Bienvenido a nuestro Blog!

Seguridad en Computación e Informática

Auditoria de Sistemas

Ing. Oscar Mujica Ruiz

Colaboradores:

Alumnos B 5-5

UNFV-FIIS-2011

miércoles, 30 de noviembre de 2011

Observaciones de Auditoria III- Ejemplos

Observación Comisión 1 (Descargar)
Observación Comisión 3 (Descargar)
Observación Comisión 4 (Descargar)
Observación Comisión 5 (Descargar)
Observación Comisión 6 (Descargar)
Observación Comisión 7 (Descargar)
Observación Comisión 8 (Descargar)
Observación Comisión 9 (Descargar)

miércoles, 23 de noviembre de 2011

Observaciones de Auditoria II- Ejemplos

Observación Comisión 1 (Descargar)
Observación Comisión 2 (Descargar)
Observación Comisión 3 (Descargar)
Observación Comisión 4 (Descargar)
Observación Comisión 5 (Descargar)
Observación Comisión 6 (Descargar)
Observación Comisión 7 (Descargar)
Observación Comisión 8 (Descargar)
Observación Comisión 9 (Descargar)

martes, 8 de noviembre de 2011

domingo, 30 de octubre de 2011

Controles & Auditoría (VII)

CONTROLES PREVENTIVOS:
·         Son más rentables.
·         Deben quedar incorporados en los sistemas.
·         Evitan costos de corrección o reproces.
CONTROLES DETECTIVOS
·         Son más costosos que los preventivos.
·         Miden la efectividad de los preventivos.
·         Algunos errores no pueden ser evitados en la etapa preventiva.
·         Incluyen revisiones y comparaciones (registro de desempeño).
·         Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones.
·         Límites de transacciones, passwords, edición de reportes.
CONTROLES CORRECTIVOS
·         Acciones y procedimientos de corrección (la recurrencia).
·         Documentación y reportes  que informan a la Gerencia, supervisando los asuntos hasta que son corregido o solucionados.
Los controles correctivos permiten el reestablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia. Estos controles se establecen cuando los anteriores no operan y permiten mejorar las deficiencias; por lo general, actúan con los controles detectivos, implican reprocesos y son más costosos porque actúan cuando ya se han presentado los hechos que implican pérdidas para la organización. La mayoría son de tipo administrativo y requieren políticas o procedimientos para su ejecución.
REPROCESOS:
El deseo de cambio surge cuando se advierte que existe un espacio lo que se hace y lo que se desea hacer en materia de: Productividad, calidad y satisfacción de los participantes.
·         Insatisfacción – Crisis – Problemas-
·         Reconocimiento de la necesidad de Cambiar.
Acción tomada sobre un producto no conforme para que cumpla con los requisitos, una corrección puede ser por ejemplo un reproceso.
Diferencias entre reproceso y reparación:
Ambas, reproceso y reparación se dan sobre un producto, es decir algo que ya es el resultado final de un proceso, ambas en el momento de la reparación o reproceso son productos no conformes, la diferencia radica en que el reproceso generalmente se da a un producto no conforme que generalmente no ha llegado al cliente y lo único que se le puede hacer es reprocesarlo, recordemos que el prefijo re significa repetición, es decir ese producto no conforme va a pasar de nuevo por el proceso que paso previamente para que se genere de manera conforme (ejemplo: partes de acero que no cumplen especificaciones se vuelven a fundir para hacerlas a modo que cumplan). Por otro lado la reparación puede o no darse a un producto que llego al cliente, y que puede o no haya sido conforme alguna vez, entre ellos como la norma lo menciona esta el mantenimiento, (por ejemplo un coche sale de la fabrica conforme pero con el tiempo y desgaste comienza a fallar y se manda a darle mantenimiento y a veces reparar, ya sea la transmisión, embrague u otra parte). 
Deseas saber más?
DESCARGAR
       

Controles & Auditoría (VI)

CONTROL.
Es el uso o establecimiento de todos los medios en un negocio para promover, dirigir, restringir, gobernar y verificar varias actividades con el fin de ver que los objetivos son alcanzados. Esos medios incluyen, pero no se limitan, la forma de organizarse, políticas, procedimientos, sistemas, instrucciones, normas, comités, catálogos de cuentas, pronósticos, presupuestos, programas, reportes, registros, métodos, mecanismos y auditoría interna.


