UNIVERSIDAD TECNOLÓGICA ISRAEL TRABAJO DE TITULACIÓN

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD TECNOLÓGICA ISRAEL TRABAJO DE TITULACIÓN"

Transcripción

1 UNIVERSIDAD TECNOLÓGICA ISRAEL TRABAJO DE TITULACIÓN CARRERA: FACULTAD DE SISTEMAS INFORMÁTICOS TEMA: AUDITORÍA INFORMÁTICA ORIENTADA A LOS PROCESOS CRÍTICOS DE TARJETA DE DÉBITO GENERADOS EN LA COOPERATIVA DE AHORRO Y CRÉDITO JUVENTUD ECUATORIANA PROGRESISTA LTDA. APLICANDO EL MARCO DE TRABAJO COBIT. AUTOR: JORGE EDUARDO CÁRDENAS CHÁVEZ TUTOR: ING. CRISTÓBAL ALBERTO ÁLVAREZ ABRIL DsD

2 UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMÁTICOS CERTIFICADO DE RESPONSABILIDAD Y, Ing. Cristóbal Álvarez, certific que el señr Jrge Eduard Cárdenas Chávez cn C.I. N realizó la presente tesis cn el títul AUDITORÍA INFORMÁTICA ORIENTADA A LOS PROCESOS CRÍTICOS DE TARJETA DE DÉBITO GENERADOS EN LA COOPERATIVA DE AHORRO Y CRÉDITO JUVENTUD ECUATORIANA PROGRESISTA LTDA. APLICANDO EL MARCO DE TRABAJO COBIT, que es autr intelectual del mism, que es riginal, auténtic y persnal. Ing. Cristóbal Albert Álvarez Abril DsD 2

3 CERTIFICADO DE AUTORÍA El dcument de tesis cn títul AUDITORÍA INFORMÁTICA ORIENTADA A LOS PROCESOS CRÍTICOS DE TARJETA DE DÉBITO GENERADOS EN LA COOPERATIVA DE AHORRO Y CRÉDITO JUVENTUD ECUATORIANA PROGRESISTA LTDA. APLICANDO EL MARCO DE TRABAJO COBIT ha sid desarrllad pr Jrge Eduard Cárdenas Chávez cn C.C. N persna que psee ls derechs de autría y respnsabilidad, restringiéndse la cpia utilización de cada un de ls prducts de esta tesis sin previa autrización. Jrge Eduard Cárdenas Chávez 3

4 DEDICATORIA A mi espsa Blanca, quien ha sid un pilar fundamental en la cnsecución de tds mis lgrs, acmpañándme cn su amr y su perseverancia. A mi madre Dlres, pr su ejempl prfesinal y sbre td pr su calidad humana, ha sid mi inspiración en las diferentes etapas de mi vida. 4

5 AGRADECIMIENTO Sient una prfunda gratitud hacia mis hermans Alexandra y Fernand pr su apy siempre incndicinal, han estad cnmig en tds ls mments de mi vida. Agradezc a tdas las persnas que cnfrman la Universidad Tecnlógica Israel, esty segur que su esfuerz ls llevará siempre pr camins de much éxit. 5

6 CONTENIDO CAPÍTULO. 1 1 TEMA PLANTEAMIENTO DEL PROBLEMA Definición del prblema de investigación Delimitación del prblema de investigación Límites teórics Límites temprales Limites espaciales OBJETIVO Objetiv principal Objetivs secundaris JUSTIFICACIÓN DE LA INVESTIGACIÓN HIPÓTESIS Variables del trabaj de graduación Definición cnceptual Operación de las variables MARCO DE REFERENCIA Antecedentes teórics del tema de investigación Marc cnceptual Marc Jurídic Citas Bibligráficas METODOLOGÍA Métds generales que se van a utilizar en el pryect. 11 CAPÍTULO II 13 6

7 2.1 Marc Teóric. 13 CAPÍTULO III Encuesta Preliminar a Usuaris del Área de Tarjeta de Débit Determinación del Marc de Trabaj Determinación Cnceptual de Nivel de Riesg Tabla de Determinación de Riesg Definición de Dminis COBIT Planear y Organizar (PO) Adquirir e Implementar (AI) Entregar y Dar Sprte (DS) Mnitrear y Evaluar (ME) Matriz Dminis Revisión COBIT aplicads a la Cperativa. 26 CAPÍTULO IV 36 4 APLICACIÓN DE LA AUDITORÍA INFORMÁTICA Infrmación Institucinal Organigrama Departamental Prcess Departament de Tarjeta de Débit Análisis de la Infraestructura Física y Tecnlógica para Tarjeta de Débit Infraestructura de Tecnlgía de la Infrmación: Infraestructura de Hardware: Equips, Características Técnicas Infraestructura de Sftware: Versines, Licencias Infraestructura de Redes y Cmunicacines: Tplgías, Enlaces, Seguridades, Redes Externas Tplgía de la Cperativa Matriz de Investigación de Camp Actividades de Auditría. 68 7

8 4.7 Plan de Auditría Hallazgs de Auditría Herramientas Técnicas Utilizadas y Resultads Obtenids Mdel Genéric de Madurez Hallazgs de la Auditría Infrme de resultads de la Auditría Infrmática Análisis General de ls Hallazgs Análisis del Nivel de Madurez Institucinal Nivel de Madurez Institucinal Recmendacines de Auditría Oprtunidades de Mejra Cnclusines y Recmendacines. 101 BIBLIOGRAFÍA 104 ANEXOS 105 8

9 Índice de Gráfics. Gráfic Principi básic de COBIT. 7 Gráfic Cub de COBIT. 8 Gráfic Gestión de Claves. 16 Gráfic Custdia de Infrmación Sensible. 17 Gráfic Nivel de Supervisión. 17 Gráfic Aplicación de Manuales Institucinales. 18 Gráfic Manej de Infrmación Sensible. 19 9

10 Índice de Figuras. Figura 1. Reprte de Usuaris y Privilegis. 71 Figura 2. Lg de Auditria. 71 Figura 3. Reprtes de usuaris del Active Directry. 72 Figura 4. Ping a la red para btener la IP. 72 Figura 5. Escane a ls puerts 256 y 258 utilizand Nmap. 73 Figura 6. Verificación de puerts cerrads cn Nmap. 73 Figura 7. Intent de cnexión Telnet a ls puerts 256 y 258 n exitss. 74 Figura 8. Acces al módul de llaves infrmáticas. 74 Figura 9. Cnsulta Lg Llaves Infrmáticas. 75 Figura 10. Revisión de Cnfiguración de Antivirus. 75 Figura 11. Revisión de Cnfiguración de Antivirus. 76 Figura 12. Revisión de Events de Antivirus. 76 Figura 13. Revisión de Prtección de Antivirus. 77 Figura 14. Escane de puerts utilizand Nmap. 77 Figura 15. Verificación de abierts utilizand Nmap. 78 Figura 16. Intent de cnexión Telnet a ls puerts 80 y 443 abierts. 78 Figura 17. Verificación de SSL en la página transaccinal. Presenta HTTPS. 78 Figura 18. Verificación de tablas SQL a revisar. 79 Figura 19. Cnsulta de Clave de Tarjeta. 80 Figura 20. Cnsulta SQL pr Tarjeta. 80 Figura 21. Almacenamient infrmación sensible

11 Figura 22. Cnsulta SQL pr Cuenta. 81 Figura 23. Mnitre Balanced Screcard en apy al negci. 81 Figura 24. Acces a SFTP para verificar peratividad. 82 Figura 25. Verificación de carpetas e infrmación de Tarjeta de Débit en SFTP. 82 Figura 26. Verificación de Administración pr Help Desk

12 Índice de Tablas Tabla de Pnderación de Marc de Referencia. 23 Tabla Matriz de Decisión Marc de Referencia. 24 Tabla de Determinación de Riesg. 25 Tabla Dminis Revisión COBIT aplicads a la Cperativa. 27 Tabla Matriz de Investigación de Camp. 47 Tabla Mdel Genéric de Madurez. 83 Tabla Hallazgs de la Auditría. 84 Tabla Nivel de Madurez Institucinal. 96 Tabla de Definición de Oprtunidades de Mejra

13 RESUMEN La presente tesis tiene cm bjetiv principal aplicar una Auditría Infrmática a la Cperativa de Ahrr y Crédit Juventud Ecuatriana Prgresista Ltda. en sus prcess de trabaj asciads al desarrll del prduct tarjeta de débit, se ha establecid cm marc de trabaj el us del mdel Cbit. En el presente trabaj se establece cm una necesidad que la Cperativa aplique una Auditría Infrmática pues le permitirá en un inici establecer ls prcess más crítics que administran el prduct. La siguiente fase cnsta en cncer mediante encuestas al persnal, las actividades de trabaj, su frecuencia y su criticidad. Esta infrmación permite al auditr tener una visión general del área. Se establece la infraestructura tecnlógica en hardware y sftware cn que cuenta la Cperativa a fin de pder establecer las herramientas tecnlógicas de apy que evaluará la infraestructura, así cm también permite al auditr aplicar el marc Cbit en las áreas de aplicación. Dentr del ejercici de la Auditría Infrmática aplicand el marc de trabaj Cbit, se establecen las vulnerabilidades, ls prcess Cbit de evaluación y el nivel de riesg asciad a cada prces. Cm resultad de la aplicación de la Auditría Infrmática se btienen evidencias, frut de ls ejercicis de aplicación de las herramientas infrmáticas, también se presentan ls resultads que surgen de la evaluación directa del auditr, utilizand cm medis la bservación directa, aplicación y us de las herramientas mediante simulación de usuari administradr de ls recurss. Tds ls resultads sn evaluads y clasificads pr su nivel de riesg, l que permite establecer el nivel de madures de ls prcess invlucrads en la administración del prduct. Finalmente se emite el infrme cn las recmendacines y un plan de trabaj prpuest a fin de que las vulnerabilidades sean minimizadas. 13

