coordinacin de los proyectos, por el contrario
cada miembro de la empresa administra sus proyectos independientemente.
El proceso para administrar proyectos de TI no tiene tcnicas especficas
y la organizacin no toma en cuenta los impactos al negocio que ocurren
por la mala administracin de los proyectos.
AI Adquirir e implementar
AI1 Identificar Soluciones Automatizadas
1. Tecnologas de Oracle para BD.
2. Tecnologas de WebLogic para servidores de aplicaciones.
3. Desarrollos con tecnologa para plataforma Android.
4. Tecnologas Cisco para la red de comunicaciones en toda centro
amrica.
Lista de componentes y equipo para implantar los nuevos sistemas
Cable UTP:
Componente Descripcin
Cable UTP categora 6 Puede transmitir datos
Gigabit Ethernet
Conector RJ-45:
Componente Descripcin
Conector RJ-45 Interfaz fsica para
cable UTP
Patch Panel:
Componente Descripcin
Patch Panel De 19 pulgadas con 48
puerto
Switch:
Componente Descripcin
Switch C2960S-48FPD-L
Ofrecen alta densidad de 10, 40 y 100
Gigabit Ethernet con
la aplicacin de
sensibilizacin y
completo anlisis de
rendimiento para el
centro de datos.
Router:
Componente Descripcin
Router Cisco ASR 1013
Servicios escalables
integradas en el
procesador de QuantumFlow Cisco a
velocidades de cable
de 2,5 Gbps a 100 Gbps
Servidores:
Componente Descripcin
Servidor Un servidor es un nodo que,
formando parte de una red, provee servicios a otros nodos denominados
clientes.
Rack:
Componente Descripcin
Rack Un rack es un soporte metlico
destinado a alojar equipamiento electrnico, informtico y de
comunicaciones. Las medidas para la
anchura estn normalizadas para que
sean compatibles con equipamiento
de cualquier fabricante. Tambin
son llamados bastidores, cabinas,
cabinets o armarios.
Tecnologia Web logic :
Componente Descripcion
Oracle Weblogic Oracle WebLogic Server 12c es el servidor
de aplicaciones nmero uno en los entornos
convencionales y de nube. Es la piedra
angular de la base de la aplicacin de nube
de Oracle, la plataforma ms completa y de
mayor nivel del sector para el desarrollo
de aplicaciones de nube.
Telfono IP
Componente Descripcin
Cisco Unified 9971 El Cisco Unified IP Phone 9971
ofrece una alta calidad, las
comunicaciones multimedia
interactivas avanzadas en un diseo
que es a la vez usuario y
respetuoso del medio ambiente.
AI2 Adquirir y mantener software
La adquisicin de software se realizara bajo licenciamiento de fabricante
y las aplicaciones sern desarrolladas por el personal del departamento
de TI.
El departamento de TI desarrollara y mantendr el sistema que haya sido
creado e implantado en los equipos, desarrollara aplicaciones para
dispositivos mviles que cuenten con el sistema operativo Android.
El desarrollo de aplicaciones y sistemas de la empresa para terminales no
mviles se realizara en lenguajes de programacin orientada a objetos
(Java, .Net, etc.) as tambin como las pginas web propias de la empresa
en la que se brindara informacin acerca de los productos y servicios de
la empresa. Para el desarrollo de aplicaciones mviles se usaran SDK
especiales que permitan desarrollar de la mejor manera posible las
aplicaciones.
AI3 Adquirir y Mantener Infraestructura Tecnolgica
El mantenimiento de la estructura de TI ser realizado por el personal
del departamento de TI y si fuera necesario se contratara a un tercero
para brindar dicho mantenimiento bajo la supervisin del personal de la
empresa.
La adquisicin del equipo ser evaluada para distintos proveedores y se
escoger la que mejor se acople al presupuesto destinado a la inversin
de automatizacin de los procesos de la empresa y controlar los mismos
(fabricacin de GLP, Combustibles, la adquisicin de las materias primas
y la distribucin de los productos finales). Los equipos que sern
adquiridos son los que se ajustan a las necesidades de la empresa y se
deber realizar el doble de la compra ya que se contar con un sistema de
respaldo en un datacenter privado en Costa Rica.