Actualmente Control es…

… cualquier acción tomada por la Gerencia para mejorar la probabilidad de que los objetivos establecidos sean alcanzados.

… Sistema de Control es la integración (o el conjunto) de los componentes o actividades que son usados por la organización para alcanzar sus objetivos y metas.

Se diseñan para cumplir varias funciones.

Preventivos: Anticipan eventos no deseados antes de que sucedan
Son más rentables
Deben quedar incorporados en los sistemas
Evitan costos de corrección o reproceso

Son más costosos que los preventivos
Miden la efectividad de los preventivos
Algunos errores no pueden ser evitados en la etapa preventiva
Incluyen revisiones y comparaciones (registro de desempeño)

Conciliaciones, confirmaciones, conteos físicos de inventarios, análisis de variaciones y  técnicas automatizadas.
Límites de transacciones, passwords, edición de reportes y auditoría interna.

Acciones y procedimientos de corrección (la recurrencia)
Documentación y reportes que informan a la Gerencia, supervisando los asuntos hasta que son corregidos o solucionados…
Deseas saber más?
DESCARGAR
       


Controles & Auditoría (V)

CONTROLES DE PREVENCION

Prevención de la filtración a la información
Sin las medidas preventivas adecuadas, las aplicaciones son vulnerables a varios tipos de ataques de seguridad. Un tipo particular a pesar de ser una de las vulnerabilidades mas documentadas, hoy en día es el denominado SQL injection.
Utilizando este método, un hacker puede pasar cadenas de entrada a una aplicación con la esperanza de conseguir acceso no autorizado a la base de datos.

¿Qué es SQL Injection?
Una inyección SQL sucede cuando se inserta o inyecta un código SQL invasor dentro de otro código SQL para alterar su funcionamiento normal y hacer que se ejecute maliciosamente el código invasor en la base de datos.
Consulta: “select * from usuario where user=’$user’ ”;
Correcto Funcionamiento: “select * from usuario whereuser=’marco’ ”;
SQL malicioso: “select * from usuario where user= ’’ or ‘1’ =’1’ ”;
Aunque existen diversas técnicas de proteger servidores y siguen encontrándose hoy en día a parte de las buenas prácticas de programación, es necesario utilizar software/módulos de apoyo que nos ayuden a tener nuestros servidores web más seguros frente a inyecciones SQL.
Por ejemplo tenemos la herramienta GreenSQL, que es un firewall de aplicación, que se interpone a modo de proxy entre el servidor de MySQL y la aplicación web. Es capaz de filtrar las sentencias y proteger las bases de datos de ataques de tipo SQL injection.

Las peticiones llegan a nuestra aplicación web, se envían al puerto por el que escucha GreenSQL, que las analiza y las reenvía al servidor MSQL. GreenSQL puede instalarse en el mismo sistema donde reside la base de datos o en otro diferente.
Deseas saber más?
DESCARGAR
       

Controles & Auditoría (IV)

Control

Verificar la identidad del personal de sistemas para el acceso al área de sistemas mediante un tarjeta de identificación
Objetivos del control: Permitir el acceso sólo al personal autorizado a las instalaciones
 
Descripción:
Una persona debe poseer su tarjeta de identificación y su número de identificación personal que deberá ser utilizado en la puerta de ingreso al área. Con una base de datos del personal y el correcto número de identificación se permitirá el acceso  a las personas

La base de datos debe contener los datos de las personas autorizadas, estos datos incluirán lo siguiente:

·         Nombre, posición, número de identificación
·         Tipos de acceso ( permanente, temporal)
·         Hora de ingreso y egreso
·         Razones de la visita
·         Nombre de la compañía