14 CAPÍTULO I 1 TEMA. AUDITORÍA INFORMÁTICA ORIENTADA A LOS PROCESOS CRÍTICOS DE TARJETA DE DÉBITO GENERADOS EN LA COOPERATIVA DE AHORRO Y CRÉDITO JUVENTUD ECUATORIANA PROGRESISTA LTDA. APLICANDO EL MARCO DE TRABAJO COBIT. 1.2 PLANTEAMIENTO DEL PROBLEMA Definición del prblema de investigación. Dentr de ls servicis que frece la Cperativa de Ahrr y Crédit Juventud Ecuatriana Prgresista Ltda. se encuentra la Tarjeta de Débit, este prduct permite a ls clientes acceder a la red de cajers de la Cperativa así cm de tras institucines financieras ecuatrianas y realizar retirs de diner cn el respectiv débit autmátic de la cuenta de ahrrs del cliente. Ls prcess para el manej del prduct Tarjeta de Débit han estad enfcads en brindar una ágil funcinalidad para el cliente, sin embarg n se han bservad a detalle nrmas de seguridad infrmática que permitan minimizar ls riesgs de psibles errres invluntaris inclus fraudes que vulneren ls sistemas infrmátics y casinen fallas en la dispnibilidad de ls servicis, pérdidas de infrmación, cmprmis cpia de infrmación imprtante y sensible. Ls aspects infrmátics que presenten fallas en su funcinamient que vean cmprmetida su infrmación más sensible pueden tener repercusines graves para la Institución cm sn: pérdidas financieras pr fraudes errres perativs; pérdida de la cnfianza de ls clientes y afectación en su reputación dentr de la industria financiera Delimitación del prblema de investigación Límites teórics. La Auditría Infrmática es un prces llevad a cab pr prfesinales especialmente capacitads para el efect, y que cnsiste en recger, agrupar y evaluar evidencias para 1

15 determinar si un sistema de infrmación salvaguarda el activ empresarial, mantiene la integridad de ls dats, lleva a cab eficazmente ls fines de la rganización, utiliza eficientemente ls recurss, y cumple cn las leyes y regulacines establecidas. (Wikipedia) La Auditría Infrmática busca mantener la eficiencia en ls sistemas infrmátics, verificar que se cumplan las nrmativas institucinales dentr del us y manej de ls sistemas infrmátics y busca realizar una gestión eficaz de ls recurss tecnlógics. Las amenazas se pueden cnceptualizar cm un event que puede afectar de manera directa indirecta en el funcinamient de ls sistemas infrmátics, la infrmación que cntienen ls misms. Dentr de las institucines y en particular las financieras existen amenazas que pueden afectar seriamente ls sistemas infrmátics. Las amenazas pueden ser internas, cuand ls usuaris dentr de la institución vulneran la seguridad infrmática y btienen algún benefici causan dañ vluntari invluntari a la infrmación a ls sistemas tecnlógics, así también las amenazas pueden ser externas y tener las mismas cnsecuencias ya indicadas. El riesg es la psibilidad de que curra una amenaza, está presente de frma que se pueda cntrlar minimizar. Existen riesgs inherentes al negci de intermediación financiera, ests se caracterizan prque pueden ser cnsiderads alts, medis bajs, dependiend en gran medida del impact que puedan tener en cas de currencia Límites temprales. El desarrll del Trabaj de Titulación que se plantea, cnlleva un tiemp de ejecución de 4 meses. El desarrll del Trabaj de Titulación tendrá su enfque en la situación actual que presentan ls prcess de la Cperativa de Ahrr y Crédit Juventud Ecuatriana Prgresista Ltda. en el añ

16 Limites espaciales. El desarrll del Trabaj de Titulación se llevará a cab en la Cperativa de Ahrr y Crédit Juventud Ecuatriana Prgresista Ltda., ubicada en la ciudad de Cuenca, prvincia del Azuay, Ecuadr. 1.3 OBJETIVOS Objetiv principal. Aplicar una Auditría Infrmática que evalúe el nivel de cumplimient de cntrl de ls prcess crítics de Tarjeta de Débit, que permita identificar vulnerabilidades y establecer recmendacines para minimizar riesgs Objetivs secundaris. Establecer el nivel de cumplimient del marc de trabaj del Mdel COBIT. Identificar ls prcess crítics del área de Tarjeta de Débit y su infraestructura tecnlógica. Evaluar la eficacia y eficiencia de ls sistemas de infrmación que evidencien la dispnibilidad, cnfidencialidad e integridad de la infrmación almacenada. 1.4 JUSTIFICACIÓN DE LA INVESTIGACIÓN. La Auditría Infrmática aplicada a la Cperativa de Ahrr y Crédit Juventud Ecuatriana Prgresista Ltda. permitirá que se identifiquen ls riesgs existen en ls prcess crítics de Tarjeta de Débit, permitiend así a la alta gerencia, tmar medidas e implementar mejras que remedien ls hallazgs evidenciads durante la ejecución del plan de auditría. 3

17 Cm beneficis para la Cperativa de Ahrr y Crédit Juventud Ecuatriana Prgresista Ltda. se establecen que su expsición al riesg será evaluada una vez finalizada la Auditría Infrmática, así cm también cntará cn una metdlgía que le permitirá mejrar cnstantemente sus prcess crítics. La Auditría Infrmática planteada, permitirá crregir las psibles deficiencias que se puedan establecer una vez finalizad el ejercici. En la actualidad la Auditría Infrmática tiene un rl primrdial dentr de las institucines financieras, debid a que entre trs aspects imprtantes busca mantener baj nrmas de seguridad la infrmación y ls dats que la cmpnen, cnsiderads cm el activ más imprtante en las institucines del sectr financier. 1.5 HIPÓTESIS. Cuant mayr es el crecimient de ls prcess de Tarjeta de Débit en la Cperativa de Ahrr y Crédit Juventud Ecuatriana Prgresista Ltda., tant mayr es el riesg de currencia de pérdida financiera riginad pr una amenaza interna externa Variables del trabaj de graduación. Crecimient de ls prcess. Riesg de currencia. Pérdida financiera. Amenaza interna externa Definición cnceptual. Crecimient de ls prcess. Debid al crecimient de la pblación ecnómicamente activa que se integra al sistema financier ecuatrian, se rigina también el crecimient de ls prcess interns dentr de 4

18 la Cperativa cn el bjetiv de seguir brindand servicis integrales acrdes cn la realidad nacinal. Riesg de currencia. Es la prbabilidad de que curra un event, el riesg es una variable que puede ser medida en el tiemp. Pérdida financiera. Es el resultad de peracines financieras que pr su naturaleza afectan al resultad ecnómic de la institución. Afecta negativamente al ingres utilidad neta de un ejercici financier determinad. Amenaza interna externa. Sn factres interns externs a ls que está expuesta la institución financiera, se cnsideran que pueden ser perjudiciales en la mayría de cass para la empresa debid a que quienes ejecutan la amenaza buscan intereses particulares que pueden afectar a la institución. Vulnerabilidad. En seguridad infrmática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiend a un atacante vilar la cnfidencialidad, integridad, dispnibilidad, cntrl de acces y cnsistencia del sistema de sus dats y aplicacines. (TECNOLOGÍA) 5

19 1.5.2 Operación de las variables. Variable Dimensión Indicadr Crecimient de ls Prcess, Tareas. Aument, disminución. prcess. Riesg de currencia. Events. Prbabilidades de currencias. Pérdida financiera. Cuentas cntables, balances. Reducción de ingress, utilidades. Amenaza interna externa. Sabtaje, fraudes, intrusines. Tabulación, alta, media, baja. 1.6 MARCO DE REFERENCIA Antecedentes teórics del tema de investigación. El mdel COBIT ayuda a las empresas a gestinar la infrmación y la tecnlgía de frma eficiente. Es necesari asegurar el valr de la tecnlgía, administrar ls riesgs que sn cncids cm elements claves del Gbiern Crprativ. El valr, el riesg y el cntrl cnstituyen la esencia del gbiern de TI (Tecnlgía de Infrmación). COBIT recmienda que el enfque se debe mantener alinead las necesidades y requerimients del negci utilizand métricas y mdels de madurez para medir sus lgrs, teniend en cuenta a ls dueñs de cada prces tant del negci cm de las tecnlgías de infrmación. Para que TI tenga éxit en satisfacer ls requerimients del negci, la dirección debe implementar un sistema de cntrl intern un marc de trabaj. El marc de trabaj de cntrl COBIT cntribuye a estas necesidades de la siguiente manera: Estableciend un víncul cn ls requerimients del negci. Organizand las actividades de TI en un mdel de prcess generalmente aceptad. Identificand ls principales recurss de TI a ser utilizads. 6

20 Definiend ls bjetivs de cntrl gerenciales a ser cnsiderads (COBIT). Marc de Trabaj de COBIT. El mdel de COBIT fue cread para ser rientad a negcis y prcess, basad en cntrles e impulsad pr medicines. Orientad a Negcis. El Mdel de COBIT es rientad a negcis ya que se encuentra diseñad para ser una guía para la gerencia, prpietaris de ls prcess de negci, ls prveedres de servicis, usuaris y auditres de TI. Además es el enfque de cntrl en TI que se lleva a cab visualizand la infrmación necesaria para dar sprte a ls prcess del negci. Siend la Infrmación el resultad de la aplicación cmbinada de recurss relacinads cn la Tecnlgía de Infrmación, que deben ser administrads pr prcess TI. El Marc de Trabaj de COBIT frece herramientas para garantizar la alineación de la administración de TI cn ls requerimients del negci, basads en ls principis básics de COBIT. Gráfic Principi básic de COBIT. 7

21 Estructura del Marc de Referencia COBIT. El marc de referencia de COBIT cnsta de bjetivs de cntrl de TI de alt nivel y de una estructura general para su clasificación y presentación, que se basan en tres niveles de actividades de TI al cnsiderar la administración de sus recurss, ests sn: Actividades: las actividades y tareas sn las accines requeridas para lgrar un resultad medible. Las actividades tienen un cicl de vida, mientras que las tareas sn más discretas. Prcess: sn cnjunts de actividades tareas cn delimitación crtes de cntrl. Dminis: es la agrupación natural de prcess denminads frecuentemente cm dminis que crrespnden a la respnsabilidad rganizacinal. El marc de referencia cnceptual puede ser enfcad desde tres punts estratégics: criteris de infrmación, recurss de TI y prcess de TI. (COBIT) Ests tres punts estratégics sn descrits en el cub COBIT Gráfic Cub de COBIT. 8

22 Auditría Infrmática aplicada a las Institucines Bancarias. Una entidad financiera dispne de diversa infrmación patrimnial y persnal de cada un de sus clientes. Ls dats que psee la entidad pueden ser, sus dats persnales (nmbre, dirección, teléfn), también puede dispner de dats prfesinales (actividad a la que se dedica, empresa para la que trabaja), además la psición cmpleta de sus cuentas (salds), valr tasad de su vivienda en cas de que le haya trgad un préstam, nivel de endeudamient, etc. La sensibilidad de la infrmación manejada pr una entidad financiera es mayr si se tiene en cuenta la ttalidad de sus clientes y prducts, ya que tienen infrmación más cmpleta y valisa y pr tant más sensible, que dispner exclusivamente de las cuentas de un únic cliente. Ls principales riesgs a ls que hace frente la gestión de la infrmación sn: Difusión n autrizada, intencinada n, hacia destins imprcedentes. La cnfidencialidad es un tema de especial precupación en cualquier entidad financiera ya que en una entidad bancaria interviene la cnfianza depsitada pr el cliente. Obtención de infrmación errónea, pr accidente pr manipulación indebida, y cm cnsecuencia de la nrmativa a la que está smetida la actividad bancaria perjudicand a ls clientes. (Mari Piattini y Emili del Pes) La auditría bancaria busca que se cumplan cn las mejres prácticas de seguridad de la infrmación de tal manera que ls dats sensibles e imprtantes para la entidad bancaria estén resguardads Marc cnceptual. Sistema Cperativ Financier de la Ecnmía Ppular y Slidaria. Está cmpuest pr institucines n financieras y financieras cmprendidas pr cperativas. La Superintendencia de la Ecnmía Ppular y Slidaria (SEPS) inició su gestión el 05 de juni 2012 y actualmente se encuentra en transición cn la Superintendencia de Bancs y Segurs que estaba encargada del sectr financier cperativista. Cperativa de Ahrr y Crédit. Es una Institución que realiza labres de intermediación financiera, tiene un enfque slidari, sin un dueñ particular, sin que está cnfrmad pr 9

23 ls scis y cada un tiene derech a un vt en l que respecta a las decisines de la cperativa Marc Jurídic. El Marc regulatri para la Cperativa de Ahrr y Crédit Juventud Ecuatriana Prgresista Ltda. se rige pr la Ley General de Institucines del Sistema Financier. La entidad de cntrl es la Superintendencia de la Ecnmía Ppular y Slidaria Citas Bibligráficas. Según (Echenique, 2006) ls tips de Auditría Infrmática, ls prcedimients varían de acuerd a las técnicas y a la filsfía de cada empresa y departament de auditría en particular. Sin embarg, existen ciertas técnicas y/ prcedimients que sn cmpatibles en la mayría de ambientes de infrmática. Estas técnicas caen en ds categrías: métds manuales y métds asistids pr cmputadra. Técnicas avanzadas de auditría cn infrmática. Cuand en una institución se encuentren perand sistemas avanzads de cmputación, cm el prcesamient en línea, bases de dats y prcesamient distribuid, se pdrá evaluar el sistema utilizand técnicas avanzadas de auditría. Entre las técnicas recmendadas están: Pruebas Integrales. Simulación. Revisión de acces. Operacines en paralel. Evaluación de un sistema cn dats de prueba. 10

24 Registrs extendids. Ttales aleatris de cierts prgramas. Selección de determinad tip de transaccines cm auxiliar en el análisis de un archiv históric. Resultads de cierts cálculs. Tdas las técnicas anterires ayudan al auditr a establecer una metdlgía para la revisión de ls sistemas de aplicación de una institución, empleand cm herramientas el mism equip de cómput. (Echenique, 2006) 1.7 METODOLOGÍA Métds generales que se van a utilizar en el pryect. El tip de investigación utilizad para el desarrll de la Auditría Infrmática será: La investigación de camp, ya que se apya en la recpilación de infrmación que prviene de encuestas, entrevistas, cuestinaris y bservacines realizadas en el área. Investigación aplicada, esta permite btener un nuev cncimient técnic cn la aplicación inmediata a un más prblemas determinads. Esta investigación es fundamentada en ls resultads de la investigación básica. Métds. Métd inductiv.- Investigación acerca del manej de la administración y cntrl de ls prcess y dcuments en la Institución. Observación.- Requerimients de la Institución. Analític-Sintétic.- Permitirá btener una mejr slución al prblema plantead. Nivel Clasificatri.- Permite rganizar y rdenar ls dats y la infrmación de la Institución clasificándls en grups clases. Ordenar características, similitudes semejanzas a fin 11

25 de establecer una distribución de sus elements y clasificar dicha infrmación distinguiend y agrupand. Técnicas. Las técnicas que se utilizará para el desarrll del pryect sn: Entrevista directa cn el Gerente General para la btención de un criteri general. Entrevista cn ls funcinaris de Tarjetas de Débit, Gerente de Tecnlgía, Jefe de Prcess, Jefe de Bases de Dats, y demás persnal de ls prcess invlucrads, para cncer a nivel de detalle td el ámbit de trabaj. Encuestas, a través de esta técnica se btiene ls dats de varias persnas que están directamente relacinadas cn el prces de tarjetas de débit y de tecnlgía de la infrmación, mediante preguntas estructuradas en frmularis impress. Observación directa que permita evidenciar y dcumentar ls prcess. 12

26 CAPÍTULO II 2.1 Marc Teóric. Tería Aplicada Auditría. Es la actividad cnsistente en la emisión de una pinión prfesinal sbre si el bjet smetid a análisis presenta adecuadamente la realidad que pretende reflejar y/ cumple las cndicines que le han sid prescritas. (Piattini M. y Del Pes E. (2007). Auditría Infrmática) Dónde Fue Aplicada La auditría es la base cnceptual de la Auditría Infrmática, se aplican cm principis prfesinales del auditr. Cóm se aplicó Qué reslvió Se utilizó cm una guía de ls principis que se debe seguir en una auditría. Establecer el marc fundamental de la auditría cm un entrn de trabaj. Auditría Infrmática. Es el prces de recger, agrupar y evaluar evidencias para determinar si un sistema infrmatizad salvaguarda ls activs, mantiene la integridad de ls dats, lleva a cab eficazmente ls fines de la rganización y utiliza eficientemente ls recurss. (Piattini M. y Del Pes E. (2007). Auditría Infrmática) La Auditría Infrmática se aplicó en el estudi y análisis de ls prcess, entrns de TI cnsiderads crítics dentr del área de tarjeta de débit. Se aplicó utilizand ls principis básics de la Auditría Infrmática, estableciend sus etapas y entregand ls dcuments cn las recmendacine s que señalan las mejres prácticas de la industria de medis de pag. Permitió evidenciar las debilidades en diferentes prcess y entrns de TI. Base de Dats. Cnjunt de dats pertenecientes a un mism cntext y almacenads sistemáticamente para su psterir us. (DATOS) COBIT. Marc de referencia de buenas prácticas para el cntrl de TI. Acrónim en inglés de Objetivs de Cntrl para la Infrmación y Las bases de dats fuern utilizadas para evidenciar el nivel óptim de cumplimient del almacenamient de infrmación. Se aplicó en el desarrll de la auditría cm un marc de trabaj que apya de Se realizarn revisines de cnfiguracines, access, almacenamient y seguridades. Se verificarn ls principales cntrles y se determinó el entrn de Se pud verificar que la infrmación sensible es almacenada de frma vulnerable. Se evidenciarn ls niveles de madurez de ls prcess 13

27 la Tecnlgía Relacinada, emitid pr el IT Gvernance Institute. (COBIT) frma metdlógica a la Auditría Infrmática. trabaj que más se ajusta a las necesidades de la auditría y se aplicó en cada módul y prces del área de tarjeta de débit. de TI y se realizarn las recmendaci nes para mejrar el nivel de madurez de la Institución. Lista de apy. Matrices de Investigación. Se utiliza para que el auditr pueda tener clars ls punts a auditar, ayuda a mantener clars ls bjetivs de la auditría, sirve de evidencia del plan de auditría, asegura su cntinuidad y prfundidad y reduce ls prejuicis del auditr y su carga de trabaj. (GLOSARIO) Se utilizó en el desarrll de la auditría, en la determinación de ls prcess a auditar, en redactar ls hallazgs, en establecer las recmendacines. Se aplicó utilizand una matriz cruzada que permite evidenciar ls diferentes ítems que se está trabajand y su relación cn trs factres relevantes. Permite evidenciar ls principales cntrles a revisar. Además de las técnicas a utilizar durante la auditría, a establecer ls hallazgs. Mdel de Madurez. Mdel utilizad pr muchas rganizacines para identificar las mejres prácticas, las cuales sn cnvenientes para ayudarles a evaluar y mejrarla madurez de su prces de desarrll de sftware. (COBIT) Se aplicó durante ls hallazgs de la auditría para dar un nivel de madurez al cumplimient que se evidencia en la Institución. Se utilizó el mdel genéric de madurez que se determina en la versión COBIT 4.1 y se fue clcand una vez que se evidenció el hallazg. Ls mdels de madurez permiten cncer el nivel de cumplimient actual que tiene la Institución, su brecha hacia el mejr escenari. Encuestas. Cnjunt de preguntas tipificadas dirigidas a una muestra representativa, para averiguar estads de pinión diversas cuestines de hech. (Españla) Se utilizó en la determinación de la necesidad de realizar una Auditría Infrmática. Adicinalmente en el desarrll de la auditría se estableciern encuestas enfcadas a btener el criteri Se elabrarn encuestas y se aplicarn de frma anónima en el cas de ls usuaris funcinales. En el cas de ls niveles de respnsabilidad se realizarn las encuestas tip entrevista cn Permitió tener una rientación clara de la frma en que se ejecutan ls prcess. Permitió cncer de frma directa la situación actual de ls niveles 14

28 del auditad. presentación de la evidencia sustent que tiene la afirmación. crítics de ls prcess. 15

29 CAPÍTULO III 3.1 Encuesta Preliminar a Usuaris del Área de Tarjeta de Débit. Las encuestas realizadas al persnal que labra en el área de tarjeta de débit se han aplicad cn el bjetiv de establecer un panrama inicial de las principales actividades de trabaj diarias y la frma en que se desarrllan. El cuestinari utilizad (ver Anex1) fue realizad cn preguntas de pción múltiple, respuestas afirmativas negativas y respuestas de desarrll. A cntinuación se presentan ls resultads más relevantes btenids en la tabulación. Gráfic Gestión de Claves. Existen ds usuaris de un ttal de dce que n tienen cncimient de la frecuencia del cambi de clave y un usuari que n tiene una clave exclusiva que la cmparte para el ingres al sistema. 16

30 Gráfic Custdia de Infrmación Sensible. La infrmación sensible generada en papel cm reprtes listads n sn destruids. Nueve usuaris tienen la psibilidad de ingresar dispsitivs externs a la cmputadra. Gráfic Nivel de Supervisión. 17

31 Nueve usuaris pueden activar la tarjeta sin que sea una actividad asignada a su perfil y nce usuaris pueden visualizar la clave y vlver a imprimir una tarjeta una vez generada la primera tarjeta. Gráfic Aplicación de Manuales Institucinales. Siete usuaris de un ttal de dce indican n cncer ls manuales de prcedimients, existe infrmación de listads que n se custdia adecuadamente según se indica en el Manual de Prcedimient de tarjeta de débit. 18

32 Gráfic Manej de Infrmación Sensible. El 50% de ls usuaris n envían la tarjeta a la bóveda para la custdia hasta la destrucción definitiva, cm l indica el Manual de Prcedimient. El análisis de ls resultads btenids en las encuestas determina que es imprtante realizar una Auditría Infrmática que permita cncer al detalle el entrn de ls prcess y así pder determinar prtunidades de mejra en la seguridad de ls prcess crítics del área de tarjeta de débit. 3.2 Determinación del Marc de Trabaj. COSO. Es un estándar de cntrl aceptad a nivel mundial. Es desarrllad pr el Cmmittee Of Spnsring Organitatins. Tiene sus inicis en Es presentad pr la Cmisión Treadway que está cnfrmada pr cinc rganizacines internacinales de prfesinales. Objetivs del Infrme COSO. Establecer una definición cmún del Cntrl Intern Marc de Referencia" 19

33 Prprcinar el marc para que cualquier tip de rganización pueda evaluar sus Sistemas de Cntrl y decidir cóm mejrarls. Ayudar a la dirección de las empresas a mejrar el Cntrl de las Actividades de sus rganizacines. (COSO) Ventajas COSO. Entre las principales ventajas que se identifican en este mdel sn: ls usuaris COSO sn rientads fuertemente sbre el cntrl intern, gestión de riesgs, fraudes, ética empresarial; así tambien tiene un fuerte enfque en la publicación de estads financiers cnfiables. COSO tiene un fuerte enfque en tda la rganización, incluyend guias de cnrl para TI. Desventajas COSO. Cm sus desventajas se puede mensinar que varias guias presentan un grad de dificultad que puede derivar en errres al ejecutar las instruccines. Otra desventaja se presenta en que n se invlucra a la alta gerencia en la decisines de TI. Enfque COSO. El enfque de COSO se desarrlla para tda la rganización. La audiencia a la que está dirigida la nrma es para la alta dirección. ITIL ITIL es un enfque ampliamente adptad para la Gestión de Servicis en el mund. Prprcina un marc práctic y cherente para identificar, planificar, entregar y mantener servicis de TI para el negci. Sn cinc las guías básicas para mapear la ttalidad del cicl de vida del Servici de ITIL, cmienza cn la identificación de las necesidades y ls cnductres de ls requisits de TI de ls clientes, a través del diseñ e implementación del servici en funcinamient y, pr últim, a la fase de seguimient y mejra del servici. (ITIL) 20

34 Objetivs de ITIL. Ofrecer un marc cmún para tdas las actividades que se desarrllen en el departament de TI. Ventajas ITIL. Se establecen punts de acuerd entre las partes invlucradas en ls prcess, de esta manera cada área cnce en dnde empieza y termina su respnsabilidad. Se desarrlla una administración cn un fuerte enfque al cntrl. Ls resultads finales se enfcan a las necesidades del cliente. Tiene flexibilidad de adaptación a las necesidades del cliente. Desventajas ITIL. El tiemp y esfuerz de implementación pueden ser extenss debid a la diversidad de cntrles y enfques que presenta. El entendimient pr parte de ls implementadres puede resultar cmplej, se cnsidera que el entendimient puede resultar cmplej en persnal cn pca experiencia. Enfque ITIL. Administra el cicl de vida de un servici. Su audiencia va desde la dirección, administradres de TI y usuaris. COBIT. El mdel COBIT (Cntrl Objetives fr Infrmatin and Related Technlgies) fue desarrllad pr ISACA. ISACA cmenzó en 1967, en 1969 el grup se frmalizó, incrprándse baj el nmbre de EDP Auditrs Assciatin (Asciación de Auditres de Prcesamient Electrónic de Dats). En 1976 la asciación frmó una fundación de educación para llevar a cab pryects de investigación de gran escala para expandir ls cncimients y el valr en el camp de 21

35 gbiern y cntrl de TI. Cncida cm Infrmatin Systems Audit and Cntrl Assciatin (Asciación de Auditría y Cntrl en Sistemas de Infrmación). (COBIT, s.f.) Objetivs de COBIT. Busca mantener peracines eficientes, manteniend principis de cnfidencialidad, integridad y dispnibilidad de la infrmación, bservand el marc regulatri que se establece para la institución. Ventajas COBIT. Busca cubrir las brechas existentes entre riesgs del negci, necesidades de cntrl y ls aspects técnics. Prprcina infrmación que la institución requiere para cumplir sus bjetivs trabajand de frma crdinada entre la alta dirección y el departament de TI. Ayuda a la alta gerencia a desarrllar un cncimient de ls riesgs de frma fácil y natural. Desventajas COBIT. Es un mdel muy prfund que requiere alt grad de estudi en sus cmpnentes dminis. El persnal que se invlucra puede desertar debid al cncimient tecnlógic que se requiere para establecer el criteri que busca COBIT. Enfque COBIT. Tiene un fuerte enfque para la alta gerencia y el departament de TI, sus dminis desarrllads sn Planear y Organizar, Adquirir e Implementar, Entregar y dar Sprte, Mnitrear y Evaluar. Cmparación entre ls tres mdels: ITIL, COSO, COBIT. Inicialmente se ha elabrad una tabla de pnderación del marc de referencia en dnde se destacan las principales características de un entrn de trabajad de cntrl y se ha pnderad cn un pes de entre cer y un las principales características cuys valres 22

36 sumads determinan un ttal y el prcentaje de imprtancia frente a las demás características. Tabla de Pnderación de Marc de Referencia. Orientad Características Objetivs de cntrl a Negcis y/ Cmpnentes Dminis Aplicación Institucinal Cst de Implementación Facilidad en la interpretación y Aplicación Ttal Prcentaje Prcess Objetivs de Cntrl Orientad a Negcis y/ Prcess Cmpnentes Dminis Aplicación Institucinal Csts de implementación % % % % % Facilidad en la Interpretación y % Aplicación Ttal % En la Tabla Matriz de Decisión, se tabularn ls dats utilizand ls valres btenids en la Tabla de Pnderación y se estableciern valres a cada un de ls mdels cn el bjetiv de realizar una cmparación entre sí, bteniend finalmente un resultad. La escala utilizada fue de 0 a 5, en dnde 0 es el valr más baj y 5 el valr más alt. 23

37 Tabla de Decisión Marc de Referencia. Lenguaje COSO COBIT ITIL Características Prcentaje Valr Ttal Valr Ttal Valr Ttal Objetivs de Cntrl 19% Orientad a Negcis y/ Prcess 17% Cmpnentes Dminis 14% Aplicación Institucinal 19% Csts de implementación 14% Facilidad en la Interpretación y Aplicación 17% Valr Ttal Ls resultads permiten determinar que COBIT cn un valr de 3.93 punts, btuv una valración superir a ITIL y COSO. COBIT se presenta cm un mdel que tiene un fuerte enfque a establecer bjetivs de cntrl integrales. Está rientad fuertemente a las necesidades del negci y a la participación que tiene el negci en cnjunt cn la alta gerencia y TI en la tma de decisines imprtantes. Ls dminis de cntrl tienen un alt grad de desarrll y sn de fácil interpretación. Pr l indicad se determina cm una pción viable, utilizar el marc de trabaj COBIT, que en su versión 4.1 en españl es una herramienta que cumple satisfactriamente para establecer ls cntrles de Auditría Infrmática. 3.3 Determinación Cnceptual de Nivel de Riesg. El riesg se ha determinad que es la prbabilidad de que una amenaza se presente de frma cncreta en un event dentr de la Cperativa. Existen riesgs que pueden causar 24

38 un mayr impact en cas de presentarse, ls riesgs pueden ser ecnómics, de reputación u trs. Para determinar el impact que tienen ls diferentes cntrles de COBIT aplicads a ls prcess Cperativa, tant a nivel de usuaris, prcess y tecnlgía, se ha elabrad una tabla de determinación de riesg. 3.4 Tabla de Determinación de Riesg. Abreviatura Riesg Definición A Alt Es un cntrl que tiene un alt grad de riesg dentr de la Institución, debe ser revisad. M Medi El cntrl tiene una imprtancia mderada, sin embarg se recmienda su verificación a fin de evitar que suba de nivel. B Baj Es un cntrl baj que tiene pca imprtancia para la Institución y de la cual n se requiere revisión. 3.5 Definición de Dminis COBIT. Para gbernar efectivamente TI, es imprtante determinar las actividades y ls riesgs que requieren ser administrads. Nrmalmente se rdenan dentr de dminis de respnsabilidad de plan, cnstruir, ejecutar y mnitrear Planear y Organizar (PO). Este dmini cubre las estrategias y las tácticas, y tiene que ver cn identificar la manera en que TI puede cntribuir de la mejr manera al lgr de ls bjetivs del negci. Además, la realización de la visión estratégica requiere ser planeada, cmunicada y administrada desde diferentes perspectivas. 25

39 3.5.2 Adquirir e Implementar (AI). Para llevar a cab la estrategia de TI, las slucines de TI necesitan ser identificadas, desarrlladas adquiridas así cm implementadas e integradas en ls prcess del negci. Además, el cambi y el mantenimient de ls sistemas existentes está cubiert pr este dmini para garantizar que las slucines sigan satisfaciend ls bjetivs del negci Entregar y Dar Sprte (DS). Este dmini cubre la entrega en sí de ls servicis requerids, l que incluye la prestación del servici, la administración de la seguridad y de la cntinuidad, el sprte del servici a ls usuaris, la administración de ls dats y de las instalacines perativas Mnitrear y Evaluar (ME). Tds ls prcess de TI deben evaluarse de frma regular en el tiemp en cuant a su calidad y cumplimient de ls requerimients de cntrl. Este dmini abarca la administración del desempeñ, el mnitre del cntrl intern, el cumplimient regulatri y la aplicación del gbiern. (COBIT) 3.6 Matriz Dminis Revisión COBIT aplicads a la Cperativa. En base a la tabla de Determinación de Riesg, se han revisad ls prcess del área de tarjeta de débit y el entrn de TI que sprta la administración de este prduct y se han establecid ls cntrles cn calificación A y M que serán revisads en el ejercici de la auditría. Ls cntrles calificads cn B n serán revisads debid a que se cnsidera de un impact al riesg baj. 26

40 Tabla Dminis Revisión COBIT aplicads a la Cperativa. Riesg Dmini COBIT Requiere Revisión A PO1 Definir un Plan Estratégic de TI SI B PO1.1 Administración del valr de TI NO A PO1.2 Alineación de TI cn el negci SI B PO1.3 Evaluación del desempeñ NO actual B PO1.4 Plan estratégic de TI NO B PO1.5 Planes táctics de TI NO B PO1.6 Administración del prtafli de NO TI A PO2 Definir la arquitectura de SI infrmación B PO2.1 Mdel de arquitectura de NO infrmación empresarial B PO2.2 Diccinari de dats NO empresarial y reglas de sintaxis de dats A PO2.3 Esquema de clasificación de SI dats A PO2.4 Administración de la integridad SI M PO3 Determinar la dirección SI tecnlógica B PO3.1 Planeación de la dirección NO tecnlógica B PO3.2 Plan de infraestructura NO tecnlógica B PO3.3 Mnitre de tendencias y NO regulacines futuras B PO3.4 Estándares tecnlógics NO B PO3.5 Cnsej de arquitectura NO M PO4 Definir ls prcess, rganización SI y relacines de TI B PO4.1 Marc de trabaj del prces NO B PO4.2 Cmité estratégic NO B PO4.3 Cmité directiv NO B PO4.4 Ubicación rganizacinal de la NO función de TI B PO4.5 Estructura rganizacinal NO M PO4.6 Rles y respnsabilidades SI B PO4.7 Respnsabilidad de NO aseguramient de calidad de TI B PO4.8 Respnsabilidad sbre el NO 27

41 riesg, la seguridad y el cumplimient B PO4.9 Prpiedad de dats y de NO sistemas B PO4.10 Supervisión NO M PO4.11 Segregación de funcines SI B PO4.12 Persnal de TI NO B PO4.13 Persnal clave de TI NO M PO4.14 Plíticas y prcedimients para SI persnal cntratad B PO4.15 Relacines NO B PO5 Administrar la inversión en TI NO B PO5.1 Marc de trabaj para la NO administración financiera B PO5.2 Priridades dentr del NO presupuest de TI B PO5.3 Prces presupuestal NO B PO5.4 Administración de csts NO B PO5.5 Administración de beneficis NO B PO6 Cmunicar las aspiracines y la NO dirección de la gerencia B PO6.1 Ambiente de plíticas y de NO cntrl B PO6.2 Riesg crprativ y marc de NO referencia de cntrl intern de TI B PO6.3 Administración de plíticas para NO TI B PO6.4 Implantación de plíticas de TI NO B PO6.5 Cmunicación de ls bjetivs y NO la dirección de TI B PO7 Administrar ls recurss humans NO de TI B PO7.1 Reclutamient y retención del NO persnal B PO7.2 Cmpetencias del persnal NO M PO7.3 Asignación de rles SI B PO7.4 Entrenamient del persnal de NO TI B PO7.5 Dependencia sbre ls NO individus B PO7.6 Prcedimients de Investigación NO del persnal B PO7.7 Evaluación del desempeñ del NO emplead B PO7.8 Cambis y terminación de NO trabaj B PO8 Administrar calidad NO B PO8.1 Sistema de administración de NO calidad B PO8.2 Estándares y prácticas de NO calidad 28

42 B PO8.3 Estándares de desarrll y de NO adquisición B PO8.4 Enfque en el cliente NO B PO8.5 Mejra cntinua NO B PO8.6 Medición, mnitre y revisión NO de la calidad A PO9 Evaluar y administrar ls riesgs SI de TI A PO9.1 Alineación de la administración SI de riesgs de TI y del negci M PO9.2 Establecimient del cntext del SI riesg A PO9.3 Identificación de events SI A PO9.4 Evaluación de riegs SI A PO9.5 Respuesta a ls riesgs SI A PO9.6 Mantenimient y mnitre de SI un plan de acción de riesgs B PO10 Administrar pryects NO B PO10.1 Marc de trabaj para la NO administración de prgramas B PO10.2 Marc de trabaj para la NO administración de pryects B PO10.3 Enfque de administración de NO pryects B PO10.4 Cmprmis de ls NO interesads B PO10.5 Estatut de alcance del NO pryect B PO10.6 Inici de las fases del pryect NO B PO10.7 Plan integrad del pryect NO B PO10.8 Recurss del pryect NO B PO10.9 Administración de riesgs del NO pryect B PO10.10 Plan de calidad del pryect NO B PO10.11 Cntrl de cabis del NO pryect B PO10.12 Planeación del pryect y NO métds de aseguramient B PO10.13 Medición del desempeñ, NO reprtes y mnitre del pryect B PO10.14 Cierre del pryect NO A Al1 Identificar slucines SI autmatizadas B Al1.1 Definición y mantenimient de ls NO requerimients técnics y funcinales del negci M Al1.2 Reprte de análisis de riesgs SI B Al1.3 Estudi de factibilidad y NO frmulación de curss de acción alternativs 29

43 B Al1.4 Requerimients, decisión de NO factibilidad y aprbación M Al2 Adquirir y mantener sftware SI aplicativ B Al2.1 Diseñ de alt nivel NO B Al2.2 Diseñ detallad NO B Al2.3 Cntrl y adaptabilidad de las NO aplicacines B Al2.4 Seguridad y dispnibilidad de las NO aplicacines B Al2.5 Cnfiguración e implantación de NO sftware aplicativ adquirid B Al2.6 Actualizacines imprtantes en NO sistemas existentes B Al2.7 Desarrll de sftware aplicativ NO B Al2.8 Aseguramient de la calidad del NO sftware B Al2.9 Administración de ls NO requerimients de aplicacines B Al2.10 Mantenimient de sftware NO aplicativ A Al3 Adquirir y mantener infraestructura SI tecnlógica B Al3.1 Plan de adquisición de NO infraestructura tecnlógica A Al3.2 Prtección y dispnibilidad del SI recurs de infraestructura A Al3.3 Mantenimient de la SI infraestructura M Al3.4 Ambiente de prueba de SI factibilidad M Al4 Facilitar la peración y el us SI M Al4.1 Plan para slucines de SI peración B Al4.2 Transferencia de cncimient a NO la gerencia del negci B Al4.3 Transferencia de cncimient a NO usuaris finales B Al4.4 Transferencia de cncimient al NO persnal de peracines y sprte B Al5 Adquirir recurss de TI NO B Al5.1 Cntrl de adquisición NO B Al5.2 Administración de cntrats cn NO prveedres B Al5.3 Selección de prveedres NO B Al5.4 Adquisición de sftware NO B Al5.5 Adquisición de recurss de NO desarrll B Al5.6 Adquisición de infraestructura, instalacines y servicis relacinads NO 30

44 A Al6 Administrar cambis SI M Al6.1 Estándares y prcedimients SI para cambis M Al6.2 Evaluación de impact, SI prirización y autrización M Al6.3 Cambis de emergencia SI M Al6.4 Seguimient y reprte del estatus SI de cambi B Al6.5 Cierre y dcumentación del NO cambi B Al7 Instalar y acreditar slucines y NO cambis B Al7.1 Entrenamient NO B Al7.2 Plan de prueba NO B Al7.3 Plan de implementación NO B Al7.4 Ambiente de prueba NO B Al7.5 Cnversión de sistema y dats NO B Al7.6 Prueba de cambis NO B Al7.7 Prueba final de aceptación NO B Al7.8 Transferencia a prducción NO B Al7.9 Liberación de sftware NO B Al7.10 Distribución del sistema NO B Al7.11 Registr y rastre de cambis NO B Al7.12 Revisión psterir a la NO implantación M DS1 Definir y administrar ls niveles de SI servici B DS1.1 Marc de trabaj de la NO administración de ls niveles de serbi B DS1.2 Definición de servicis NO B DS1.3 Acuerds de niveles de servici NO B DS1.4 Acuerds de niveles de NO peración M DS1.5 Mnitre y reprte del SI cumplimient de ls niveles de servici B DS1.6 Revisión de ls acuerds de NO niveles de servici y de ls cntrats B DS2 Administrar ls servicis de NO tercers B DS2.1 Identificación de las relacines NO cn tds ls prveedres B DS2.2 Administración de las relacines NO cn ls prveedres B DS2.3 Administración de riesgs del NO prveedr B DS2.4 Mnitre del desempeñ del NO prveedr M DS3 Administrar el desempeñ y la SI capacidad B DS3.1 Planeación del desempeñ y la NO 31

45 capacidad M DS3.2 Capacidad y desempeñ actual SI B DS3.3 Capacidad y desempeñ futur NO B DS3.4 Dispnibilidad de recurss de TI NO B DS3.5 Mnitre y reprte NO A DS4 Garantizar la cntinuidad de ls SI servicis B DS4.1 Marc de trabaj de cntinuidad NO A DS4.2 Planes de cntinuidad de TI SI A DS4.3 Recurss crítics de TI SI M DS4.4 Mantenimient del plan de SI cntinuidad de TI B DS4.5 Pruebas del plan de cntinuidad NO de TI B DS4.6 Entrenamient del plan de NO cntinuidad de TI B DS4.7 Distribución del plan de NO cntinuidad de TI M DS4.8 Recuperación y reanudación de SI ls servicis de Ti M DS4.9 Almacenamient de respalds SI fuera de las instalacines B DS4.10 Revisión pst reanudación NO A DS5 Garantizar la seguridad de ls SI sistemas A DS5.1 Administración de la seguridad SI de TI A DS5.2 Plan de seguridad de TI SI A DS5.3 Administración de identidad SI M DS5.4 Administración de cuentas del SI usuari B DS5.5 Pruebas, vigilancia y mnitre NO de la seguridad B DS5.6 Definición de incidente de NO seguridad A DS5.7 Prtección de la tecnlgía de SI seguridad A DS5.8 Administración de llaves SI criptgráficas A DS5.9 Prevención, detección y SI crrección de sftware malicis A DS5.10 Seguridad de la red SI A DS5.11 Intercambi de dats SI sensitivs B DS6 Identificar y asignar csts NO B DS6.1 Definición de servicis NO B DS6.2 Cntabilización de TI NO B DS6.3 Mdelación de csts y cargs NO B DS6.4 Mantenimient del mdel de csts NO 32

46 B DS7 Educar y entrenar a ls usuaris NO B DS7.1 Identificación de necesidades de NO entrenamient y educación B DS7.2 Impartición de entrenamient y NO educación B DS7.3 Evaluación del entrenamient NO recibid B DS8 Administrar la mesa de servici y NO ls incidentes B DS8.1 Mesa de servicis NO B DS8.2 Registr de cnsultas de NO clientes B DS8.3 Escalamient de incidentes NO B DS8.4 Cierre de incidentes NO B DS8.5 Análisis de tendencias NO B DS9 Administrar la cnfiguración NO B DS9.1 Repsitri de cnfiguración y NO línea base B DS9.2 Identificación y mantenimient NO de elements de cnfiguración B DS9.3 Revisión de integridad de la NO cnfiguración M DS10 Administración de prblemas SI B DS10.1 Identificación y clasificación de NO prblemas M DS10.2 Rastre y reslución de SI prblemas M DS10.3 Cierre de prblemas SI B DS10.4 Integración de las NO administración de cambis, cnfiguración y prblemas M DS11 Administración de la infrmación SI M DS11.1 Requerimients del negci SI para administración de dats M DS11.2 Acuerds de almacenamient SI y cnservación M DS11.3 Sistema de administración de SI librerías de medis A DS11.4 Eliminación SI M DS11.5 Respald y restauración SI M DS11.6 Requerimients de seguridad SI para la administración de dats M DS12 Administración del ambiente SI físic B DS12.1 Selección y diseñ de dats NO B DS12.2 Medidas de seguridad física NO M DS12.3 Acces Físic SI B DS12.4 Prtección cntra factres NO ambientales B DS12.5 Administración de NO 33

47 instalacines físicas B DS13 Administración de peracines NO B DS13.1 Prcedimients e instruccines NO de peracines B DS13.2 Prgramación de tareas NO B DS13.3 Mnitre de la infraestructura NO de TI B DS13.4 Dcuments sensitivs y NO dispsitivs de salida B DS13.5 Mantenimient preventiv del NO hardware M ME1 Mnitrear y evaluar el SI desempeñ de TI B ME1.1 Enfque del mnitre NO M ME1.2 Definición y reclección de SI dats de mnitre M ME1.3 Métd de mnitre SI M ME1.4 Evaluación del desempeñ SI M ME1.5 Reprtes al cnsej directiv y SI a ejecutivs M ME1.6 Accines crrectivas SI B ME2 Mnitrear y evaluar el cntrl NO intern B ME2.1 Mnitrear el marc de trabaj NO de cntrl intern M ME2.2 Revisines de auditría SI M ME2.3 Excepcines de cntrl SI M ME2.4 Aut-evaluación de cntrl SI B ME2.5 Aseguramient del cntrl NO intern B ME2.6 Cntrl intern para tercers NO M ME2.7 Accines crrectivas SI M ME3 Garantizar el cumplimient SI regulatri M ME3.1 Identificar las leyes y SI regulacines cn impact ptencial sbre TI M ME3.2 Optimizar la respuesta a SI requerimients regulatris M ME3.3 Evaluación del cumplimient SI cn requerimients regulatris M ME3.4 Aseguramient psitiv del SI cumplimient ME3.5 Reprtes integrads NO M ME4 Prprcinar gbiern de TI SI B ME4.1 Establecer un marc de trabaj NO de gbiern para TI M ME4.2 Alineamient estratégic SI B ME4.3 Entrega de valr NO B ME4.4 Administración de recurss NO 34

48 M ME4.5 Administración de riesgs SI M ME4.6 Medición del desempeñ SI 35

49 CAPÍTULO IV 4 APLICACIÓN DE LA AUDITORÍA INFORMÁTICA. 4.1 Infrmación Institucinal. La Cperativa de Ahrr y Crédit "Juventud Ecuatriana Prgresista" Ltda., es una entidad dedicada a las finanzas sciales, creada mediante acuerd Ministerial 3310, el 31 de diciembre de 1971 y calificada pr la Superintendencia de Bancs y Segurs cn Reslución SBS , de agst 12 de En la actualidad cuenta cn más de 400 mil scis dueñs de la Cperativa, aprximadamente un 70% de ls misms sn mujeres, vinculadas a diferentes actividades micr prductivas, tant de ls sectres rurales, cm urban marginales. Creada en la parrquia de Sayausí, del cantón Cuenca, prvincia del Azuay, república del Ecuadr, cn la iniciativa de 29 jóvenes, ha incursinad en un sstenid apy creditici a ls segments pblacinales que n tienen acces al crédit de la banca tradicinal, aspect que ha estimulad la aceptación y cnfianza de la gente, alcanzand el primer lugar dentr del Ranking de las cperativas ecuatrianas y actualmente cuenta cn 24 agencias en Azuay, Cañar, El Or, Lja, y Mrna Santiag. Misión. Brindar prducts y servicis financiers de calidad, basads en una cultura rganizacinal dinámica de excelencia y de sólids valres para satisfacer las necesidades de la gente. Visión. Ser la Cperativa de Ahrr y Crédit más imprtante del Ecuadr, cn Scis satisfechs; pr su eficiencia, eficacia y cmprmis scial. Valres Crprativs. Ls valres institucinales, sn expresads diariamente, cn el fin de cumplir ls bjetivs y lgrar el bienestar e igualdad de ls Scis, directivs y clabradres de la Cperativa JEP. 36

50 Cmprmis Puntualidad Slidaridad Trabaj en equip Hnestidad Respnsabilidad Prudencia Financiera Dinamism 4.2 Organigrama Departamental. El departament de Operacines cuenta cn el área de tarjeta de débit que es la encargada de la administración funcinal del prduct tarjeta de débit. 37

51 En el departament de tecnlgía, el área de infraestructura es la encargada de brindar el sprte de tecnlgía que requiere el área de tarjeta de débit, cnfigurand usuaris, segmentand la red e instaland ls aplicativs necesaris para el funcinamient del negci. Identificación de ls Prcess Crítics del Área de Tarjeta de Débit. Dentr del área se tiene establecids ls prcess que rientan e identifican la ejecución de las tareas diarias en la administración del prduct. 38

52 4.3 Prcess Departament de Tarjeta de Débit. Prces Emisión de Tarjeta de Débit. 39

53 Prces Entrega de Tarjeta de Débit. 40

54 Prces Anulación de Tarjeta de Débit. 4.4 Análisis de la Infraestructura Física y Tecnlógica para Tarjeta de Débit. La Cperativa cuenta actualmente cn el prduct de tarjeta de débit de marca JEP card; cuenta cn una infraestructura implementada y en funcinamient. 41

55 4.4.1 Infraestructura de Tecnlgía de la Infrmación. La Cperativa cuenta cn un Switch prpi el cual fue adquirid a la empresa AlexSft S.A. para el prcesamient y emisión de tarjetas de débit prpias. Las funcines del Switch se detallan a cntinuación: Módul de Seguridad Mantenimient de Usuaris Mantenimient de Rles Mantenimient de Transaccines Mantenimient de Oficinas Reinici de Claves Módul de Tarjetas Parámetrs de Bines Parámetrs de Prducts Parámetrs de Csts Parámetrs de Blques Slicitud de Tarjetas Slicitud de Adicinales Suspensión de Tarjetas Suspensines Temprales Mantenimient de Tarjetas Renvación de Tarjetas Recepción de Tarjetas Entrega de Tarjetas Entrega Tarjetas cn Sbre Cambi de Clave Activación de Tarjetas Activación pr Entrega Desblque de Tarjetas Activación de Tarjetas Canceladas Activación de Tarjetas Canceladas pr Deuda Cnsulta de Tarjetas Cnsulta de Adicinales 42

56 Reimpresión de Dcuments Reprte tarjetas Blqueadas Reprte tarjetas Canceladas Emisión masiva Mantenimient de Cups Cálcul de csts Módul de ATM s Ingres y mantenimient de Cajers Autmátics Cnsulta ATM s Cntacts Relacinar ATM s-cntacts Relacinar Usuaris a Cajers Start-Stp Cajers Generar archiv de aquerencia Cntacts Relacinar ATM s-cntacts Cmpilar Imágenes Análisis TraficLOG Cnsulta de Transaccines Cnsulta de Jurnal Transaccines sin Cnfirmación en Cajers Cnsulta de Switch Cnsulta de Ltes Errres en dispensad Reprte de Transaccines Históric de Cmpensación Infrme Transaccinal Apertura ATM Adicinar diner ATM Cerrar ATM Resumen Dispensad Emisión de Ttales Verificación de cuadres 43

57 Retir Efectiv gavetas Ttales cierre físic Módul de Seguridad Generación de Keys Activación de Keys Cnsultas de LOGs Impresión de Sbres Estad de Keys Administración Parámetrs Generales Parámetrs Extreme Rute para Cajers Tablas Generales Mantenimient ATM-BIN Infraestructura de Hardware: Equips, Características Técnicas. El Switch de la Cperativa cuenta cn equips virtualizads sbre un clúster cn infraestructura VMWARE, ls equips que cnfrman el clúster sn Blade XH5 de 12 cres cn prcesadr Xen E Infraestructura de Sftware: Versines, Licencias. Sftware Base: Sistemas Operativs, Sftware de Seguridad. Servidr de cmunicacines: Windws Server 2003 Enterprise Servidr de Base de Dats: Windws Server 2008 R2 Servidr Web: Windws Server 2008 R2 SFTP para el intercambi de infrmación cn BANRED ON2 para el intercambi de tramas cn BANRED Firewalls, IDS e IPS instalads en ls punts crítics SQL Server 2008 Enterprise ATM s cn prcesadres Denver y Sierra 44

58 Sftware de Aplicación: Aplicacines, Sistemas Transaccinales. Aplicativ para manej de tarjetas de débit EXTREME. Aplicativ cntrladr de ATM s Agilis V3.0. Antimalware: SafenSft cn certificación PCI Infraestructura de Redes y Cmunicacines: Tplgías, Enlaces, Seguridades, Redes Externas. Aplicativ cn alta dispnibilidad y redundancia en el data center principal de Cuenca y el altern en Azgues. Enlaces de cmunicación redundantes hacia Banred para la interperabilidad cn tarjetas del sistema financier nacinal. Firewall, IPS e IDS checkpint de última generación para el manej de seguridad en ls canales electrónics de la Cperativa. 45

59 4.4.5 Tplgía de la Cperativa. Una vez establecid el entrn auditable de tarjeta de débit en base a ls prcess que se realizan y a la infraestructura de TI, se determinan en la Matriz de Investigación de camp ls cntrles y las técnicas que se utilizarán en la auditría. En la Matriz de Investigación de camp de identifican ls dminis que se van a auditar cn el bjetiv de cntrl determinad pr COBIT, adicinalmente se detalla las herramientas de investigación que se utilizarán durante el desarrll de la auditría. 46

60 4.5 Matriz de Investigación de Camp. Riesg Dmini Objetiv COBIT Vulnerabilidad Herramienta Técnica A PO1.2 Alineación de Ti cn el negci Educar a ls ejecutivs sbre las capacidades tecnlógicas actuales y sbre el rumb futur, sbre las prtunidades que frece TI, y sbre qué debe hacer el negci para capitalizar esas prtunidades. Asegurarse de que el rumb del negci al cual está alinead TI está bien entendid. Las estrategias de negci y de TI deben estar integradas, relacinand de manera clara las metas de la empresa y las metas de TI y recnciend las prtunidades así cm las limitacines en la capacidad actual, y se deben cmunicar de manera amplia. Identificar las áreas en que el negci (estrategia) depende de frma crítica de TI, y mediar entre ls imperativs del negci y la tecnlgía, de tal md que se puedan establecer priridades cncertadas. (COBIT) La estrategia del negci n esté alineada cn la de TI, pr cnsiguiente n se cnsigan ls bjetivs institucinales. N/A 47

61 A PO2.3 Esquema de clasificación de dats Establecer un esquema de clasificación que aplique a tda la empresa, basad en que tan crítica y sensible es la infrmación (est es, pública, cnfidencial, secreta) de la empresa. Este esquema incluye detalles acerca de la prpiedad de dats, la definición de niveles aprpiads de seguridad y de cntrles de prtección y, una breve descripción de ls requerimients de retención y destrucción de dats, además de qué tan crítics y sensibles sn. Se usa cm base para aplicar cntrles cm el cntrl de acces, archiv inscripción. (COBIT) La infrmación crítica puede divulgarse a persnas n autrizadas. N/A A M PO2.4 Administració n de la integridad PO4.6 Rles y respnsabilida des Definir e implementar prcedimients para garantizar la integridad y cnsistencia de tds ls dats almacenads en frmat electrónic, tales cm bases de dats, almacenes de dats y archivs. (COBIT) Definir y cmunicar ls rles y las respnsabilidades para el persnal de TI y ls usuaris que delimiten la autridad entre el persnal de TI y ls usuaris finales y definan las respnsabilidades y rendición de cuentas para alcanzar las necesidades del negci. (COBIT) Fallas en la integridad y cnsistencia de ls dats puede riginar pérdidas al negci. Usuaris y persnal de TI que pueden tener rles y privilegis crítics sin haber sid cmunicads. N/A N/A M PO4.11 Segregación de funcines Implementar una división de rles y respnsabilidades que reduzca la psibilidad de que un sl individu afecte negativamente un prces crític. La gerencia también se asegura de que el persnal realice sl las tareas autrizadas, relevantes a sus Intrusión interna, psible sabtaje de infrmación. Errres invluntaris que afecten ls servicis. Obtención del reprte de usuaris y privilegis módul del sistema. 48

62 puests y psicines respectivas. (COBIT) M A M PO7.3 Asignación de rles PO9.1 Alineación de la administración de riesgs de TI y del negci PO9.2 Establecimien t del cntext del riesg Definir, mnitrear y supervisar ls marcs de trabaj para ls rles, respnsabilidades y cmpensación del persnal, incluyend el requerimient de adherirse a las plíticas y prcedimients administrativs, así cm al códig de ética y prácticas prfesinales. El nivel de supervisión debe estar de acuerd cn la sensibilidad del puest y el grad de respnsabilidades asignadas. (COBIT) Establecer un marc de trabaj de administración de riesgs de TI que esté alinead al marc de trabaj de administración de riesgs de la rganización. (COBIT) Establecer el cntext en el cual el marc de trabaj de evaluación de riesgs se aplica para garantizar resultads aprpiads. Est incluye la determinación del cntext intern y extern de cada evaluación de riesgs, la meta de la evaluación y ls criteris cntra ls cuales se evalúan ls riesgs. (COBIT) Intrusión interna, psible sabtaje de infrmación. Errres invluntaris que afecten ls servicis. El riesg Operativ Integral de la Institución puede mitir la valración de riesg de TI y n tener un plan de cntingencia institucinal. El riesg Operativ Integral de la Institución puede mitir la valración de riesg de TI y n tener un plan de cntingencia institucinal. Obtención de ls Lgs de Auditría y revisión de la bitácra de bservacines en el sistema. N/A N/A A PO9.3 Identificación de events Identificar events (una amenaza imprtante y realista que explta una vulnerabilidad aplicable y significativa) cn un impact ptencial negativ sbre las metas las peracines de la empresa, incluyend aspects de negci, regulatris, legales, tecnlógics, de sciedad cmercial, de Acces de intruss a la red de la Institución. Expltación de vulnerabilidades de puerts. N/A 49

63 A PO9.4 Evaluación de riegs recurss humans y perativs. Determinar la naturaleza del impact y mantener esta infrmación. Registrar y mantener ls riesgs relevantes en un registr de riesgs. (COBIT) Evaluar de frma recurrente la prbabilidad e impact de tds ls riesgs identificads, usand métds cualitativs y cuantitativs. La prbabilidad e impact asciads a ls riesgs inherentes y residuales se debe determinar de frma individual, pr categría y cn base en el prtafli. (COBIT) Ocurrencia de un event de riesg sin que la Institución esté preparada. N/A A PO9.5 Respuesta ls riesgs a Desarrllar y mantener un prces de respuesta a ls riesgs diseñads para asegurar que ls cntrles efectivs en cst mitigan la expsición en frma cntinua. El prces de respuesta a riesgs debe identificar estrategias tales cm evitar, reducir, cmpartir aceptar riesgs; determinar respnsabilidades y cnsiderar ls niveles de tlerancia a riesgs. (COBIT) Ocurrencia de un event de riesg sin que la Institución esté preparada. N/A A PO9.6 Mantenimient y mnitre de un plan de acción de riesgs Pririzar y planear las actividades de cntrl a tds ls niveles para implementar las respuestas a ls riesgs, identificadas cm necesarias, incluyend la identificación de csts, beneficis y la respnsabilidad de la ejecución. Obtener la aprbación para las accines recmendadas y la aceptación de cualquier riesg residual, y asegurarse de que las accines cmprmetidas están a carg del dueñ (s) de ls prcess afectads. Mnitrear la ejecución de ls planes y reprtar cualquier desviación a la alta Ocurrencia de un event de riesg sin que la Institución esté preparada. N/A 50

64 dirección. (COBIT) M A A Al1.2 Reprte de análisis de riesgs Al3.2 Prtección y dispnibilidad del recurs de infraestructura Al3.3 Mantenimient de la infraestructura Identificar, dcumentar y analizar ls riesgs asciads cn ls requerimients del negci y diseñ de slucines cm parte de ls prcess rganizacinales para el desarrll de ls requerimients. (COBIT) Desarrllar una estrategia y un plan de mantenimient de la infraestructura y garantizar que se cntrlan ls cambis, de acuerd cn el prcedimient de administración de cambis de la rganización. Incluir una revisión periódica cntra las necesidades del negci, administración de parches y estrategias de actualización, riesgs, evaluación de vulnerabilidades y requerimients de seguridad. (COBIT) Desarrllar una estrategia y un plan de mantenimient de la infraestructura y garantizar que se cntrlan ls cambis, de acuerd cn el prcedimient de administración de cambis de la rganización. Incluir una revisión periódica cntra las necesidades del negci, administración de parches y estrategias de actualización, riesgs, evaluación de vulnerabilidades y requerimients de seguridad. (COBIT) Ls riesgs de TI pueden tener incidencia negativa en las decisines del negci. Cambis n autrizads en el sistema infrmátic cn prpósits ajens a la necesidad institucinal. Cambis n autrizads en el sistema infrmátic cn prpósits ajens a la necesidad institucinal. N/A N/A N/A M Al3.4 Ambiente prueba de de Establecer el ambiente de desarrll y pruebas para sprtar la efectividad y eficiencia de las pruebas de factibilidad e Manipulación de dats prgramas prductivs pr cambis en ambientes de N/A 51