AI4 Facilitar la operacin y el uso
Para facilitar la operacin de los sistemas y el uso de las aplicaciones
nuevas para realizar los nuevos procesos de la empresa se requerir:
Documentacin de todos los procesos que se realizan
Creacin de diagramas de los procesos
Documentacin apropiada en cada proyecto de desarrollo
o Manuales de programacin
o Manuales de usuario
Creacin de archivos digitales que contengan toda la informacin de
los proyectos
Creacin de Manuales de polticas de uso, compromiso y
responsabilidad de los usuarios
AI5 Adquirir recursos de TI
Precio de componentes tecnolgicos que sern adquiridos o que podran ser
adquiridos para realizar una reestructuracin en el gobierno de TI en la
empresa:
Producto Precio unidad
UTP CAT6 Q. 6.25 p/m
RJ45 Q. 14.60
Patch panel $ 229.00
Switch $ 3,118.00
Router $ 12,732.00
Servidor $ 10,919.00
Rack $ 150.00
Web Logic $ 600.00
Base de datos Oracle $ 700.00
Telfonos IP Cisco $ 514.66
Windows 7 Ultimate $ 250.00
Microsoft Office 13 $ 367.00
Microsoft Server 2012 R2 $ 600.00
VmWare Virtual Center $ 6,000.00
Backup Exec $ 500.00
AI6 Administrar Cambios
Las aplicaciones, sistemas, bases de datos, servidores, telefona Ip y
pstn sern integrados en la nueva red empresarial. Despus de la ceracin
de la nueva red sern automatizados los procesos de la empresa a travs
de las aplicaciones que sern instaladas y brindadas a los equipos
terminales a travs de los servidores de aplicaciones con Weblogic de
Oracle que se adquirieron.
Se realizaran pruebas de funcionamiento previas al completo lanzamiento
de los nuevos sistemas que cubrirn la regin centro americana y panam
AI7 Instalar y acreditar soluciones y cambios
Despus de realizar las pruebas de funcionamiento de los sistemas a nivel
local y a nivel regional:
Se proceder a la instalacin automtica de las aplicaciones a
travs del directorio activo de la red
Se asignaran usuarios y respectivas contraseas a los empleados
Se brindara capacitacin para entrenar al personal y saber dar
solucin a los problemas que se presenten
Cambiar el mtodo tradicionalmente utilizado para realizar los
procesos para automatizarlos a travs de los nuevos sistemas
DS Entregar y Dar Soporte
DS1 Definir y Administrar los Niveles de Servicio
Se conoce que la definicin y administracin de los niveles de servicio
es un proceso inexistente en la empresa porque no cuentan con una
documentacin de acuerdos de niveles de servicio de TI con respecto a los
servicios requeridos, que refuerce la comunicacin entre la gerencia de
TI y el personal de la empresa.
Para definir el proceso y administrar los niveles de servicio la gerencia
no tiene contemplado el gran nmero de beneficios de tener un sistema
responsable que controle y documente la administracin de acuerdos de
niveles de servicio en la empresa por ello se llevara a cabo una lista de
beneficios que la empresa tendr al contar con un sistema que ayude a
automatizar sus procesos:
Priorizacin de los procesos
Optimizacin de costos de TI
Incremento en la productividad del personal al utilizar el sistema
Mayor control del estado actual de los procesos
Confidencialidad de informacin
Integridad de los Activos de la empresa
Disponibilidad de informacin en todo momento
Niveles de Servicios:
Rapidez y confiabilidad en la bsqueda de datos
Clasificacin de la informacin en niveles de privacidad
Soporte de los servicios en caso de algn problema
Soporte y mantenimiento de hardware
DS2 Administrar los Servicios de Terceros
En caso de necesitar el servicio de terceros, la poltica de la empresa
establece reglas que se deben seguir para que la empresa o persona que
brinde el servicio se apegue directamente a las polticas y
especificaciones con las que trabaja nuestro departamento de TI, de esta
manera se asegurara que todo est bajo control y se mantendr la
funcionalidad libre de errores. Las polticas con las que se
administraran a terceros son:
La informacin permanecer nica y exclusivamente restringida para
miembros de la organizacin
Solo tendrn acceso si as se necesitara bajo supervisin de
personal autorizado del rea de TI
El personal de TI es responsable de verificar el trabajo que
realizan los terceros
El acceso a los datacenter solo ser posible si son acompaados de
personal autorizado que supervise el trabajo
Los terceros son responsables del equipo en que trabajan
Daos y percances causados por personal de empresas terceras sern
responsabilidad de la empresa a la que se contrata
Se podr utilizar la misma empresa para los distintos servicios que
se necesiten si se llenan las expectativas
No existir un contrato con empresas terceras para dar servicio a
los equipos
Se contratara a empresas terceras solo si el personal del rea de
TI propio lo necesitan
Nuca se realizaran pagos en efectivo a los trabajadores, solo se
realizara por transaccin bancaria
Los acuerdos de trabajo se realizaran con directivos de las empresas
DS3 Administrar el Desempeo y la Capacidad
Para poder cumplir con los requerimientos de tiempo de respuesta de los
acuerdos de niveles de servicio, minimizando el tiempo sin servicio y
haciendo mejoras continuas de desempeo y capacidad de TI a travs del
monitoreo y la medicin se establecern pasos a seguir y revisiones
peridicas para confirmar que se cumplen los objetivos.