Controles & Auditoría (III)

CASOS PRÁCTICOS DE CONTROLES GENERALES DE AUDITORÍA DE SISTEMAS

CASO 1:
CONTROL CORRECTIVO
·         Disminuir el impacto de vulnerabilidades que pueden generar riesgos.
·         Subsanar las vulnerabilidades identificadas y analizadas.
Ejemplo:
En la exanimación de los scripts de un módulo de un sistema, en el cual se le reporta algunas observaciones de aplicación, por lo que el control correctivo se debe de aplicar bajo una herramienta de software como Klocwork o acunetix. Para así analizare identificar las vulnerabilidades como también corregirlas.
KLOCWORK:
Está en una herramienta de análisis estático de código en C, C++ y Java.
Beneficios de esta herramienta:
·         Verificar los cambios de los códigos locales antes de la llegada.
·         Permitir la colaboración de resolución de errores entre los desarrolladores.
·         Disponible como IDE plug-in, comando en línea o interfaz gráfica independiente.
CASO 2: CONTROLES EN UN ENTORNO 2.0
La Informática hoy, es la base en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a controles. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, se hace necesario un Sistema de Gestión de Seguridad de Información. La información en la empresa es uno de los más importantes activos que posee. Las organizaciones tienen que  desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas tanto de índole externa como externa.
Los Objetivos de Control para la Información y las Tecnologías,  ayuda a satisfacer las múltiples necesidades de la Administración estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos técnicos. Provee buenas prácticas a través de un dominio y el marco referencial de los procesos y presenta actividades en una estructura manejable y lógica.
Deseas saber más?
DESCARGAR
       

Controles & Auditoría (II)

CASO SUNAT
Herramienta de control PREVENTIVO
McAfee Endpoint Protection — Advanced Suite



Endpoint Protection — Advanced Suite
Monitorización por parte de la oficina de control interno y de auditoría sobre la información institucional y restringida que pretende ser copiada a dispositivos de almacenamiento externo no institucionales.

  Supervisa  y restringe  los datos copiados en dispositivos de almacenamiento y medios portátiles con el fin de evitar que estén fuera del control de la empresa
  Los archivos que sean copiados a un dispositivo portátil será encriptados y cifrados , por lo cual no se podrán abrir en una PC fuera de la red institucional.
  Se registrará la fecha, hora, usuario, y PC desde donde se intentó realizar la copia para ser enviada al administrador centralizado del End Point y posteriormente registrada en la BD de Control Interno y Auditoría

Controles & Auditoría (I)

CONTROL PREVENTIVO: LOGS DE AUIDTORÍA

Uno de los controles preventivos más importantes respecto a seguridad que pueden integrarse a un software aplicativo, es la creación de los “Logs de Auditoria”, tanto es así que la ISO 17799 nos da lineamientos generales. En este trabajo propondrán estructuras de tablas que nos podrían ayudar a generar logs mediante el aplicativo (programación) o mediante la base de datos (triggers). Al realizar el análisis indicaremos ¿qué información debemos almacenar en la base de datos para poder hacer revisiones posteriores y aportar tanto con evidencia de auditoría como evidencia para fines legales (forense)?.

viernes, 21 de octubre de 2011

Auditoría de Sistemas & Ejemplo de control en las Organizaciones

IS-Auditing-Standars II

NORMA 1: ESTATUTO
El propósito, responsabilidad, autoridad y rendición de cuentas de la función de auditoría de sistemas de información o de las asignaciones de auditoría de sistemas de información deben documentarse de manera apropiada en un estatuto de auditoría o carta de compromiso.
El estatuto de auditoría o la carta de compromiso deben ser aceptados y aprobados en el nivel apropiado dentro de la organización.
NORMA 2: INDEPENDENCIA
Independencia profesional en todos los aspectos relacionados con la auditoría, el auditor de SI debe ser independiente del auditado, tanto en actitud como en apariencia.
Independencia organizacional La función de auditoría de SI debe ser independiente del área o actividad que se está revisando para permitir una conclusión objetiva de la tarea que se audita.

