Sistemas de información empresarial

Sistemas de información empresarial

Febrero 2013Docente: Mgs. Marco Cevallos, ITIL,

CISA, CCSA, CRMA.

Primera Parte:Organizaciones, administración y la

empresa en la red

Rol de los SI en los negocios actuales

60´s - 90´s 90´s - 05´s 05´s - 12´s

30 años 15 años 7 años

Qué objetivos estratégicos ayuda a cumplir la tecnología de la información

Qué objetivos estratégicos ayuda a cumplir la tecnología de la información.

Excelencia operativa, nuevos productos y servicios, proveedores y clientes

Qué objetivos estratégicos ayuda a cumplir la tecnología de la información

Qué objetivos estratégicos ayuda a cumplir la tecnología de la información.

Toma de decisiones, ventaja competitiva y servicios, superviviencia

Activos complementarios para obtener valor sobre la inversión en tecnología de la información

• Inversión en el modelo de negocios: el modelo de negocios debe tener concordancia con la apertura a la innovación y optimización operativa.

• Inversión en el modelo administrativo y organizativo: modelo jerárquico abierto a la participación y creatividad de los empleados.

• Inversiones sociales: recursos de tecnología de la información, infraestructura tecnológica, conectividad, internet.

Procesos de negocio y sistemas de información

Tipos de sistemas de información empresarialSistemas de ventas y marketing: -Facturación en línea.-Controles de oferta vs. Capacidad.-Controles de costos de acuerdo a temporada y campañas.-Controles de suma de totales y valores unitarios.-Movilidad en los sistemas de marketing-Conectividad en tiempo real con los datos centralizados

Tipos de sistemas de información empresarialSistemas de manufactura y producción: -Controles de conteo -Parametrización de características, costos, y cantidad de producción.-Control de calidad en producción-Ejecución de casos de pruebas en sistemas de información-Proyección de errores y producción de unidades.

Tipos de sistemas de información empresarialSistemas de RRHH: -Generación de perfiles de empleados-Centralización de información de empleados-Acceso distribuido a la información de pagos, vacaciones, etc.-Programas de crecimiento y capacitación-Cálculo de desempeño en base a objetivos y entregables.-Proyecciones de producción y desempeño.

Tipos de sistemas de información empresarialSistemas financieros y contables:•Control de inventario•Control de ingresos y egresos•Facturación en línea•Pagos con tarjeta de crédito•Contabilización

Sistemas de información en líneaMovilidad: reuniones vía video conferencia, toma de decisiones de manera remota, tele trabajo.

Casos de éxito: Webex de Cisco, QlickView, Skype, Team Foundation Server, Banca en línea segura.

Sistemas de información en líneaSeguridad: transacciones bancarías en banca móvil

Transacciones en tiempo real, movilidad, seguridad, consulta de saldos, etc.

Empresa y tecnología de la información

• Para sacar provecho de la tecnología de la información en la empresa es necesario conocer las fortalezas y debilidades del giro de negocio y potenciar los elementos que maximicen la rentabilidad así como controlar aquellos que pueden afectar al cumplimiento de objetivos del negocio.

• El conocimiento detallado de las operaciones es esencial para aplicar la tecnología como un activo estratégico que a nivel competitivo implique una ventaja.


En el siguiente escenario, cómo explotar la tecnología agregando valor al giro de negocio?


En el siguiente escenario, cómo explotar la tecnología agregando valor al giro de negocio?

Procesos de vigilancia:-Sistemas estadísticos y de registros históricos transaccionales.-Sistemas de gestión de riesgos asociados al fraude.-Sistemas de archivo y colaboración de información con terceros.

La tecnología no aportará valor a un nivel estratégico si no permite tomar decisiones, para esto es necesario información a tiempo, precisa, integra y que mantenga la confidencialidad del caso. Esto es, reportes automatizados.

Empresa y tecnología de la informaciónEn el siguiente escenario, cómo explotar la tecnología agregando

valor al giro de negocio?

- Sistemas de inteligencia de negocio alimentados de información de:

- Sistemas de administración financiera (ejecución presupuestaria, cumplimiento de deadlines, etc.)

- Sistemas de RRHH, cumplimiento de objetivos.- Sistemas de core de negocio: atención al cliente, sistemas de

producción, facturación, etc.




Procesos auxiliares:-Sistemas de producción, medición, indicadores y pruebas automatizadas.-Gestión de RRHH-Sistema de gestión de servicios de TI-Sistema financiero y de inventario




Procesos auxiliares:-Gestión de trámites, workflow de peticiones y aprobaciones.-Sistema de cálculo y gestión de impuestos en base a ingresos.-Aplicativos de notificación: sms, correo, oficios, etc.


