Tema 4: Estrcutura organizativa del area de tecnologias de la informacion

Area de TI

las estructura del area de TI tienen un tamaño adecuado y compatible con las operaciones y la naturaleza del negocio. Ademas la estructura organizativa debe garantizar la Seguridad de la Información y la continuidad del negocio.

Características esenciales para la seguirdad de la información

  • Dependencia Funcional: La dependencia funcional del area de TI debe garantizar la integridad de los sistemas y seguir una jerarquia adecuada de autorización para modificaciones y alteraciones de los sistemas y la información. Mientras mas independiente sea el area de TI de las operaciones de la empresa, mayor será la seguridad de la información.
  • Segregación de funciones: Las funciones del area de TI deben segregarse adecuadadmente en pro de garantizar la seguridad de la informacion. El area de desarrollo debe ser independiente a las operaciones de sistemas en produccion y de la administracion de la base de datos. Asimismo, es necesario que el desarrollo de sistemas sea independiente del soporte tecnico y la administracion de redes y comunicaciones. La independencia del area de desarrollo garantiza la integrida de la informacion asegurando que los sistemas, bases de datos y redese de comunicacion que se encuentran en produccion no sufran alteraciones que pudieran afectar a las operaciones del negocio

Estructura organizativa del area de TI

Gerencia de tecnologias de la informacion (TI)

  • Planifica y guía las soluciones a requerimientos y estrategias de negocion relacionadas con TI
  • Interactua a nivel ejecutio con otras areas o con el Directorio. Asesora respecto de nuevas tecnologias y mejoras de procesos
  • Debe ser personal con experiencia

Subgerencia de desarrollo

El area de desarrollo se ocupa de la creacion o adquisicion y modificacion de sistemas de informacion en la organizacion que dan soporte a las operaciones del negocio. Se conforma en el mejor de los casos minimamente con los siguientes profesionales:

  • Analisis de requerimientos
  • Programacion
  • Analisis de calidad

Subgerencia de redes, comunicaciones y soporte tecnico

  • **:**Personal encargado del establecimiento y configuracion de las redes y comunicaciones requeridas por el negocio para el funcionamiento de sus sistemas y operaciones

Aministracion de bases de datso y operacion de sistemas

Esta actividad administra las bases de datos de la organizacion, controla los accesos, seguridad de los datos y realiza las actividades de resguardo de la informacion como res realizacion de backups y operaciones de control

Area de seguridad de la informacion

Es la instancia que se encarga de establecer politicas y normativas para mantener la informacion segura en la organizacion, es una area controladora tanto del area de TI como de las demas areas y por lo tanto debe ser independiente

Area de auditoria de sistemas

Es la instancia que forma parte del area de autidoria interna y se encarga de realizar revicsiones to al area de TI como de seguridad de la informacion para examinar que la informacion se trate y controle de manera correcta.


Tema 5: Infraestructura de la Tecnologia de la Informacion

Todos estos se denominan Activo de informacion

Activo de informacion: Cualquier activo que entre en contacto con la información

  • Informacion: Conjunto organizado de datos que soportan los procesos criticos de la empresa
  • Aplicativos:
  • Servicios
  • Servidores
  • Estaciones de Trabajo: Equipos que forman parted de la red y son asignados a los funcionarios para el desempeño de sus funciones
  • Instalaciones
  • Usuarios Administradores
  • Personas
  • Equipos de redes y comunicaciones

todas generan riesgo porque la informacion tienen valor

Informacion

Conjunto organizados que soportan un proceso critico de la empresa


Tema 5: Ciclo de vida del software

el software nace con el objetivo de mejorar, optimizar o automatizar procesos

5.1 Analisis de requerimientos

5.1.1 Planificación

  1. Planificacion de cambios, adaptaciones y mejoras a realizar en otros sistemas, asi como la capacitacion de los usuarios.

5.1.2 Factibilidad

5.1.3 Tipos de requerimientos

  1. Requerimientos funcionales:
  2. Requerimientos no funcionales:

5.1.4 Documentación


Auditoría de sistemas

Revision total o parcial de los ambientes de TI

Por que es importante?

  • La informacion es un activo de la empresa
  • La informacion es un activo que tiene valor
  • La informacion es un activo que genera riesgo
  • La informacion es un activo que debe ser protegido

Revisiones en la auditoria de sistemas

  • Revision de la estructura organizativa del area de TI

Control: Son politicas, practivas y estructuras organizacionales para reducir el riesgo. Se aplican a toda la organización

Clasificacion de controles

  • Preventivos: Evitan que ocurra un riesgo
  • Detectivos: Detectan que ocurrio un riesgo
  • Correctivos: Corrigen un riesgo

Riesgo = Probabilidad * Impacto

Los controles se aprueban en 2 etapas:

  • Efectividad del diseño del control

    El diseño de un control esta en su formalización documentada, pueden ser politicas, procedimientos, normas, circulares, flujogramas, etc.

  • Efectividad de la operación del control:

    Es la operativa del control, si funciona bien, si cumple sus objetivos y si es adecuado al tamaño y operaciones de negocio

Si un control cuenta con un diseño efectivo esto no garantiza la efectividad operativa de los controles. sin embargo, si el diseño de un control no es efectivo, el contorl tampoco efectivo operativamente.

La ISO 27002 es una norma que establece controles de seguridad de la informacion

5 Dominios de los controles generales de TI

Aplican a toda la organización

se evaluan en 2 etapas: diseño y operación diseño: formalización documentada operación: si funciona bien, si cumple sus objetivos y si es adecuado al tamaño y operaciones de negocio

Planificación y organización

  • organigramas
  • Comites operativos de TI

Acceso a programas y datos

  • Seguridad de la informacion
  • Segregacion de funciones
  • Principio de menor privilegio

Cambios a programas

  • Se manejan solicitudes de cambios (quien lo solicita, quien lo aprueba, quien lo realiza)

Desarrollo de sistemas de información

Operacion de computadora

  • administracion de incidentes (registro de incidentes clasificados por criticidad)

Unidad 4: Evaluación de controles de aplicación

Son contorles manuales y/o automaticos que se encargan de verificar que la informacion correspondiente a un proceso o sistema especifico cumla con distintos criterior o requerimientos del negocio para la información esto con el fin garantizar el cumplimiento de los objetivos de dichos sistemas o procesos

criterios que determinan el criterio de seguridad de la información

  1. Efectividad
  2. Eficiencia
  3. Confidencialidad
  4. Integridad
  5. Disponibilidad
  6. Cumplimiento
  7. Confiabilidad

Ciclo de vida de los controles de aplicación

Propiedades de los controles de aplicacion

tipos de controles de aplicacion

  • Manuales
    • Autorizaciones escritas, como firmas en cheques
    • Reconciliacion de ordenes de compra con los formatos de recepcion de mercancias.
  • Automaticos
    • Validaciones de edicion y contenido de datos de entrada.
    • Digitos verificadores para validar numeros de cuenta.
  • Hibridos
    • El proceso de llenado de ordenes de embarque puede incluir un control donde el gerente de embarques revisa un reporte de ordenes no embarcadas. Para que este control esa efectiva, la actividad automatizada asi como la manula son necesarias.
  • Configurables -> Controles automatizados dependientes de la configuracion de parametros dentro de la aplicacion
    • Ejemplo: Un control que valida que el monto de una factura no exceda el limite de credito del cliente

Atributos de los contorles de aplicacion

  1. Frecuencia del control
  2. Proximidad del control al evento de riesgo
  3. Ejecucion de la actividad de control