SEGURIDAD INFORMATICA

La información juega actualmente un papel muy importante en las organizaciones y en la sociedad por ello actualmente existe la necesidad de protegerla.

En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su pérdida y modificación no-autorizada,  ocasionados por deficientes sistemas de información que no generen confianza; una adecuada protección de datos debe garantizar  confidencialidad, integridad, autenticidad y disponibilidad de los datos.

·        Integridad: garantizar que los datos sean los que se supone que son

·        Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian.

·        Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información.

·        Evitar el rechazo: garantizar de que no pueda negar una operación realizada.

·        Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos

Es de gran importancia que las organizaciones cuenten con una adecuada implementación de protección que responda a la Seguridad de la Información, ya que la pérdida o modificación de los datos, le puede causar un daño tanto material como inmaterial a las organizaciones.


AMENAZAS

Toda entidad que maneje datos, está expuesta a amenazas de origen tanto externo como por ejemplo las agresiones técnicas, naturales o humanos y las de origen interno como la negligencia del propio personal o las condiciones técnicas, procesos operativos internos.

Hay tres grupos de amenazas:

·     Criminalidad: son todas las acciones, causadas por la intervención humana, que violan la ley y que son penalizadas.

·     Sucesos de origen físico: son todos los eventos naturales y técnicos, sino también eventos indirectamente causados por la intervención humana.

·     Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas menos predecibles porque están directamente relacionadas con el comportamiento humano.

POLÍTICA DE SEGURIDAD

El primer paso que debe dar una compañía es definir una política de seguridad que pueda implementar en pro de las siguientes cuatro etapas:

·         Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así como sus posibles consecuencias.

·         Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organización.

·         Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan.

·         Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza

QUE ES SAP BUSINESS ONE ?

SAP es el líder mundial en el suministro de soluciones de software de negocios. En la actualidad, cuenta con más de 183,000 clientes, establecidos en más de 130 países diferentes, quienes llevan sus operaciones sobre las aplicaciones SAP. Las soluciones de negocios de SAP responden a las necesidades tanto de las pequeñas y medianas empresas como de organizaciones globales.

SAP Business One es un software de administración empresarial de SAP, desarrollado específicamente para optimizar las operaciones de las organizaciones. Ofrece un conjunto completo  e integrado de funciones básicas como finanzas, gestión de clientes, ventas, operaciones logística, inventario, e-commerce.  Sap es una sola aplicación donde se pueden apreciar  los diversos módulos que funcionan independientemente en las organizaciones de y que presentan un proceso complicado  en su integración.

Es el único ERP de su tamaño disponible en 14 idiomas distintos, soporta los requerimientos legales y fiscales de más de 40 paises y su gestión multimoneda y multiplan de cuentas  permite abordar proyectos internacionales.

FORTALEZAS DE SAP

SAP ayuda a las organizaciones  a mejorar las relaciones con sus clientes, perfeccionar la colaboración con sus socios de negocios y crear eficiencias a través de sus cadenas de abastecimiento y operaciones de negocios.

Organización total del negocio en un solo sistema.

Información completa y de forma inmediata.

Es una herramienta poderosa que permite el crecimiento de las organizaciones.

Se adapta a las necesidades de los diferentes tipos de industrias.

DESCRIPCIÓN GENERAL DE LAS CARACTERÍSTICAS DE SAP BUSINESS ONE

Arquitectura

Una solución concebida para ofrecer flexibilidad, escalabilidad y potencia

SAP Business One es una solución completamente integrada con un diseño intuitivo y único para todas las funciones.

La aplicación SAP Business One reside en un único servidor que se integra perfectamente con su red Windows. Mediante una arquitectura cliente-servidor de dos niveles basada en Win 32, SAP Business One garantiza a los usuarios el rendimiento óptimo y aprovecha la red existente para obtener la

máxima eficiencia.