Sistemas de información estratégicos

• Deben soportar la gestión de la estrategia empresarial y agregar valor en las operaciones del negocio: • Objetivo estratégico: masificar el uso de transacciones en

línea remplazando los canales tradicionales.• Indicadores de proceso.• Sistemas de medición e indicadores de logro del proceso

de banca móvil. • Sistemas de inteligencia de negocio que permitan tomar

decisiones al negocio como: abrir nuevas agencias en lugares con carencias de acceso digital, potenciar el uso mediante programas de recompensas en empresas, descuentos, promociones.


• Deben facilitar la materialización o viabilidad de los objetivos estratégicos.• Sistemas móviles de banca.• Seguridad en la transaccionalidad de banca móvil: asegurar

ejecución sin riesgos, mantener la disponibilidad del servicio 24/7, masificar el servicio, concientizar sobre la importancia del uso responsable.

• Sistemas de seguridad: sistemas que garanticen la inviolabilidad de los sistemas por parte de atacantes y virus.

• Sistemas de monitoreo transaccional de los clientes: envío de alertar y notifiaciones en caso de detectar comportamientos erraticos de los clientes. Ej.: transacciones de 10.000 usd, envío de dinero a cuentas extrañas, sobregiros, retiros ATM, etc.

• Deben presentar y reportar indicadores de estrategia.


• Deben presentar y reportar indicadores de estrategia:• Indicadores de cumplimiento de las metas y objetivos:

Cantidad de clientes que utilizan el canal electrónico vs. Clientes que usan el canal tradicional.

• Indicadores de crecimiento de objetivos: crecimiento porcentual del universo de clientes en el canal electrónico.

• Indicadores de disminución de afluencia en agencias de canales tradicionales.

• Indicadores de transaccionalidad periódica, clasificada por el canal.

• Cantidad de fraudes ejecutados en el canal de banca en línea.

Segunda Parte:Infraestructura y procesos de tecnología de la información

Infraestructura de tecnología de la informaciónTodo ambiente de tecnología de la información, en cualquier estructura que éste mantenga tiene 4 áreas y varios procesos que lo componen:

Ambiente controlado de tecnología de la informaciónLos objetivos estratégicos empresariales se verán seriamente afectados en cuanto a cumplimiento en caso de no mantener un ambiente controlado que permita mantener: control interno, cumplimiento de regulaciones, controles anti fraude, etc.

Arquitectura empresarial en tecnología de la información

La arquitectura empresarial permite definir líneas de crecimiento para satisfacer de manera óptima el crecimiento y la inversión de TI en el tiempo.

Los pilares del gobierno de tecnología de la información para alinearse con la estrategia empresarial

Estrategia, Entrega de Valor, Gestión de Recursos, Gestión de Riesgos y Gestión del Desempeño

Proceso: Asegurar la Seguridad de la Información

Reportes

Estructura de indicadores

Indicadores de tecnología de la información proyectados a los procesos de negocio

Procesos de negocio

EVALUACIÓN Y GESTIÓN DE RIESGOS DE TI (PO9)

Continuidaddel servicio de TI (DS4)

Lineamientos y normas para losProcesos de:

Seguridadde los sistemas (DS5)


Cumplimiento derequerimientos externos TI ( ME3)


Planes de continuidad

de TI

Identificación de Recursos

críticos

Mantenimiento de planes de

continuidad

Entrenamiento y distribución del

plan

Recuperación de servicios de TI

Respaldos de

información

Gestión de seguridad

TI

Plan Estratégico Seguridad de TI

Gestión de Identifica-

ciones

Pruebas de Seguridad y monitoreo

Incidentes de

seguridad

Gestión de la criptografía

Prevenciòn y detecciòn de soft.

malicioso

Seguridad en la Red

Intercambio de información

Cumplimiento de requisitos regulatorios de

TI

Aplicaciones BDD Servidores (S.O) Infraestructura Servicios

Procesos y controles

Pruebas del plan de

continuidad

Gestión de accesos lógicos

E

O O

OO

O

E EE

E

E

O

O

O

O O

O O

1 2 3 4 5 13 1 2 3 4 5 7 8 9 10 11 12 5 6 7

EVALUACIÓN Y GESTIÓN DE RIESGOS DE TI (PO9)

Rendimiento ycapacidad de TI (DS3)

Lineamientos y normas de seguridad para los

procesos de:

Gestión de cambiosde TI (AI6)


procesos de:

Implementación Y acreditación de tecnología (AI7)


procesos de:

Monitoreo de controlInterno de TI (ME1)


procesos de:

Adquirir y mantenersoftware (AI6)


procesos de:

Adquirir y mantenerInfraestructura

tecnológica (AI3)Lineamientos y normas

de seguridad para losprocesos de:

Estandarización de capacidad

Disponibilidad de recursos de TI

Controles de sistema y auditabilidad

Configuración e implementación de

aplicaciones

Seguridad en aplicaciones

Aseguramiento de calidad SWF

Estandarizar la disponibilidad e integridad de la

infraestructura

Integridad de los datos en la

conversión o migración

Cierre y documentación de

cambios

Plan de implementación de

soluciones tecnológicas

Monitoreo de la capacidad de TI

Cambios de emergencia

Evaluación de impacto y prioridad

Estándares y procedimientos de

cambios en producc

Aceptación final de la solución

Monitoreo de cumplimiento de

políticas

Definición de posibles acciones de remediación

Aplicaciones BDD Servidores (S.O) Infraestructura Servicios

Estandarización de desempeño

E O

O

O E

E

OE

E E

E

E

E

EE

O

7 9 10 132 4 9 11 2 3 4

E

E

72 7 10 13 2 4 13

Indicadores implicados (ejemplo)

Continuidaddel servicio de TI (DS4)


Planes de continuidad

de TI

Identificación de Recursos

críticos

Mantenimiento de planes de

continuidad

Entrenamiento y distribución del

plan

Recuperación de servicios de TI

Respaldos de

información

Pruebas del plan de

continuidad

E

O

O

O

O O

E

1 2 3 4 5 13

1. Número de horas por usuario por mes perdidas por caídas de x sistema.

1. Porcentaje de cumplimiento de los SLA’s acordados.2. Cantidad de procesos críticos del banco que no están

cubiertos por el plan de continuidad.3. Porcentaje de pruebas de contingencia que cumplen

con los tiempos objetivos de recuperación.4. Frecuencia de interrupción (semana) de sistemas

críticos.

1. Tiempo transcurrido entre pruebas de recuperación de elementos de TI relacionados a un servicio crítico X de negocio.

2. Cantidad de horas de capacitación en el plan de continuidad o contingencia al personal relacionado.

3. Porcentaje de infraestructura crítica que posee monitoreo automático y continuo.

4. Frecuencia de revisiones del plan de continuidad de TI.5. Porcentaje promedio de pruebas exitosas realizadas en la

recuperación de componentes específicos de TI.

5.2 Ámbitos implicados en el modelo. (ISO27001)

Políticas de seguridad de la información

Organización de la seguridad de la inf.

E2

Administrar la seguridad de inf. en la parte interna del BP

2

Administrar la seguridad de la inf. con externos y proveed.

3

5

E

Gestión de activos de la información

Responsabilidad por los activos

Clasificación de la información

5

7

E

Seguridad del Recurso humano

Roles, responsabilidades

Concientización terminación

2

3E

Seguridad física y amb. Áreas Seguras (DC) Seg. de equipos 2 8 E O

Gestión de las comunicaciones y

operaciones

Operación de TI y control de cambios

Entrega de servicios de TI con terceros

Planificación y aceptación de los sistemas

Protección contra código malicioso

Seguridad en la Red

Intercambio de información

Comercio Electrónico

Monitoreo

Controles de acceso

Información

Administración de accesos de usuario

Responsabilidades

Red datos Aplicaciones

Comp. portátil

2 4 5 8 E O

2 6 8 E O13

9 O1311

3 4 11 E O129

2 3

E O13

4

1211

5 8 9

2 8 E O

2 3 4 5 7 9

E O

2 3 4 6 8 E O1310

5.2 Ámbitos implicados en el modelo . (ISO27001)

Requerimientos de seguridad para los sistemas

E

2 4

3

E

O

Incidentes de seguridad de la información

Reporte de eventos y debilidades de seg.

Requisitos de seguridad en continuidad

Riesgos en continuidad

Pruebas de contingencia

Cumplimiento de requerimientos legales de TI

Cumplimiento de políticas y estándares de seg

Administración de continuidad de

negocio

Consideraciones en auditoría a los sistemas

Adquisición, desarrollo y

mantenimiento de sistemas de información

Correcto procesamiento de las aplicaciones

Controles Criptográficos

Seguridad en archivos de sistemas

Seguridad en los procesos de desarrollo

Administración de vulnerabilidades técnicas

Administración de incidentes

Cumplimiento de normas y regulaciones

6 7

9 13

1211

E

O

2 4

1310

O

2

4 5 13

10

7

75

6 13

E

O

Nota: Todos los ámbitos son normados y monitoreados por Riesgo Tecnológico; y ejecutados por los departamentos de seguridad y de tecnología de la información.

Ámbito ISO 27001 Proceso




5

7

E

•Proceso de clasificación de la información

•Necesidades del negocio en cuanto a clasificación; •Convenciones para clasificación y reclasificación;•Periodicidad de las revisiones de clasificación de los dueños de la información.•Niveles de clasificación; Criterios para definir la categoría de clasificación.•Niveles de protección de la información; Periodos de retención de la información.•Periodos de tiempo que debe mantenerse en cada categoría de información antes de que pueda cambiar (ej. Información interna luego de 7 años procederá a ser pública);•Definir las regulaciones que deben ser consideradas; Etiquetado de información; Etiquetado de medios para información en tránsito.

Lineamientos normativos

•Política de clasificación de la información.•Procedimiento de clasificación de la información.•Estándar para la categorización de información.

Instrumentos normativos

Ámbito ISO 27001 Objetivos de control ISO Indicadores




5

7

E •Los activos de información deben estar inventariados o clasificados.•Los activos de información críticos deben estar protegidos por controles de seguridad.•Definir los dueños y responsables de los activos de información•Definir normas de uso aceptable de los activos de información.

•Definir lineamientos y estándares de clasificación de la información del banco.• Definir estándares de etiquetado de la información y de los medios que contienen información.

• (%)Áreas de negocio con información clasificada / áreas de negocio.• (%)Tipo de información clasificada / tipos de información existente.• (%)Tipo de información con dueños y responsables asignados / Tipos de información existente.•# de medios de almacenamiento y transporte de información clasificados para etiquetado.•# de estándares de clasificación de la información.• Definición de dueños de la información.• Estándares para definir criticidad de la información.

Ámbito ISO 27001

Objetivos de control ISO

Requerimientos de seguridad

para los sistemas

2

4

Adquisición, desarrollo y mantenimiento de sistemas de información

6

7

9

13

12

11

E

O


•Lineamientos de seguridad para el desarrollo de software•Consideraciones de control para certificación de una aplicación•Consideraciones de seguridad en la planificación y análisis de software• Consideraciones de seguridad en la arquitectura de software• Prácticas de seguridad en la codificación de software• Controles de seguridad para asegurar la integridad en el procesamiento de información en los sistemas.• Políticas de gestión de los archivos de sistemas para mantener la confidencialidad, integridad y disponibilidad de los mismos.• Procedimientos para la gestión de vulnerabilidades

•Política de seguridad para el desarrollo, adquisición e implementación de software.•Política para implementación y de controles criptográficos.•Política de gestión de vulnerabilidades técnicas.•Estándar de requerimientos de seguridad para los sistemas de información.•Estándar de seguridad para las configuraciones de infraestructura.•Estándar de manejo de errores en producción.•Estándar de algoritmos y controles criptográficos.

Definición de estándares de seguridad en sistemas de información

Evaluación y análisis de vulnerabilidades en diseño de software

Seguridad en los procesos de desarrollo de software

Procesos de seguridad


Correcto procesamiento de

las aplicaciones

Controles Criptográficos

Seguridad en archivos de

sistemas

Seguridad en los procesos de desarrollo y

soporte

Administración de

vulnerabilidades técnicas

Implementación de estándares de seguridad en sistemas de información

Ámbito ISO 27001

Objetivos de control ISO

Responsabilidades de los

usuarios

2

4

Controles de acceso

6

7

9

13

12

11

E

O

Sistemas de Aplicación

Administración de accesos de usuario

Red de datos y sistema operativo


•Política de gestión de acceso a recursos de información, que defina los lineamientos y estrategia del negocio para otorgar y monitorear el acceso a recursos de información.•Procedimiento para la administración, definición y custodia de contraseñas.•Procedimiento de revisión de perfiles de usuario.•Estándar de perfiles de usuario.•Estándar de seguridad para definición y administración de cuentas de usuario (nomenclatura de cuentas, sesiones, contraseñas, etc.).•Política de escritorios limpios•Política de responsabilidad de uso de la información.

Gestión de perfiles de usuario

Procesos de seguridad


•Definir las necesidades del BP en cuanto al acceso y restricciones de información.•Definir la estrategia que se aplicará para la entrega y consumo de información con el personal interno, proveedores y terceros.•Definir la importancia, periodicidad y alcance de las revisiones y monitoreo sobre el uso de la información institucional.•Definir la estrategia y normas generales en las actividades relacionadas a la gestión de contraseñas de los recursos tecnológicos.•Estandarizar la nomenclatura, definición y alcance de todos los perfiles del BP considerando las políticas relacionadas al acceso a la información.•Normar el tránsito y almacenamiento de información confidencial o crítica.•Normar las responsabilidades que tienen los empleados, proveedores y terceros al acceder a la información institucional.

Gestión de usuarios y contraseñas

Gestión de acceso a recursos tecnológicos

FIN

Julio 2012Mgs. Marco Cevallos, ITIL, CISA, CCSA, CRMA.

Sistemas de información empresarial

Documents

Transcript of Sistemas de información empresarial