Proceso de administracin del buen desempeo y la capacidad de la
empresa a travs de los procesos que se automatizarn
Fabricacin
de GLP Fabricacin
de
combustible
Adquirir
Materia
prima
Vender y
distribuir
Para medir que tan bien estn las ventas,
es necesario no solo medir las ganancias
obtenidas si no tambin que tanto hemos
satisfecho las necesidades de los clientes,
si su precio es razonable y si nos permite
competir en el mercado, rea que se cubre
con cada punto de distribucin
Las materias primas para la fabricacin de los
productos de la empresa son adquiridas de los
mejores proveedores nacionales y extranjeros
para garantizar la confiabilidad de los
productos que fabricamos, vendemos y
distribuimos
El control de este proceso ser llevado a cabo durante
su fabricacin midiendo la calidad de los productos
utilizados y haciendo pruebas para medir si cumple con
los requisitos necesarios para dejar la lnea de
fabricacin
El control de este proceso ser llevado a cabo durante su
fabricacin midiendo la calidad de los productos utilizados y
haciendo pruebas para medir si cumple con los requisitos
necesarios para dejar la lnea de fabricacin
DS4 Garantizar la Continuidad del Servicio
La necesidad de brindar continuidad en los servicios de TI requiere
desarrollar, mantener y probar planes de continuidad de TI, almacenar
respaldos fuera de las instalaciones y entrenar de forma peridica sobre
los planes de continuidad. El desarrollo de resistencia en las soluciones
automatizadas y desarrollando, manteniendo y probando los planes de
continuidad de TI.
Los planes para la continuidad del servicio sern con la definicin de
medidas que garanticen la integridad en todo momento de la informacin,
los equipos que la contiene y que prestan servicios a las aplicaciones
con las que interactan los usuarios y los clientes de la empresa para
mantener una mejor comunicacin.
Las medidas que se tomaran para realizar lo anterior dicho ser:
SAP. Sistemas de Anlisis y Desarrollo de Programas
ERP. Planificacin de Recursos Empresariales
Data Loss Prevention (DLP):
Backup Exec
DRP. Plan de recuperacin ante desastres
BCP. Plan de continuidad del negocio
Backup de Base de Datos
o Backups incrementales
o Backups diferenciales
DS5 Garantizar la Seguridad de los Sistemas
La necesidad de mantener la integridad de la informacin y de proteger
los activos de TI, requiere de un proceso de administracin de la
seguridad. La definicin de polticas, procedimientos y estndares de
seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las
vulnerabilidades e incidentes de seguridad.
Para garantizar la seguridad de los sistemas se tomara en cuenta:
Polticas de Seguridad
Data Center
El DataCenter deber:
Tener una puerta de acceso de vidrio templado transparente, para
favorecer el control del uso de los recursos de cmputo.
Ser un rea restringida. Tener un sistema de control de acceso que
garantice la entrada solo al personal autorizado por la gerencia de
Tecnologa.
Recibir limpieza al menos una vez por semana, que permita
mantenerse libre de polvo.
Estar libre de contactos e instalaciones elctricas en mal estado
Aire acondicionado. Mantener la temperatura a 21 grados
centgrados.