Incluye funciones de seguridad y de copia de seguridad y protocolos de acceso a redes. Se accede a él mediante servicios de terminal de red extendida (WAN) o mediante la conectividad de acceso telefónico a redes.

En el entorno SAP Business One, puede utilizar procedimientos estándar de copia de seguridad de bases de datos, lo que permite guardar y transferir fácilmente la base de datos a otra máquina y proporcionar un acceso inmediato a información empresarial crítica. La arquitectura optimizada de SAP Business One permite el uso de las siguientes  bases de datos:

• Microsoft SQL Server.
• Sybase Adaptive Server Enterprise – Small Business Edition.
• IBM Universal Database Express Edition.

Para simplificar el mantenimiento, el modelo de seguridad permite al administrador ver una lista de todas las funciones de cada área y especificar qué tipos de acceso tienen los usuarios a estas funciones: lectura, 
escritura o ambos

VIDEO DEMO SOBRE SAP BUSINNES ONE

ISO 27001

ISO 17799 " Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información"

MARGERIT "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas"

AUDITORIA DE SISTEMAS DE INFORMACIÓN (vídeo)

COBIT - CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY ( Objetivos de Control para la Información y la Tecnología relacionada)

COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas  para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio.

COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización.

COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio.

EVOLUCIÓN DEL COBIT

COBIT fue publicado por primera vez por ITGI en abril de 1996, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados. La primera edición del COBIT, fué publicada en 1996 y fue vendida en 98 países de todo el mundo. Fue desarrollado  como marco de gobierno para el control de TI. La segunda edición publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de referencia fundamentales, nuevos y revisados (de forma detallada) objetivos de control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación, así como un CD-ROM completamente organizado el cual contiene la totalidad de los contenidos de esta segunda edición. La tercera edición desarrollada en el año 2000, provee guías para resolver las necesidades de la administración de TI (brechas entre los riesgos del negocio, necesidades de control y aspectos técnicos). La cuarta edición desarrollada en el año 2005, incrementa su foco hacia la gerencia y el gobierno de TI a niveles directivos. Dirigido a una mayor variedad de audiencias. Incrementa madurez de las practicas y estándares de TI. La versión 4.1. desarrollada en el año 2007, presenta cambios menores en la definición de procesos de control. Su última actualización es el COBIT 5, desarrollado en el año 2012, que en pocas palabras, ayuda a las empresas a crear valor óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos. COBIT 5 permite que la información y la tecnología relacionada para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de extremo a extremo del negocio y áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de interés internos y externos.

BENEFICIOS DEL COBIT

• Mantener información de calidad para apoyar las decisiones del negocio.

• Generar un valor comercial de las inversiones habilitadas por la Tecnología de la Información (TI), o sea: lograr metas estratégicas y mejoras al negocio mediante el uso eficaz e innovador de la TI.

• Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología.

• Mantener el riesgo relacionado con TI a niveles aceptables.

• Optimizar el costo de la tecnología y los servicios de TI.

• Mejor alineación, con base en su enfoque de negocio.

• Cumplimiento de los requerimientos COSO para el ambiente de control TI.

• Una visión, entendible para la gerencia, de lo que hace TI.  

• Propiedad y responsabilidades claras, con base en su orientación a procesos.

PRODUCTOS DEL COBIT

NIVEL ESTRATÉGICO: Resumen que explica las practicas, intereses y responsabilidades para la administración.

NIVEL TÁCTICO:  Herramientas que ayuda a medir el desempeño, definir las metas y  los modelos de madurez.

NIVEL OPERATIVO: Define, implementa y evalúa  el marco de control. 

·         La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

·      La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.

·      La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada.

·      La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

·      La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

·      El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

·      La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades.

