Tema 4: Estrcutura organizativa del area de tecnologias de la informacion
Area de TI
las estructura del area de TI tienen un tamaño adecuado y compatible con las operaciones y la naturaleza del negocio. Ademas la estructura organizativa debe garantizar la Seguridad de la Información y la continuidad del negocio.
Características esenciales para la seguirdad de la información
- Dependencia Funcional: La dependencia funcional del area de TI debe garantizar la integridad de los sistemas y seguir una jerarquia adecuada de autorización para modificaciones y alteraciones de los sistemas y la información. Mientras mas independiente sea el area de TI de las operaciones de la empresa, mayor será la seguridad de la información.
- Segregación de funciones: Las funciones del area de TI deben segregarse adecuadadmente en pro de garantizar la seguridad de la informacion. El area de desarrollo debe ser independiente a las operaciones de sistemas en produccion y de la administracion de la base de datos. Asimismo, es necesario que el desarrollo de sistemas sea independiente del soporte tecnico y la administracion de redes y comunicaciones. La independencia del area de desarrollo garantiza la integrida de la informacion asegurando que los sistemas, bases de datos y redese de comunicacion que se encuentran en produccion no sufran alteraciones que pudieran afectar a las operaciones del negocio
Estructura organizativa del area de TI
Gerencia de tecnologias de la informacion (TI)
- Planifica y guía las soluciones a requerimientos y estrategias de negocion relacionadas con TI
- Interactua a nivel ejecutio con otras areas o con el Directorio. Asesora respecto de nuevas tecnologias y mejoras de procesos
- Debe ser personal con experiencia
Subgerencia de desarrollo
El area de desarrollo se ocupa de la creacion o adquisicion y modificacion de sistemas de informacion en la organizacion que dan soporte a las operaciones del negocio. Se conforma en el mejor de los casos minimamente con los siguientes profesionales:
- Analisis de requerimientos
- Programacion
- Analisis de calidad
Subgerencia de redes, comunicaciones y soporte tecnico
- **:**Personal encargado del establecimiento y configuracion de las redes y comunicaciones requeridas por el negocio para el funcionamiento de sus sistemas y operaciones
Aministracion de bases de datso y operacion de sistemas
Esta actividad administra las bases de datos de la organizacion, controla los accesos, seguridad de los datos y realiza las actividades de resguardo de la informacion como res realizacion de backups y operaciones de control
Area de seguridad de la informacion
Es la instancia que se encarga de establecer politicas y normativas para mantener la informacion segura en la organizacion, es una area controladora tanto del area de TI como de las demas areas y por lo tanto debe ser independiente
Area de auditoria de sistemas
Es la instancia que forma parte del area de autidoria interna y se encarga de realizar revicsiones to al area de TI como de seguridad de la informacion para examinar que la informacion se trate y controle de manera correcta.
Tema 5: Infraestructura de la Tecnologia de la Informacion
Todos estos se denominan Activo de informacion
Activo de informacion: Cualquier activo que entre en contacto con la información
- Informacion: Conjunto organizado de datos que soportan los procesos criticos de la empresa
- Aplicativos:
- Servicios
- Servidores
- Estaciones de Trabajo: Equipos que forman parted de la red y son asignados a los funcionarios para el desempeño de sus funciones
- Instalaciones
- Usuarios Administradores
- Personas
- Equipos de redes y comunicaciones
todas generan riesgo porque la informacion tienen valor
Informacion
Conjunto organizados que soportan un proceso critico de la empresa
Tema 5: Ciclo de vida del software
el software nace con el objetivo de mejorar, optimizar o automatizar procesos
5.1 Analisis de requerimientos
5.1.1 Planificación
- Planificacion de cambios, adaptaciones y mejoras a realizar en otros sistemas, asi como la capacitacion de los usuarios.
5.1.2 Factibilidad
5.1.3 Tipos de requerimientos
- Requerimientos funcionales:
- Requerimientos no funcionales:
5.1.4 Documentación
Auditoría de sistemas
Revision total o parcial de los ambientes de TI
Por que es importante?
- La informacion es un activo de la empresa
- La informacion es un activo que tiene valor
- La informacion es un activo que genera riesgo
- La informacion es un activo que debe ser protegido
Revisiones en la auditoria de sistemas
- Revision de la estructura organizativa del area de TI
Control: Son politicas, practivas y estructuras organizacionales para reducir el riesgo. Se aplican a toda la organización
Clasificacion de controles
- Preventivos: Evitan que ocurra un riesgo
- Detectivos: Detectan que ocurrio un riesgo
- Correctivos: Corrigen un riesgo
Riesgo = Probabilidad * Impacto
Los controles se aprueban en 2 etapas:
Efectividad del diseño del control
El diseño de un control esta en su formalización documentada, pueden ser politicas, procedimientos, normas, circulares, flujogramas, etc.
Efectividad de la operación del control:
Es la operativa del control, si funciona bien, si cumple sus objetivos y si es adecuado al tamaño y operaciones de negocio
Si un control cuenta con un diseño efectivo esto no garantiza la efectividad operativa de los controles. sin embargo, si el diseño de un control no es efectivo, el contorl tampoco efectivo operativamente.
La ISO 27002 es una norma que establece controles de seguridad de la informacion
5 Dominios de los controles generales de TI
Aplican a toda la organización
se evaluan en 2 etapas: diseño y operación diseño: formalización documentada operación: si funciona bien, si cumple sus objetivos y si es adecuado al tamaño y operaciones de negocio
Planificación y organización
- organigramas
- Comites operativos de TI
Acceso a programas y datos
- Seguridad de la informacion
- Segregacion de funciones
- Principio de menor privilegio
Cambios a programas
- Se manejan solicitudes de cambios (quien lo solicita, quien lo aprueba, quien lo realiza)
Desarrollo de sistemas de información
Operacion de computadora
- administracion de incidentes (registro de incidentes clasificados por criticidad)
Unidad 4: Evaluación de controles de aplicación
Son contorles manuales y/o automaticos que se encargan de verificar que la informacion correspondiente a un proceso o sistema especifico cumla con distintos criterior o requerimientos del negocio para la información esto con el fin garantizar el cumplimiento de los objetivos de dichos sistemas o procesos
criterios que determinan el criterio de seguridad de la información
- Efectividad
- Eficiencia
- Confidencialidad
- Integridad
- Disponibilidad
- Cumplimiento
- Confiabilidad
Ciclo de vida de los controles de aplicación
Propiedades de los controles de aplicacion
tipos de controles de aplicacion
- Manuales
- Autorizaciones escritas, como firmas en cheques
- Reconciliacion de ordenes de compra con los formatos de recepcion de mercancias.
- Automaticos
- Validaciones de edicion y contenido de datos de entrada.
- Digitos verificadores para validar numeros de cuenta.
- Hibridos
- El proceso de llenado de ordenes de embarque puede incluir un control donde el gerente de embarques revisa un reporte de ordenes no embarcadas. Para que este control esa efectiva, la actividad automatizada asi como la manula son necesarias.
- Configurables -> Controles automatizados dependientes de la configuracion de parametros dentro de la aplicacion
- Ejemplo: Un control que valida que el monto de una factura no exceda el limite de credito del cliente
Atributos de los contorles de aplicacion
- Frecuencia del control
- Proximidad del control al evento de riesgo
- Ejecucion de la actividad de control