Asignar un tcnico para que realice un control diario temperatura y
aires acondicionados y llevar un registro de estos controles.
Respaldo de energa redundante.
Seguir los estndares de proteccin elctrica vigentes para
minimizar el riesgo de daos fsicos de los equipos de
telecomunicaciones y servidores.
Los sistemas de tierra fsica, sistemas de proteccin e
instalaciones elctricas debern recibir mantenimiento anual con el
fin de determinar la efectividad del sistema.
Contar con algn esquema que asegure la continuidad del servicio.
Control de humedad
Prevencin y/o deteccin de incendios
Sistemas de extincin.
Contar por lo menos con dos extintores de incendio adecuado y
cercano al DataCenter.
La instalacin del equipo de cmputo, quedar sujeta a los siguientes
lineamientos:
Los equipos para uso interno se instalarn en lugares adecuados,
lejos de polvo y trfico de personas.
El rea de Tecnologa, as como las reas operativas debern contar
con un plano actualizado de las instalaciones elctricas y de
comunicaciones del equipo de cmputo en red.
Las instalaciones elctricas y de comunicaciones, estarn
preferiblemente fijas o en su defecto resguardadas del paso de
personas o materiales, y libres de cualquier interferencia
elctrica o magntica.
Las instalaciones se apegarn estrictamente a los requerimientos de
los equipos, cuidando las especificaciones del cableado y de los
circuitos de proteccin necesarios.
En ningn caso se permitirn instalaciones improvisadas o
sobrecargadas.
La supervisin y control de las instalaciones se llevar a cabo en
los plazos y mediante los mecanismos que establezca el Comit.
Configuracin e instalacin
TI tiene la responsabilidad de verificar la instalacin, configuracin e
implementacin de seguridad, en los servidores conectados a la Red.
La instalacin y/o configuracin de todo servidor conectado a la
Red ser responsabilidad de TI.
Durante la configuracin de los servidores TI deben genera las
normas para el uso de los recursos del sistema y de la red,
principalmente la restriccin de directorios, permisos y programas
a ser ejecutados por los usuarios.
Los servidores que proporcionen servicios a travs de la red e
Internet debern:
o Funcionar 24 horas del da los 365 das del ao.
o Recibir mantenimiento preventivo mnimo dos veces al ao
o Recibir mantenimiento semestral que incluya depuracin de
logs.
o Recibir mantenimiento anual que incluya la revisin de su
configuracin.
o Ser monitoreados por TI.
La informacin de los servidores deber ser respaldada de acuerdo
con los siguientes criterios, como mnimo:
o Diariamente, informacin crtica.
o Semanalmente, los documentos web.
o Mensualmente, configuracin del servidor y logs.
Los servicios hacia Internet slo podrn proveerse a travs de los
servidores autorizados por TI.}
DS6 Identificar y Asignar Costos
Planning
Riesgos
El riesgo que se corre en este negocio es alto, ya que un ataque al
sistema o un trabajo de ingeniera social puede revelar la informacin personal de los clientes asegurados. La informacin que se puede filtrar
pueden ser datos personales de los trabajadores, informacin de sus
proveedores, procesos confidenciales, frmulas de fabricacin, etc.
Amenazas
A. Robo de informacin
B. Modificacin de informacin
C. Prdida total o parcial de informacin
Prioridad, costo de proteccin y nivel de amenaza
Tipo de Riesgo A B C
1 Costo de si sucede el
ataque
$800,000.00 $1,000,000.00 $4,000,000.00
2 Probabilidad de que
ocurra
65% 45% 75%
3 Severidad de la amenaza $600,000.00 $950,000.00 $2,787,500.00
4 Costo de Proteccin $300,000.00 $800,000.00 $1,000,000.00
5 Viabilidad Si Si Si
6 Prioridad 2 3 1
Acciones de las polticas de seguridad
Las polticas de seguridad para esta empresa sern de un carcter
personal de la empresa, estas polticas muestran que hacer para prevenir
un ataque, que hacer durante un ataque y despus del mismo, as como
evitar que suceda otra vez. Entre las polticas de seguridad est
definido el uso del equipo y la informacin, los niveles de acceso a informacin, el comportamiento de los empleados dentro y fuera de la
institucin, hbitos que deben tener y evitar, etc.
Control de acceso
El control de acceso a la informacin, estar acotada por los roles de
cada uno de los empleados de la empresa. El fin de dar permisos por roles es limitar la cantidad de informacin a la que cada nivel de la empresa
tiene acceso y as tener un control del flujo de informacin en la
empresa para evitar la filtracin hacia afuera de la empresa.
Arquitecturas tcnicas de seguridad.
Herramientas para comprender seguridad
A. FireWalls
B. Everest corporte edition
C. Ocs inventory next generation
Advertencias y procesos de entrenamiento
Las advertencias y procesos de entrenamiento para el personal con el que
cuenta la empresa son definidos en las polticas de seguridad en los que
se definen y se advierte a los empleados de las consecuencias de sus
hbitos y acciones que pueden realizar dentro y fuera de la empresa.
El proceso de entrenamiento abarca desde la forma de comportamiento y el
uso adecuado de la tecnologa y la informacin.
Castigos
Los castigos al incurrir en faltas a las polticas de la empresa pueden
ser:
A. Sanciones econmicas
B. Advertencias
C. Despidos
D. Persecucin judicial
Otros costos:
Mantenimiento de Sistemas
Mantenimiento de Hardware
Mantenimiento de cableado estructurado
Cambio de equipos
Actualizacin de sistemas
DS7 Educar y Entrenar a los Usuarios
Para una educacin efectiva de todos los usuarios de sistemas de TI,
incluyendo aquellos dentro de TI, se requieren identificar las
necesidades de entrenamiento de cada grupo de usuarios. Un claro
entendimiento de las necesidades de entrenamiento de los usuarios de TI,
la ejecucin de una efectiva estrategia de entrenamiento y la medicin de
resultados.
Los mtodos para dar educacin y entrenamiento a los usuarios acerca de
los nuevos sistemas sern:
Capacitaciones
Charlas
Talleres
DS8 Administrar la Mesa de Servicio y los Incidentes
El personal o recurso humano encargado de prestar servicio de help desk
debe poseer conocimientos de software, hardware y telecomunicaciones,
todo relacionado con el rea, adems de las polticas de la organizacin,
as como tambin tener capacidades comunicacionales idneas, tales como
escuchar y comprender la informacin, y las ideas expuestas en forma
oral, a problemas especficos, para as lograr respuestas coherentes.
Lo ms importante es dejar al usuario satisfecho con las gestiones del
analista, ms all si el analista entrega o no una solucin.
El Service Desk incluir:
Una gua de posibles problemas con respuestas a problemas comunes
que los usuarios podrn resolver por s solos
Envi de mensajes de reporte de problemas mayores para solicitar
ayuda tcnica
Informacin para que el personal de servicio tenga una gua con
especificaciones de los problemas.
DS9 Administrar la Configuracin
Garantizar la integridad de las configuraciones de hardware y software
requiere establecer y mantener un repositorio de configuraciones completo
y preciso. Establecer y mantener un repositorio completo y preciso de
atributos de la configuracin de los activos y de lneas base y
compararlos contra la configuracin actual.
DS10 Administracin de Problemas
Identificacin y clasificacin de los problemas
Identificacin de problemas. Los problemas son alteraciones al
funcionamiento correcto de las cosas y pueden ser:
Problemas de Software
Sistemas Operativos
Errores en registros de base de datos
Dao en las aplicaciones
Problemas de Hardware
Dao en equipos
Fallo en componentes
Problemas de escritura en disco
Problemas causados por el personal
Acceso no autorizado a equipos e informacin
Los problemas de tipo tecnolgico sern tratados y resueltos por el rea
de TI de la empresa y se reportaran a la direccin para llevar un control
de cada incidente que sucede.
Los problemas que el personal causa a los sistemas son tratados por el
rea de TI y el departamento de recursos humanos para que se encarguen de
las acciones pertinentes, todo lo que suceda y se decida ser reportado a
la direccin de la empresa para llevar un control especfico de todos los
procesos de castigo, correccin y solucin.
DS11 Administracin de Datos
Una efectiva administracin de datos requiere de la identificacin de
requerimientos de datos. Mantener la integridad, exactitud,
disponibilidad y proteccin de los datos.
DS12 Administracin del Ambiente Fsico
El ambiente fsico para los equipos que tendrn en funcionamiento los
sistemas estn definidos:
Tier III
Caractersticas:
Permite planificar actividades de mantenimiento sin afectar al
servicio de computacin, pero eventos no planeados pueden causar
paradas no planificadas.
Componentes redundantes (N+1)
Conectados mltiples lneas de distribucin elctrica y de
refrigeracin, pero nicamente con una activa.
Suficiente capacidad y distribucin para poder llevar a cabo tareas
de mantenimiento en una lnea mientras se da servicio por otras.
Mltiples enlaces de salida
varios enlaces de salida
DS13 Administracin de Operaciones
Un procesamiento de informacin completo y apropiado requiere de una
efectiva administracin del procesamiento de datos y del mantenimiento
del hardware. Cumplir con los niveles operativos de servicio para
procesamiento de datos programado, proteccin de datos de salida
sensitivos y monitoreo y mantenimiento de la infraestructura.
ME MONITOREAR Y EVALUAR
ME1 Monitorear y Evaluar el Desempeo de TI
Una efectiva administracin del desempeo de TI requiere un proceso de
monitoreo. Monitorear y reportar las mtricas del proceso e identificar e
implementar acciones de mejoramiento del desempeo.
Cmo monitorear el desempeo?
Etapa 1: Conformacin del equipo de trabajo
Personal capacitado para determinar si el trabajo se est realizando como
debera.
Etapa 2: Caracterizacin general de la organizacin objeto de estudio
Caractersticas de la empresa.
Etapa 3: Anlisis de los recursos de TI y su alineacin a los objetivos
de negocio de la organizacin
Recursos de TI con los que se cuenta y su participacin en los objetivos
de negocio.
Etapa 4: Anlisis de los riesgos de TI y su administracin
Riesgo a los que el equipo de cmputo y sus administradores corren.
Etapa 5: Caracterizacin del grado de satisfaccin de los trabajadores
con los recursos y servicios de TI
Evaluacin de las opiniones que tienes los usuarios de los equipos y
sistemas para determinar si es adecuado o no.
Etapa 6: Realizacin del diagnstico de madurez de los objetivos de
control de TI
Diagnstico de que tan tiles son los sistemas y equipos.
Etapa 7: Evaluacin de la gestin de TI en la organizacin
Investigacin acerca de cmo se gestiona, como se optimiza, como se
solucionan problemas de TI en la organizacin.
Etapa 8: Elaboracin del informe de evaluacin
Informe detallado de las investigaciones y los resultados encontrados
acerca del funcionamiento de TI y su gestin, tambin se reporta quien
realizo la evaluacin.
ME2 Monitorear y Evaluar el Control Interno
El control interno informtico controla diariamente que todas las
actividades de los sistemas de informacin sean realizadas cumpliendo
los procedimientos, estndares y normas fijados por la direccin de la
organizacin y/o direccin de informtica, as como los requerimientos
legales.
Objetivos del control interno de TI:
Establecer como prioridad la seguridad y proteccin de la
informacin del sistema computacional y de los recursos
informticos de la empresa.
Promover la confiabilidad, oportunidad y veracidad de la captacin
de datos, su procesamiento en el sistema y la emisin de informes
en la empresa.
Implementar los mtodos, tcnicas y procedimientos necesarios para
coadyuvar al eficiente desarrollo de las funciones, actividades y
tareas de los servicios computacionales, para satisfacer los
requerimientos de sistemas en la empresa.
Instaurar y hacer cumplir las normas, polticas y procedimientos
que regulen las actividades de sistematizacin de la empresa.
Establecer las acciones necesarias para el adecuado diseo e
implementacin de sistemas computarizados, a fin de que permitan
proporcionar eficientemente los servicios de procesamiento de
informacin en la empresa.
Elementos fundamentales del control interno informtico
Controles internos sobre la organizacin del rea de TI
Controles internos sobre el anlisis, desarrollo e implementacin
de sistemas
Controles internos sobre operacin del sistema
Controles internos sobre los procedimientos de entrada de datos, el
procesamiento de informacin y la emisin de resultados.
