Loading presentation...
Prezi is an interactive zooming presentation

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

ESTANDARES DE CONTROL Y GESTION INFORMATICA

No description
by

on 23 January 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of ESTANDARES DE CONTROL Y GESTION INFORMATICA

ESTANDARES DE CONTROL
Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de informática.
PLAN DE CONTINUIDAD DEL NEGOCIO
Es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre

La continuidad del negocio es un concepto que abarca tanto el plan para la recuperación de desastres  (DRP) como el plan para el restablecimiento del negocio. Recuperación de desastres es la capacidad para responder a una interrupción de los servicios mediante la implementación de un plan para restablecer las funciones críticas de la organización. Ambos se diferencian de la planeación de prevención de pérdidas, la cual implica la calendarización de actividades como respaldo de sistemas, autenticación y autorización (seguridad), revisión de virus y monitoreo de la utilización de sistemas (principalmente para verificaciones de capacidad).

BCP: ALTERNATIVAS DE
RECUPERACIÒN

BCP también es un proceso diseñado para reducir el riesgo del negocio de la organización que surja de una interrupción no esperada de las funciones/operaciones críticas (manuales o automáticas) necesarias para la supervivencia de la misma.

IMPORTANCIA
Sirve para comprobar la efectividad de la gestión
Promueve el aseguramiento de la calidad
Protege los activos de la empresa
Garantiza el cumplimiento de los planes
Establece medidas para prevenir errores, y reducir costos y tiempo
Sirve para determinar y analizar las causas que originan las desviaciones y evitan que se repitan
Es el fundamento para el proceso de la planeación

GESTION
INFORMATICA
Es una disciplina que combina la tecnología de información (IT) o la informática con conceptos de la gerencia. La disciplina del BI fue creada en Alemania, "Informática Económica".


EN EL BIA SE IDENTIFICAN LOS COMPONENTES CLAVES REQUERIDOS PARA CONTINUAR CON LAS OPERACIONES DE NEGOCIO LUEGO DE UN INCIDENTE, DENTRO DE ESTOS COMPONENTES SE ENCUENTRAN:
Personal requerido
Áreas de trabajo
Registros vitales- Backups de información
Aplicativos críticos
Dependencias de otras áreas
Dependencias de terceras partes
Criticidad de los recursos de información
Participación del personal de seguridad informática y los usuarios finales
Análisis de todos los tipos de recursos de información
Tres aspectos claves para el análisis:
Criticidad de los recursos de información relacionados con los procesos críticos del negocio
Período de recuperación crítico antes de incurrir en pérdidas significativas
Sistema de clasificación de riesgos
Una estrategia de Recuperación es una combinación de medidas preventivas, detectivas y correctivas para:
Eliminar la amenaza completamente
Minimizar la probabilidad de que ocurra
Minimizar el efecto

Las interrupciones más prolongadas y más costosas, en particular los desastres que afectan a las instalaciones, requieren recuperación (offsite).

Aplicación:
Fase de análisis y evaluación de riesgos
Selección de estrategias
Desarrollo del plan
Pruebas y mantenimiento del plan.

ESTANDARES DE CONTROL Y
GESTION INFORMATICA

UNAS DE ELLOS ES EL COBIT E ISO 27001 - 27002
En lenguaje sencillo, BCP es el cómo una organización se prepara para futuros incidentes que puedan poner en peligro a ésta y a su misión básica a largo plazo.

INTRODUCCION
QUE ES ITIL
Es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones.
OBJETIVOS

Promover la visión de IT como proveedor de servicios
Fomentar el foco en el cliente
Alinear la organización de IT con el negocio de la empresa
Posicionar a IT como parte importante de la cadena de valor
Estandarizar los procesos de gestión de servicios de IT
Promover el uso de conceptos comunes para mejorar la comunicación
Servir de base para la certificación de las personas y las empresas

ELEMENTOS
Nos ayuda a poner en marcha una gestión de IT que esté enfocada en servicios
Nos permite estandarizar los procesos, roles y sus relaciones
Nos ayuda a entender de qué manera podemos automatizar mejor la gestión
Es un vehículo para facilitar el cambio y capacitar a todos los que participan de esta iniciativa

ALGUNOS EJEMPLOS CORPORATIVOS

-Incapacidad de mantener los servicios críticos al cliente.
 