RECURSOS DE TECNOLOGÍA DE INFORMACIÓN

PROCESOS ORIENTADOS

 La empresa debe suministrar los recursos necesarios para responder a los requerimientos que el negocio tiene hacia la función de tecnología de información. Los recursos necesarios son:

 a)           Aplicaciones: Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados.

b)              Información: datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc.

c)              Infraestructura: Recursos para alojar y dar soporte a los sistemas de información. Como el hardware, bases de datos

d)      Personal: Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información

 Para obtener información que requiere la empresa para obtener sus objetivos, esta necesita invertir en administrar y controlar recursos de TI utilizando un conjunto de procesos para proporcionar los servicios que entreguen esa información requerida. Los cuales se dividen en:

 ·                    Dominios de Cobit

a)     Planear y organizar: se refiere a identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.

b)     Adquirir e implementar: Para llevar a cabo la estrategia de TI, se necesitan identificación de soluciones, desarrollo o adquisición, cambios y/o mantenimiento de sistemas existentes.

c)     Entregar y soportar: Cubre la entrega de los servicios requeridos. Incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.

d)    Monitorear y evaluar: Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control.

·        Procesos

Los procesos están agrupados en cuatro grandes dominios que se describen a continuación:

1)     Planeación 
Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio.

Se tiene en cuenta una serie de puntos:

a)     Definir un plan estratégico de TI

b)     Definir la arquitectura de información

c)     Determinar la dirección tecnológica

d)    Definir la organización y relaciones de la Función TI

e)     Administrar la inversión en TI

f)      Comunicación de las directrices Gerenciales

g)     Administración del Recurso Humano

h)     Administración de Calidad

i)       Evaluación de Riesgos

2)     Adquisición y desarrollo

Cambios y mantenimiento de los sistemas existentes para garantizar la continuidad del ciclo de vida para estos sistemas. Incluye:

a)     Identificación de soluciones Automatizadas

b)     Adquisición y mantenimiento de software aplicativo

c)     Adquisición y mantenimiento de arquitectura TI

d)    Facilitar la operación y el uso

e)     Adquirir recursos de TI

f)      Administrar cambios

g)     Instalar y acreditar soluciones y cambios

3)     Entrega y soporte

Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación. Incluye:

a)     Definición del nivel de servicio

b)      Administración del servicio de terceros

c)     Administración de la capacidad y el desempeño

d)    Garantizar la seguridad del sistema

e)     Capacitación de usuarios

f)      Soporte a los clientes de TI

g)     Administración de la configuración

h)     Administración de problemas e incidentes

i)        Administración de datos:

4)     Monitoreo

Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control

a)     Monitorear y Evaluar el desempeño de TI

b)     Monitorear y evaluar el control interno

c)     Garantizar el cumplimiento regulatorio

·        Controles

COBIT define objetivos de control, políticas, procedimientos, prácticas y estructuras organizaciones diseñados para proporcionar un aseguramiento razonable del cumplimiento de los objetivos institucionales. Cada proceso tiene objetivo de control específicos, objetivo de control de alto nivel, objetivos de control genéricos aplicables a todos los procesos.

TI es responsable de:

– Automatizar e implementar los requisitos de las funciones de negocio y de control

 – Establecer controles para mantener la integridad de controles de aplicación.

 Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los aspectos de desarrollo de los controles de aplicación; la responsabilidad de definir y el uso operativo es de la empresa.

 ·        Medición

Forma de medición a través del uso de un modelo de madurez. Permite comparación:

a.      Como estamos en relación a buenas prácticas aceptadas

b.      Como estamos frente a similares

c.      Se realiza lo necesario?

d.     Identificar que se necesita realizar para lograr el nivel de procesos

Representación gráfica de los modelos de madurez:

0.       No existente. No se aplican procesos administrativos en lo absoluto

1.       Inicial. Los procesos son desorganizados

2.       Repetible pero intuitivo. Los procesos siguen un patrón regular

3.       Proceso definido. Los procesos se documentan y se comunican

4.       Administrado y medible. Los procesos se monitorean y se miden

5.       Optimizado. Las buenas prácticas se siguen y se automatizan

MODELO DE MADUREZ

Fuentes:

http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf