SEGURIDAD INFORMATICA

La información juega actualmente un papel muy importante en las organizaciones y en la sociedad por ello actualmente existe la necesidad de protegerla.

En la Seguridad de la Información el objetivo de la protección son los datos mismos y trata de evitar su pérdida y modificación no-autorizada,  ocasionados por deficientes sistemas de información que no generen confianza; una adecuada protección de datos debe garantizar  confidencialidad, integridad, autenticidad y disponibilidad de los datos.

·        Integridad: garantizar que los datos sean los que se supone que son

·        Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian.

·        Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información.

·        Evitar el rechazo: garantizar de que no pueda negar una operación realizada.

·        Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos

Es de gran importancia que las organizaciones cuenten con una adecuada implementación de protección que responda a la Seguridad de la Información, ya que la pérdida o modificación de los datos, le puede causar un daño tanto material como inmaterial a las organizaciones.


AMENAZAS

Toda entidad que maneje datos, está expuesta a amenazas de origen tanto externo como por ejemplo las agresiones técnicas, naturales o humanos y las de origen interno como la negligencia del propio personal o las condiciones técnicas, procesos operativos internos.

Hay tres grupos de amenazas:

·     Criminalidad: son todas las acciones, causadas por la intervención humana, que violan la ley y que son penalizadas.

·     Sucesos de origen físico: son todos los eventos naturales y técnicos, sino también eventos indirectamente causados por la intervención humana.

·     Negligencia y decisiones institucionales: son todas las acciones, decisiones u omisiones por parte de las personas que tienen poder e influencia sobre el sistema. Al mismo tiempo son las amenazas menos predecibles porque están directamente relacionadas con el comportamiento humano.

POLÍTICA DE SEGURIDAD

El primer paso que debe dar una compañía es definir una política de seguridad que pueda implementar en pro de las siguientes cuatro etapas:

·         Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la compañía así como sus posibles consecuencias.

·         Proporcionar una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la organización.

·         Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se usan.

·         Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza

QUE ES SAP BUSINESS ONE ?

SAP es el líder mundial en el suministro de soluciones de software de negocios. En la actualidad, cuenta con más de 183,000 clientes, establecidos en más de 130 países diferentes, quienes llevan sus operaciones sobre las aplicaciones SAP. Las soluciones de negocios de SAP responden a las necesidades tanto de las pequeñas y medianas empresas como de organizaciones globales.

SAP Business One es un software de administración empresarial de SAP, desarrollado específicamente para optimizar las operaciones de las organizaciones. Ofrece un conjunto completo  e integrado de funciones básicas como finanzas, gestión de clientes, ventas, operaciones logística, inventario, e-commerce.  Sap es una sola aplicación donde se pueden apreciar  los diversos módulos que funcionan independientemente en las organizaciones de y que presentan un proceso complicado  en su integración.

Es el único ERP de su tamaño disponible en 14 idiomas distintos, soporta los requerimientos legales y fiscales de más de 40 paises y su gestión multimoneda y multiplan de cuentas  permite abordar proyectos internacionales.

FORTALEZAS DE SAP

SAP ayuda a las organizaciones  a mejorar las relaciones con sus clientes, perfeccionar la colaboración con sus socios de negocios y crear eficiencias a través de sus cadenas de abastecimiento y operaciones de negocios.

Organización total del negocio en un solo sistema.

Información completa y de forma inmediata.

Es una herramienta poderosa que permite el crecimiento de las organizaciones.

Se adapta a las necesidades de los diferentes tipos de industrias.

DESCRIPCIÓN GENERAL DE LAS CARACTERÍSTICAS DE SAP BUSINESS ONE

Arquitectura

Una solución concebida para ofrecer flexibilidad, escalabilidad y potencia

SAP Business One es una solución completamente integrada con un diseño intuitivo y único para todas las funciones.

La aplicación SAP Business One reside en un único servidor que se integra perfectamente con su red Windows. Mediante una arquitectura cliente-servidor de dos niveles basada en Win 32, SAP Business One garantiza a los usuarios el rendimiento óptimo y aprovecha la red existente para obtener la

máxima eficiencia.

Incluye funciones de seguridad y de copia de seguridad y protocolos de acceso a redes. Se accede a él mediante servicios de terminal de red extendida (WAN) o mediante la conectividad de acceso telefónico a redes.

En el entorno SAP Business One, puede utilizar procedimientos estándar de copia de seguridad de bases de datos, lo que permite guardar y transferir fácilmente la base de datos a otra máquina y proporcionar un acceso inmediato a información empresarial crítica. La arquitectura optimizada de SAP Business One permite el uso de las siguientes  bases de datos:

• Microsoft SQL Server.
• Sybase Adaptive Server Enterprise – Small Business Edition.
• IBM Universal Database Express Edition.

Para simplificar el mantenimiento, el modelo de seguridad permite al administrador ver una lista de todas las funciones de cada área y especificar qué tipos de acceso tienen los usuarios a estas funciones: lectura, 
escritura o ambos

VIDEO DEMO SOBRE SAP BUSINNES ONE

ISO 27001

ISO 17799 " Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información"

MARGERIT "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas"

AUDITORIA DE SISTEMAS DE INFORMACIÓN (vídeo)

COBIT - CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY ( Objetivos de Control para la Información y la Tecnología relacionada)

COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas  para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio.

COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización.

COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio.

EVOLUCIÓN DEL COBIT

COBIT fue publicado por primera vez por ITGI en abril de 1996, con el fin de crear un mayor producto global que pudiese tener un impacto duradero sobre el campo de visión de los negocios, así como sobre los controles de los sistemas de información implantados. La primera edición del COBIT, fué publicada en 1996 y fue vendida en 98 países de todo el mundo. Fue desarrollado  como marco de gobierno para el control de TI. La segunda edición publicada en Abril de 1998, desarrolla y mejora lo que poseía la anterior mediante la incorporación de un mayor número de documentos de referencia fundamentales, nuevos y revisados (de forma detallada) objetivos de control de alto nivel, intensificando las líneas maestras de auditoría, introduciendo un conjunto de herramientas de implementación, así como un CD-ROM completamente organizado el cual contiene la totalidad de los contenidos de esta segunda edición. La tercera edición desarrollada en el año 2000, provee guías para resolver las necesidades de la administración de TI (brechas entre los riesgos del negocio, necesidades de control y aspectos técnicos). La cuarta edición desarrollada en el año 2005, incrementa su foco hacia la gerencia y el gobierno de TI a niveles directivos. Dirigido a una mayor variedad de audiencias. Incrementa madurez de las practicas y estándares de TI. La versión 4.1. desarrollada en el año 2007, presenta cambios menores en la definición de procesos de control. Su última actualización es el COBIT 5, desarrollado en el año 2012, que en pocas palabras, ayuda a las empresas a crear valor óptimo de TI mediante el mantenimiento de un equilibrio entre la obtención de beneficios y la optimización de los niveles de riesgo y el uso de los recursos. COBIT 5 permite que la información y la tecnología relacionada para ser gobernado y administrado de manera integral para el conjunto de la empresa, teniendo en el pleno de extremo a extremo del negocio y áreas funcionales de responsabilidad, teniendo en cuenta los intereses relacionados con la TI de grupos de interés internos y externos.

BENEFICIOS DEL COBIT

• Mantener información de calidad para apoyar las decisiones del negocio.

• Generar un valor comercial de las inversiones habilitadas por la Tecnología de la Información (TI), o sea: lograr metas estratégicas y mejoras al negocio mediante el uso eficaz e innovador de la TI.

• Lograr una excelencia operativa mediante la aplicación eficiente y fiable de la tecnología.

• Mantener el riesgo relacionado con TI a niveles aceptables.

• Optimizar el costo de la tecnología y los servicios de TI.

• Mejor alineación, con base en su enfoque de negocio.

• Cumplimiento de los requerimientos COSO para el ambiente de control TI.

• Una visión, entendible para la gerencia, de lo que hace TI.  

• Propiedad y responsabilidades claras, con base en su orientación a procesos.

PRODUCTOS DEL COBIT

NIVEL ESTRATÉGICO: Resumen que explica las practicas, intereses y responsabilidades para la administración.

NIVEL TÁCTICO:  Herramientas que ayuda a medir el desempeño, definir las metas y  los modelos de madurez.

NIVEL OPERATIVO: Define, implementa y evalúa  el marco de control. 

·         La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable.

·      La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos.

·      La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada.

·      La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio.

·      La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas.

·      El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas.

·      La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades.

RECURSOS DE TECNOLOGÍA DE INFORMACIÓN

PROCESOS ORIENTADOS

 La empresa debe suministrar los recursos necesarios para responder a los requerimientos que el negocio tiene hacia la función de tecnología de información. Los recursos necesarios son:

 a)           Aplicaciones: Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados.

b)              Información: datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc.

c)              Infraestructura: Recursos para alojar y dar soporte a los sistemas de información. Como el hardware, bases de datos

d)      Personal: Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información

 Para obtener información que requiere la empresa para obtener sus objetivos, esta necesita invertir en administrar y controlar recursos de TI utilizando un conjunto de procesos para proporcionar los servicios que entreguen esa información requerida. Los cuales se dividen en:

 ·                    Dominios de Cobit

a)     Planear y organizar: se refiere a identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.

b)     Adquirir e implementar: Para llevar a cabo la estrategia de TI, se necesitan identificación de soluciones, desarrollo o adquisición, cambios y/o mantenimiento de sistemas existentes.

c)     Entregar y soportar: Cubre la entrega de los servicios requeridos. Incluye la prestación del servicio, la administración de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administración de los datos y de las instalaciones operacionales.

d)    Monitorear y evaluar: Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control.

·        Procesos

Los procesos están agrupados en cuatro grandes dominios que se describen a continuación:

1)     Planeación 
Se vincula con la identificación de la forma en que la tecnología de información puede contribuir de la manera más adecuada con el logro de los objetivos del negocio.

Se tiene en cuenta una serie de puntos:

a)     Definir un plan estratégico de TI

b)     Definir la arquitectura de información

c)     Determinar la dirección tecnológica

d)    Definir la organización y relaciones de la Función TI

e)     Administrar la inversión en TI

f)      Comunicación de las directrices Gerenciales

g)     Administración del Recurso Humano

h)     Administración de Calidad

i)       Evaluación de Riesgos

2)     Adquisición y desarrollo

Cambios y mantenimiento de los sistemas existentes para garantizar la continuidad del ciclo de vida para estos sistemas. Incluye:

a)     Identificación de soluciones Automatizadas

b)     Adquisición y mantenimiento de software aplicativo

c)     Adquisición y mantenimiento de arquitectura TI

d)    Facilitar la operación y el uso

e)     Adquirir recursos de TI

f)      Administrar cambios

g)     Instalar y acreditar soluciones y cambios

3)     Entrega y soporte

Prestación efectiva de los servicios requeridos, comprenden desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta capacitación. Incluye:

a)     Definición del nivel de servicio

b)      Administración del servicio de terceros

c)     Administración de la capacidad y el desempeño

d)    Garantizar la seguridad del sistema

e)     Capacitación de usuarios

f)      Soporte a los clientes de TI

g)     Administración de la configuración

h)     Administración de problemas e incidentes

i)        Administración de datos:

4)     Monitoreo

Evaluar regularmente todos los procesos de TI para determinar su calidad y el cumplimiento de los requerimientos de control

a)     Monitorear y Evaluar el desempeño de TI

b)     Monitorear y evaluar el control interno

c)     Garantizar el cumplimiento regulatorio

·        Controles

COBIT define objetivos de control, políticas, procedimientos, prácticas y estructuras organizaciones diseñados para proporcionar un aseguramiento razonable del cumplimiento de los objetivos institucionales. Cada proceso tiene objetivo de control específicos, objetivo de control de alto nivel, objetivos de control genéricos aplicables a todos los procesos.

TI es responsable de:

– Automatizar e implementar los requisitos de las funciones de negocio y de control

 – Establecer controles para mantener la integridad de controles de aplicación.

 Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero sólo los aspectos de desarrollo de los controles de aplicación; la responsabilidad de definir y el uso operativo es de la empresa.

 ·        Medición

Forma de medición a través del uso de un modelo de madurez. Permite comparación:

a.      Como estamos en relación a buenas prácticas aceptadas

b.      Como estamos frente a similares

c.      Se realiza lo necesario?

d.     Identificar que se necesita realizar para lograr el nivel de procesos

Representación gráfica de los modelos de madurez:

0.       No existente. No se aplican procesos administrativos en lo absoluto

1.       Inicial. Los procesos son desorganizados

2.       Repetible pero intuitivo. Los procesos siguen un patrón regular

3.       Proceso definido. Los procesos se documentan y se comunican

4.       Administrado y medible. Los procesos se monitorean y se miden

5.       Optimizado. Las buenas prácticas se siguen y se automatizan

MODELO DE MADUREZ

Fuentes:

http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

INFORME COSO

En Estados Unidos hacia 1970 se atravesaba una crisis  sobre  diversos riesgos, como alteraciones, malos manejos, fraudes, es por ello que la Securities and Exchange Commission (SEC) junto con la Comisión de Valores y Bolsa de EE.UU. promueven la regularización  de estas irregularidades, surgiendo de allí la Comisión Treadway, con el fin de analizar, inspeccionar y recomendar. Esta comisión emite un informe de recomendaciones con sus conclusiones y el resultado de este es el Comité de Organizaciones Patrocinadoras (COSO), para estudiar los problemas en relación con un marco integrado de control interno y su respectivo reporte.

En 1992 sale la primer versión de COSO, posicionándose como marco de referencia y en el 2004 COSO II, incorporando la  Ley Sarbanes Oxley a su modelo.

COSO (COMMITTEE OF SPONSORING ORGANIZATIONS) se define como un marco de referencia que permite que las organizaciones puedan y mejorar y evaluar sus sistemas de control.

El principal objetivo mejorar la calidad de la información financiera concentrándose en el manejo corporativo, las normas éticas y el control interno, de igual manera unificar criterios ante la existencia de una importante variedad de interpretaciones y conceptos sobre el control interno.

VENTAJAS DE COSO

•   Permite a la dirección de la empresa poseer una visión global del riesgo y accionar los planes para su correcta gestión.
•   Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestión. toma de decisiones más segura, facilitando la asignación del capital.
•  Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así como los riesgos asumidos y los controles puestos en acción.
• Permite dar soporte a las actividades de planificación estratégica y control interno. 
•  Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.
• Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prácticas de gobierno corporativo.

 LA LEY SARBANES- OXLEY

La Sarbanes-Oxley Act (SOA) del año 2002 ha sido redactada con la intención de recuperar la confianza de los inversores en los estados financieros después de los numerosos escándalos contables de los últimos años. La sección 404 de la SOA ha transformado en parte el proceso contable debido a que exige que las empresas cuenten con una serie de gestores que puedan en primer lugar evaluar y reportar el control interno del informe financiero y en segundo lugar enviar dicho informe a los auditores externos para su auditoría. Esos gestores deben además explicar el marco de trabajo usado para evaluar y reportar acerca del control interno. El marco de trabajo integrado de Control Interno (COSO) está específicamente citado por el SEC (Security and Exchange Comisión) como el apropiado, este marco de trabajo es una herramienta de auditoria diseñada para ayudar en la evaluación de los controles internos que pueden ser vista como si de un cubo tridimensional se tratara en la que una dimensión se refiere a los objetivos, la segunda se refiere al área de focalización y la tercera se refiere a los componentes del control interno.

COMPARATIVO COSO I COSO II

ELEMENTOS DEL INFORME COSO

Ambiente Interno: El ambiente interno de la compañía es la base sobre la que se sitúan el resto de elementos, e influye de manera significativa en el establecimiento de los objetivos y de la estrategia. En el entorno de ese ambiente interno, la dirección establece la filosofía que pretende establecer en materia de gestión de riesgos, en función de su cultura y de su apetito de riesgo.

Establecimiento de objetivos: Los objetivos deben establecerse con anterioridad a que la dirección identifique los posibles acontecimientos que impidan su consecución. Deben estar alineados con la estrategia de la compañía, dentro del contexto de la visión y misión establecidas.

Identificación de riesgos: La incertidumbre existe, y por tanto se debe  considerar aspectos externos (económicos, políticos y sociales) e internos(infraestructura, personal, procesos) que afecten la consecución de los objetivos del negocio, surgiendo la identificación de acontecimientos negativos que significan riesgo o positivos que significan oportunidades o mitigación del riesgo.

Evaluación del riesgo: Para poder establecer una evaluación sobre el riesgo se deben identificar los objetivos organizacionales y que los puede estar afectando. Los riesgos deben administrasen atendiendo la existencia de un medio interno y externo en continuo cambio. Deben ser avaluados por la auditoría interna y se debe Diferenciar los controles de T.I  para áreas versus funciones de alto riesgo. La evaluación del riesgo se centra inicialmente en el riego inherente (antes de establecer mecanismos para su mitigación) y posteriormente en el riesgo residual (riesgo que existe tras el establecimiento de medidas de control)

Respuesta al riesgo: La dirección debe evaluar la respuesta al riesgo de la compañía en función de cuatro categorías: Evitar, reducir, compartir y aceptar. Una vez establecida la respuesta al riesgo más adecuada para cada situación, se deberá efectuar una reevaluación del riesgo residual.

Actividades de control: Se trata de las políticas y procedimientos que son necesarios para asegurar que la respuesta al riesgo ha sido la adecuada. Las actividades de control deben estar establecidas en toda la organización, a todos los niveles y en todas sus funciones.

Información y comunicación: La adecuada información es necesaria a todos los niveles de la organización, de cara a una adecuada identificación, evaluación y respuesta al riesgo que permita a la compañía la consecución de sus objetivos.  Para conseguir un ERM que funcione efectivamente es necesario un adecuado tratamiento de la información.

Supervisión: La metodología ERM debe ser monitoreada, para asegurar su correcto funcionamiento y la calidad de sus resultados a lo largo del tiempo. El modo en que esta supervisión se lleve a cabo dependerá fundamentalmente de la complejidad y el tamaño de la compañía.

LOS DIEZ RIESGOS DE LA TECNOLOGÍA MÁS COMUNES

1.           Cumplimiento de Regulaciones y Legislación.

2.           Gestión de amenazas / puntos vulnerables.

3.           Privacidad

4.           Supervisión / auditoría / aseguramiento continuos.

5.           Seguridad de las redes inalámbricas

6.           Protección contra intrusiones

7.           Tercerización de TI

8.           Mediciones de seguridad empresarial

9.           Gestión de identidad

10.         Adquisiciones y ventas, impacto en la gestión de sistemas

Fuentes:

Estrategia Financiera No 225. Febrero de 2006

Boletín de la comisión de normas y asuntos profesionales del Instituto de auditores

Internos de Argentina –No 9-Septiembre de 2003

Revista Estrategia Financiera, Nº 225, Sección Artículos, 01 de Febrero de 2006

PANORAMA SOBRE LA EVOLUCIÓN DE LAS PRÁCTICAS DE AUDITORÍA

EL CONTROL

HARDWARE Y SOFTWARE EN LOS SISTEMAS DE INFORMACIÓN

HARDWARE: Son todas aquellas partes físicas y tangibles de una computadora, este a su vez se divide en:

Hardware externo o también conocido como periféricos: Hace referencia a todas aquellas partes que están en el exterior de la computadora. Ejemplos:

• Pantalla o Monitor: Dispositivo de salida, por medio del cual se ve la información procesada en el ordenador.
• Teclado: Este es un dispositivo de entrada por medio del cual se ingresa información en forma de texto, graficas, símbolos.
• Mouse: Es un dispositivo que permite controlar un puntero en la pantalla de una computadora, facilitando su manejo.

Hardware Interno o también conocido como componentes: Hace referencia a todas aquellas partes que se encuentran en el interior de la computadora. Ejemplos:

• Disco duro: Es un disco en el cual se almacenan los datos del computador.
• Memoria RAM: Esta almacena todos los datos e instrucciones que ejecuta la CPU
• CPU: Conocida también como unidad central de procesamiento, es un microprocesador formado por microchips que trabajan en circuito controlando y coordinando el procesamiento de datos

Dentro del hardware encontramos almacenamiento secundario como por ejemplo el disco duro, los DVD, la unidad Flash, los CD, etc. La computadora utiliza unas señales de información para el almacenamiento de los datos, ejemplo:

Dirección	Celda de Memoria	Datos almacenados
101	00000101	5
102	00000011	3

 El lenguaje de la maquina se expresa en impulsos eléctricos:

• OFF (Bajo Voltaje) / Valor del Bit = 0
• ON  (Alto Voltaje)   / Valor del Bit = 1

SOFTWARE (parte intangible):

Corresponde a un conjunto de instrucciones necesarias para realizar varias tareas, las cuales son ejecutadas por varias aplicaciones o sistemas operativos instalados en el computador.  El sistema operativo hace referencia al Windows XP, Vista y  7 y los programas a office (Word, Excel, Power point, Publisher) Photoshop, CorelDraw.

SOFTWARE Y HARDWARE EN RED

Las redes están compuestas por varios componentes en cuanto a hardware y software con el fin de transferir datos de forma segura y rápida conservando la integridad de la información.

De esta manera se puede dar solución a problemas de hardware y software de forma remota, manteniendo actualizaciones de nuevas versiones, realizando pruebas y registrando licencias; cuando las computadoras se encuentra en red, la concetividad del sofware permite que desde diferentes puntos se este trabajando mostrando siempre la misma información procesada.