IS Auditing Standars

La naturaleza especializada de la auditoría de los sistemas de información (SI), así como las destrezas para llevar a cabo tales auditorías, requiere de estándares que aplican específicamente a la auditoría de SI. El desarrollo y difusión de los estándares de auditoría de SI son una piedra angular de la contribución de ISACA ( Information System Audit and Control Association o Asociación de Auditoría y control de Sistemas de Información). A continuación se detallan los estándares que deben ser seguidos por todo auditor de SI para realizar un trabajo de calidad

S1 E1 Estatuto de Auditoría

jueves, 20 de octubre de 2011

IIASAC

Estándares de Auditoría.En los últimos años se ha incrementado la atención sobre los controles internos, tanto para los auditores, los gerentes, los contadores, como para las entidades reguladoras en general. Como resultado de un continuo y trabajoso esfuerzo, se han desarrollado varios documentos para definir, valorizar, reportar y mejorar el control interno y ser utilizados como marco de referencia en las organizaciones. En resumen, éstos son:
-          Informe COSO - (Committee of Sponsoring Organizations), de la Comisión de Estudios de Controles Internos.
-          SAC - (Systems Auditability and Control), de la Fundación de Investigación del Instituto de Auditores Internos.
-          SAS 55 y SAS 78 - Consideraciones de la estructura de Controles Internos en los Informes de los Estados Financieros, del Instituto Americano de Contadores Públicos (CPA)
-          COBIT (Control Objectives for Information and related Technology), de la Fundación de

DTI -> BSI

Caso 1: Poniendo en marcha las defensas de seguridad.
DTI entidad cuya funcionalidad es de apoyar a las empresas ser más productivas en los diferentes aspectos como en la seguridad de la información. Por lo cual la empresa XYZ S.A.C necesita hacer frente a las amenazas existentes referente a TI que pueden ocasionar la pérdida de la información, estas amenazas pueden darse de dos tipos: internos o externos. Por ello se necesita saber que defensas ante esto se requiere como también como reforzar las medidas de seguridad.
Aspectos a considerar en la puesta en marcha de las defensas de seguridad:
Personal de seguridad Esto hace referencia a que se debe tener un personal que debe de verificar a los empleados que ingresan a la empresa como a los que salen como también llevar un seguimiento del accionar de ello a través de sistemas de seguridad como cámaras colocadas en sitos claves como en los datacenter, oficinas, etc.

COSO

El Informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de Control Interno. Está diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:
  • Eficacia y eficiencia de las operaciones.
  • Fiabilidad de la información financiera.
  • Cumplimiento de leyes y normas que sean aplicables.

COBIT y Auditoría de Sistemas

La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento de su supervivencia en el mercado.
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.
Definición. COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Está basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.


Deseas saber más?
DESCARGAR
       

lunes, 26 de septiembre de 2011

Auditoria de Sistemas & Organizaciones VIII

EMPRESAS CON ÁREA DE AUDITORÍA
Empresa: Superintendencia del Mercado de Valores [SMV]

I.- FUNCIONES DE LA SMV

1.- Estudiar, promover y reglamentar el mercado de valores, controlando a las personas naturales y jurídicas que intervienen en éste.

 2.- Velar por la transparencia de los mercados de valores, la correcta formación de precios en ellos y la información necesaria para tales propósitos.

3.- Promover el adecuado manejo de las empresas y normar la contabilidad de las mismas

4.- Reglamentar y controlar las actividades de las empresas administradoras de fondos colectivos, entre otras... 
Deseas saber más?
DESCARGAR
       


Auditoria de Sistemas & Organizaciones VII

EMPRESAS CON ÁREA DE AUDITORÍA
Empresa: DISAL

DISAL es una empresa trasnacional con operaciones en países como Chile, Paraguay y Ecuador. Sus actividades principales son: el alquiler y venta de baños portátiles, la recolección de residuos sólidos y líquidos, destrucción de mercaderías vencidas y el mantenimiento de plantas de tratamiento de aguas, donde es de vital importancia la salud ambiental.

En nuestro país, DISAL PERÚ S.A.C. cuenta con una reconocida trayectoria de más de diez años en el rubro de Gestión Ambiental, siendo una EPS autorizada por DIGESA, con registro No. EPNA 02701. Por ello, DISAL PERÚ S.A.C. se constituye, actualmente, no sólo como pionera en su rubro, sino como una empresa que brinda a sus clientes la mayor seguridad, calidad y seriedad en los servicios que presta, gracias al cumplimiento de las exigencias de estándares internacionales.

El compromiso principal de DISAL PERÚ S.A.C. es la satisfacción de las necesidades y expectativas del cliente, suministrándole soluciones integrales en la recolección, transporte y disposición final de los residuos sólidos y líquidos. Para ello, cuentan con una moderna infraestructura y con un sistema de operaciones que atender a los clientes las 24 horas del día, así como, un adecuado stock de sanitarios portátiles e inmejorables servicios..
Deseas saber más?
DESCARGAR
       

Auditoria de Sistemas & Organizaciones VI

EMPRESAS CON ÁREA DE AUDITORÍA
Empresa: Municipalidad de Lima

Objetivo general
La auditoría de los sistemas informáticos de la alcaldía municipal permite evaluar la eficiencia y eficacia a fin de proponer alternativas de solución y/o mejoras de los mismos

Objetivos específicos
Conocer la situación actual el área de sistemas para identificar la eficiencia y eficacia de los sistemas

Verificar los controles en el procesamiento de la información para determinar si realmente estos protegen la información contenida en los sistemas.

Auditoria de Sistemas & Organizaciones V

La División de Auditoria.
Constituye un eslabón más, en realidad el último, en la cadena de control de la organización.
Busca ayudar a la organización a cumplir con dichos objetivos y para ello trabaja con un enfoque ordenado y sistemático en la evaluación y mejora de la gestión de riesgos, de sus controles y del gobierno corporativo.
Su tarea principal es ayudar a que esta trabaje de manera ordenada y organizada.

Auditoria de Sistemas & Organizaciones IV

Este documento contiene una serie de definiciones y actividades que pretenden educar e instruir a los alumnos acerca de la Auditoria de Sistemas; incidiendo con mayor intensidad en el reconocimiento del Área de la Auditoria dentro de las Organizaciones.

Auditoria de Sistemas & Organizaciones III

Hoy en día todas las empresas cuentan en sus organigramas con departamentos, divisiones o unidades que tienen como función realizar la auditoría o control de la organización en sus distintas áreas como la administrativa, la financiera, la informática, etc. Todo con el fin de hacer un seguimiento constante a todos los procesos, sistemas o activos de la empresa y de esta manera identificar posibles errores, anomalías o ineficiencias que puedan existir en ellos.
Los continuos cambios tecnológicos, el incremento de la demanda de las áreas de negocio por servicios de TI y la constante apertura de las empresas para el desarrollo de nuevas formas de negocio se traducen en mayores riesgos tecnológicos para muchas organizaciones. Es por ello, que las funciones de Auditoría y Cumplimiento de TI deben estar enfocadas en tomar acciones y monitorear dichos riesgos. La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la auditoria de los Sistemas de Información.
La auditoría de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
Deseas saber más?
DESCARGAR
       

Auditoria de Sistemas & Organizaciones II


Los informes de auditoria son el producto final del trabajo del auditor de sistemas, de aquí es donde radica su importancia.
El informe de auditoría de sistemas es importante ya que refleja el trabajo realizado y los procedimientos aplicados.
La auditoría de sistemas deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema; sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, seguridad y obtención de información.