-Daño en la participación de mercado, la imagen, reputación o marca.
 
-No poder proteger los activos de la compañía, incluyendo propiedad
intelectual y personal.
 
-Falla de control de negocio.
 
-No poder cumplir los requerimientos legales o regulatorios.
 

El PROCESO DE BCP

Creación de una política de continuidad del negocio.
 
BIA. Análisis de Impacto del negocio.
 
Clasificación de las operaciones y análisis de criticidad.
 
Identificación de los procesos de SI que soportan funciones
organizacionales críticas.
 
Desarrollo de un BCP y procedimientos de recuperación ante desastres de SI.
 
Desarrollo de procedimientos de reanudación.
 

ANALISISDEL IMPACTO AL NEGOCIO

El BIA es un paso crítico para desarrollar el BCP. Esta etapa implica identificar los diversos eventos que podrían tener un impacto sobre la continuidad de las operaciones y su impacto financiero, humano, legal y de reputación sobre la organización.
 
Se debe establecer la criticidad de los recursos de información de:
 
Sistemas.
 
Datos.
 
Redes.
 
Software de sistemas
.
Instalaciones.
 
Recepción de pagos.
 
Producción.
 
Pago de empleados.
 
Publicidad.
 
Despacho de productos terminados.
 
Cumplimiento de leyes y regulaciones.
 

LOS RECURSOS DE LA
INFORMACION CRITICOS
COBIT ( CONTROL OBJECTIVES FOR
INFORMATION SYSTEMS AND
RELATED TECHNOLOGY)

El COBIT es un conjunto de lineamientos y estándares internacionales. Lanzado en 1996, como una herramienta de gobierno de TI, vinculando tecnología informática y prácticas de control.
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes.

CARACTERISTICAS:
 • Orientado al negocio • Alineado con estándares y regulaciones "de facto" • Basado en una revisión crítica y analítica de las tareas y actividades en TI • Alineado con estándares de control y auditoria (COSO, ISACA(Information Systems Audit and Control Association))


El COBIT define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber:



PLANIFICACION Y ORGANIZACIÓN
ADQUISION E IMPLANTACION
SOPORTE Y SERVICIOS
MONITOREO




PLANIFICACION Y ORGANIZACION:

Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas.

ADQUISION E IMPLANTACION.-

Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizado a sistemas existentes.

SOPORTE Y SERVICIOS.-

En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación.

MONITOREO.-

Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda.

Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

En conjunto, estos dominios y los objetivos de control, facilitan que la generación y procesamiento de la información cumplan con estas características

Asimismo, se deben tomar en cuenta los recursos que proporciona la Tecnología de Información, tales como:

Datos
Sistemas de Aplicación
Tecnologías (plataformas)
Instalaciones
Recurso Humano.



Seguridad Informática, Los principales activos de las Empresas del Siglo XXI residen en soportes informáticos, los cuales no están exentos de riesgos.

Toda empresa moderna debe contar con un adecuado plan de gestión de riesgos informáticos para poder operar en el competitivo mercado de nuestros días.
Identificamos los riesgos existentes en su compañía y proporcionamos las soluciones más eficaces para reducir las contingencias al mínimo, implementando normas y monitoreando su cumplimiento.


SEGURIDAD INFORMATICA

ISO2007:2005
Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar.

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande.

BENEFICIOS DE IMPLEMENTAR LA ISO 27001:2005
La ISO 27001 permite tener la seguridad de la información gestionada con base en las expectativas de seguridad de los interesados. Permite administrar los riesgos asociados a los activos de información que generan, procesan y almacenan información para los diversos procesos de negocio que, a su vez, generan valor a la organización

EMPRESAS QUE PUEDEN IMPLEMENTAR LA ISO 27001:2005
ISO 27001 es una norma adecuada para cualquier tipo de organización, que se encuentre interesada en la protección de la información crítica, como en finanzas, sanidad sector público y Tecnología de la información.
Organismos de certificación de sistema de gestión:

Petroecuador
Inen
Corporación 3 d
Bvqi ecuador s.A.
Cotecna
Quality resources inc.
Icontec
Sgs del ecuador s.A.
Iso calidad
Fedexpor
Corporación ecuatoriana de la calidad total
Full transcript