Controles internos sobre la seguridad del rea de sistemas
Controles internos sobre la organizacin del rea de TI
Direccin
Divisin del trabajo Asignacin de responsabilidad y autoridad
Establecimiento de estndares y mtodos Perfiles de puestos Controles internos sobre el anlisis, desarrollo e implementacin de
sistemas
Estandarizacin de metodologas para el desarrollo de proyectos
Asegurar que el beneficio de los sistemas sea optimo
Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y eficacia en el anlisis y diseo de
sistemas Vigilar la efectividad y eficiencia en la implementacin y
mantenimiento del sistema
Optimizar el uso del sistema por medio de su documentacin
Controles internos sobre operacin del sistema
Prevenir y corregir los errores de operacin Prevenir y evitar la manipulacin fraudulenta de la informacin Implementar y mantener la seguridad en la operacin Mantener la confiabilidad, oportunidad, veracidad y suficiencia en
el procesamiento de la informacin de la institucin Controles internos sobre los procedimientos de entrada de datos, el
procesamiento de informacin y la emisin de resultados.
Verificar la existencia y funcionamiento de los procedimientos de captura de datos
Comprobar que todos los datos sean debidamente procesados Verificar la confiabilidad, veracidad y exactitud del
procesamiento de datos.
Comprobar la oportunidad, confiabilidad y veracidad en la emisin de los resultados del procesamiento de informacin.
Controles internos sobre la seguridad del rea de TI
Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las reas de sistematizacin.
Controles sobre la seguridad fsica del rea de sistemas Controles sobre la seguridad lgica de los sistemas.
Controles sobre la seguridad de las bases de datos
Controles sobre la operacin de los sistemas computacionales Controles sobre seguridad del personal de informtica Controles sobre la seguridad de la telecomunicacin de datos
Controles sobre la seguridad de redes y sistemas multiusuarios
ME3 Garantizar el Cumplimiento con Requerimientos Externos
Una supervisin efectiva del cumplimiento requiere del establecimiento de
un proceso de revisin para garantizar el cumplimiento de las leyes,
regulaciones y requerimientos contractuales. La identificacin de todas
las leyes y regulaciones aplicables y el nivel correspondiente de
cumplimiento de TI y la optimizacin de los procesos de TI para reducir
el riesgo de no cumplimiento.
ME4 Proporcionar Gobierno de TI
El establecimiento de un marco de trabajo de gobierno efectivo, incluye
la definicin de estructuras, procesos, liderazgo, roles y
responsabilidades organizacionales para garantizar as que las
inversiones empresariales en TI estn alineadas y de acuerdo con las
estrategias y objetivos empresariales. La elaboracin de informes para el
consejo directivo sobre la estrategia, el desempeo y los riesgos de TI y
responder a los requerimientos de gobierno de acuerdo a las directrices
del consejo directivo.
reas del Gobierno TI:
1. Alineamiento estratgico, se centra en:
Asegurar la conexin e integracin del negocio con los planes de
TI.
Definir, mantener y validar las propuestas de valor de TI.
Alinear las operaciones de TI con las de la empresa.
Obtener mejor alineacin que la competencia.
2. Entrega de valor: se refiere a ejecutar las propuestas de valor
durante el ciclo de entrega, asegurando que TI entrega los
beneficios relacionados con la estrategia del negocio,
concentrndose en optimizar costes y proporcionar el valor
intrnseco a la TI.
3. Gestin del Riesgo requiere:
Concienciacin por parte de la alta direccin.
Comprender la necesidad del cumplimiento con los requisitos.
Transparencia en el tratamiento de los riesgos ms significativos.
Integrar las responsabilidades de la gestin de riesgos en la
organizacin.
Clara comprensin de la apetencia de riesgo de la organizacin.
4. Gestin de Recursos, se centra en:
Organizar de manera ptima los recursos de TI de forma que los servicios
que los requieran los obtengan en el lugar y momento necesarios.
Alinear y priorizar servicios y productos existentes de TI que se
requieren para apoyar las operaciones del negocio.
Controlar y monitorizar los servicios TI propios y de terceros.
5. Medicin del Rendimiento, sigue y controla:
La estrategia de la implantacin.
La estrategia de los proyectos.
El uso de los recursos.
El rendimiento de los procesos.
La entrega de los servicios.