Auditoria de Sistemas & Organizaciones I


En primer lugar debemos subrayar la falta de cumplimiento a las normas básicas y fundamentales en materia de control interno, pero por otro lado está la ausencia de amplitud de conceptos en cuanto al patrimonio a proteger, y de los métodos e instrumentos de análisis a ser utilizados por los auditores internos.
Al igual que en el control de calidad, la falta de planificación y prevención es la norma en muchas empresas en lo relativo tanto al control interno, como al accionar de la auditoría interna. Por ello no es de sorprenderse ver a los auditores tratando de analizar que es lo que salió mal, porqué, y que hacer para evitar su repetición, cuando lo correcto es actuar preventivamente, y de acontecer algún hecho perjudicial no

sábado, 30 de julio de 2011

[NTP/ISO 17799-2007] Dominio 8


Adquisición, desarrollo y mantenimiento de Sistemas
(Aplicación en la Empresa GACH Ingenería S.A.C.)
Servicios
Esta empresa se dedica al rubro de proyectos, instalación, auditoria e implementación de sistemas eléctricos así como la comercialización de materiales eléctricos en general.
-          Proyectos y Optimización de Sistemas Eléctricos.
-          Estudio de Calidad de Energía – Ahorro de Energía
-          Compensación Reactiva
-          Automatización
-          Puesta a Tierra
-          Tableros y Subestaciones Eléctricas
-          Redes Eléctricas en B.T y A.T.
-          Venta de Materiales Eléctricos en general

lunes, 25 de julio de 2011

ITSEC . Information Technology Security

¿QUÉ ES EL ITSEC ?
ITSEC  es un  esfuerzo conjunto entre los miembros de la Unión Europea (UE) para desarrollar un criterio de evaluación de la seguridad estandarizado para la UE. La ITSEC se apunta a evaluaciones de productos y sistemas ( que puede estar compuesto de muchos componentes y productos seguros). La ITSEC concede  a los productos que se evalúan satisfactoriamente niveles de seguridad de E1(el más bajo) al E6 ( el más alto)
El estándar de seguridad TCSEC, aunque es bien conocido a nivel global por los distintos países,  no está reconocido formalmente en Europa. En Europa se gestó el estándar ITSEC y su cubierta blanca hizo que se conociera como “Libro Blanco”. El ITSEC se aplica a un TOE(target of evaluation) , que es el sistema o producto que se someterá a un análisis y que está sujeto a evaluación en cuanto a su seguridad. El TOE contiene dos elementos:

Cobit

Partiendo de la definición de COBIT, que es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan, dando así el mayor soporte sobre seguridad de procesos y lineamientos que se asume deben seguir en su totalidad las Organizaciones.
Si bien la seguridad es un lineamiento de protección, debe estar basado en un modelo de gestión y es donde El presente trabajo nos muestra de manera muy detallada la interacción entre estos dos conceptos
GOBIERNO DE TI.
“Es un marco de referencia y un juego de herramientas de soporte que permite a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los Stakeholders.”  IT Governance Institute
• Planear y Organizar (PO) – Proporciona dirección para la entrega de soluciones (AI) y la entrega de servicio (DS).
Adquirir e Implementar (AI) – Proporciona las soluciones y las pasa para convertirlas en servicios.
• Entregar y Dar Soporte (DS) – Recibe las soluciones y las hace utilizables por los usuarios finales.
• Monitorear y Evaluar (ME) -Monitorear todos los procesos para asegurar que se sigue la dirección provista

Normas ISO


  Debido a la necesidad de documentar procedimientos eficaces de procesos tecnológicos surgen las normas de estandarización internacional (ISO), luego estas, se comercializaron para utilizarlas en procedimientos administrativos; su desarrolló se generó a través del campo de la ingeniería.

Las tecnologías desarrolladas por el ser humano a lo largo de la historia fueron utilizadas, en un principio, a niveles regionales; cuando éstas comenzaron a ser exportadas de su lugar de origen no lograban compatibilidad con las tecnologías existentes en otros países; es por eso que se crearon organizaciones nacionales, regionales y luego internacionales, formando una jerarquía bien definida, estas organizaciones determinan las características concretas que deben poseer los equipos para que puedan ser utilizados en cualquier parte del mundo asegurando su máximo desempeño.

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Blogger Templates - Premium Blogger Themes