65 factibilidad integración de aplicacines e infraestructura, en las primeras fases del prces de adquisición y desarrll. Hay que cnsiderar la funcinalidad, la cnfiguración de hardware y sftware, pruebas de integración y desempeñ, migración entre ambientes, cntrl de la versines, dats y herramientas de prueba y seguridad. (COBIT) desarrll vinculads cn ls prductivs. M Al4.1 Plan para slucines de peración Desarrllar un plan para identificar y dcumentar tds ls aspects técnics, la capacidad de peración y ls niveles de servici requerids, de manera que tds ls interesads puedan tmar la respnsabilidad prtunamente pr la prducción de prcedimients de administración, de usuaris y perativs, cm resultad de la intrducción actualización de sistemas autmatizads de infraestructura. (COBIT) Cambis n autrizads en el sistema infrmátic cn prpósits ajens a la necesidad institucinal. N/A M Al6.1 Estándares y prcedimient s para cambis Establecer prcedimients de administración de cambi frmales para manejar de manera estándar tdas las slicitudes (incluyend mantenimient y parches) para cambis a aplicacines, prcedimients, prcess, parámetrs de sistema y servici y, las platafrmas fundamentales. (COBIT) Cambis n autrizads en el sistema infrmátic cn prpósits ajens a la necesidad institucinal. N/A M Al6.2 Evaluación de impact, prirización y autrización Garantizar que tdas las slicitudes de cambi se evalúan de una manera estructurada en cuant a impacts en el sistema peracinal y su funcinalidad. Esta evaluación deberá incluir categrización y prirización de ls cambis. Previ a la migración hacia prducción, ls interesads Cambis n autrizads en el sistema infrmátic cn prpósits ajens a la necesidad institucinal. N/A 52

66 crrespndientes autrizan ls cambis. (COBIT) M Al6.3 Cambis de emergencia Establecer un prces para definir, plantear, evaluar y autrizar ls cambis de emergencia que n sigan el prces de cambi establecid. La dcumentación y pruebas se realizan, psiblemente, después de la implantación del cambi de emergencia. (COBIT) Cambis n autrizads en el sistema infrmátic cn prpósits ajens a la necesidad institucinal. N/A M Al6.4 Seguimient y reprte del estatus de cambi Establecer un sistema de seguimient y reprte para mantener actualizads a ls slicitantes del cambi y a ls interesads relevantes, acerca del estatus del cambi a las aplicacines, a ls prcess, a ls prcedimients, parámetrs del sistema y servici y de las platafrmas fundamentales. (COBIT) Cambis n autrizads en el sistema infrmátic cn prpósits ajens a la necesidad institucinal. N/A M DS1.5 Mnitre y reprte del cumplimient de ls niveles de servici Mnitrear cntinuamente ls criteris de desempeñ especificads para el nivel de servici. Ls reprtes sbre el cumplimient de ls niveles de servici deben emitirse en un frmat que sea entendible para ls interesads. Las estadísticas de mnitre sn analizadas para identificar tendencias psitivas y negativas tant de servicis individuales cm de ls servicis en cnjunt. (COBIT) Ls recurss pueden dejar de funcinar vlverse demasiad lents casinand pérdidas al negci. N/A M DS3.2 Capacidad desempeñ y Revisar la capacidad y desempeñ actual de ls recurss de TI en intervals regulares para determinar si existe suficiente capacidad y Ls recurss pueden dejar N/A de funcinar vlverse demasiad lents 53

67 actual desempeñ para prestar ls servicis cn base en ls niveles de servici acrdads. (COBIT) casinand pérdidas al negci. A DS4.2 Planes de cntinuidad de TI Desarrllar planes de cntinuidad de TI cn base en el marc de trabaj, diseñad para reducir el impact de una interrupción mayr de las funcines y ls prcess clave del negci. Ls planes deben cnsiderar requerimients de resistencia, prcesamient alternativ y, capacidad de recuperación de tds ls servicis crítics de TI. También deben cubrir ls lineamients de us, ls rles y respnsabilidades, ls prcedimients, ls prcess de cmunicación y el enfque de pruebas. (COBIT) Fallas en la dispnibilidad de ls recurss tecnlógics debid a que n se levantan las líneas de cntingencia. N/A A DS4.3 Recurss crítics de TI Centrar la atención en ls punts determinads cm ls más crítics en el plan de cntinuidad de TI, para cnstruir resistencia y establecer priridades en situacines de recuperación. Evitar la distracción de recuperar ls punts mens crítics y asegurarse de que la respuesta y la recuperación están alineadas cn las necesidades priritarias del negci, asegurándse también que ls csts se mantienen a un nivel aceptable y se cumple cn ls requerimients regulatris y cntractuales. Cnsiderar ls requerimients de resistencia, respuesta y recuperación para diferentes niveles de priridad, pr ejempl, de una a cuatr hras, de cuatr a 24 hras, más de 24 hras y para perids crítics de peración del negci. (COBIT) Fallas en la dispnibilidad de ls recurss tecnlógics debid a que n se levantan las líneas de cntingencia. N/A 54

68 M DS4.4 Mantenimient del plan de cntinuidad de TI Exhrtar a la gerencia de TI a definir y ejecutar prcedimients de cntrl de cambis, para asegurar que el plan de cntinuidad de TI se mantenga actualizad y que refleje de manera cntinua ls requerimients actuales del negci. Es esencial que ls cambis en ls prcedimients y las respnsabilidades sean cmunicads de frma clara y prtuna. (COBIT) Fallas en la dispnibilidad de ls recurss tecnlógics debid a que n se levantan las líneas de cntingencia. N/A M DS4.8 Recuperación y reanudación de ls servicis de Ti Planear las accines a tmar durante el períd en que TI está recuperand y reanudand ls servicis. Est puede representar la activación de sitis de respald, el inici de prcesamient alternativ, la cmunicación a clientes y a ls interesads, realizar prcedimients de reanudación, etc. Asegurarse de que ls respnsables del negci entienden ls tiemps de recuperación de TI y las inversines necesarias en tecnlgía para sprtar las necesidades de recuperación y reanudación del negci. (COBIT) Fallas en la dispnibilidad de ls recurss tecnlógics debid a que n se levantan las líneas de cntingencia. N/A M DS4.9 Almacenamie nt de respalds fuera de las instalacines Almacenar fuera de las instalacines tds ls medis de respald, dcumentación y trs recurss de TI crítics, necesaris para la recuperación de TI y para ls planes de cntinuidad del negci. El cntenid de ls respalds a almacenar debe determinarse en cnjunt entre ls respnsables de ls prcess de negci y el persnal de TI. La administración del siti de almacenamient Pérdida de infrmación sensible pr falta de respald en la cntingencia. N/A 55

69 A A DS5.1 Administració n de la seguridad de TI DS5.2 Plan de seguridad de TI extern a las instalacines, debe apegarse a la plítica de clasificación de dats y a las prácticas de almacenamient de dats de la empresa. La gerencia de TI debe asegurar que ls acuerds cn sitis externs sean evaluads periódicamente, al mens una vez pr añ, respect al cntenid, a la prtección ambiental y a la seguridad. Asegurarse de la cmpatibilidad del hardware y del sftware para pder recuperar ls dats archivads y periódicamente prbar y renvar ls dats archivads. (COBIT) Administrar la seguridad de TI al nivel más alt aprpiad dentr de la rganización, de manera que las accines de administración de la seguridad estén en línea cn ls requerimients del negci. (COBIT) Trasladar ls requerimients de negci, riesgs y cumplimient dentr de un plan de seguridad de TI cmplet, teniend en cnsideración la infraestructura de TI y la cultura de seguridad. Asegurar el plan está implementad en las plíticas y prcedimients de seguridad junt cn las inversines aprpiadas en ls servicis, persnal, sftware y hardware. Cmunicar las plíticas y prcedimients de seguridad a ls interesads y a ls usuaris. (COBIT) Afectación al negci pr falta de inclusión de ls riesgs de TI en ls planes administrativs. Afectación al negci pr falta de inclusión de ls riesgs de TI en ls planes administrativs. N/A N/A A DS5.3 Administració n de identidad Asegurar que tds ls usuaris (interns, externs y temprales) y su actividad en sistemas de TI (aplicación de negci, entrn de TI, peración de sistemas, Usuaris cn access a ls aplicativs cn perfiles sensibles cn usuaris claves genéricas. N/A 56

70 desarrll y mantenimient) deben ser identificables de manera única. Permitir que el usuari se identifique a través de mecanisms de autenticación. Cnfirmar que ls permiss de acces del usuari al sistema y ls dats están en línea cn las necesidades del negci definids y dcumentads y que ls requerimients de trabaj están adjunts a las identidades del usuari. Asegurar que ls derechs de acces del usuari se slicitan pr la gerencia del usuari, aprbads pr el respnsable del sistema e implementad pr la persna respnsable de la seguridad. Las identidades del usuari y ls derechs de acces se mantienen en un repsitri central. Se despliegan técnicas efectivas en cste y prcedimients rentables, y se mantienen actualizads para establecer la identificación del usuari, realizar la autenticación y habilitar ls derechs de acces. (COBIT) M DS5.4 Administració n de cuentas del usuari Garantizar que la slicitud, establecimient, emisión, suspensión, mdificación y cierre de cuentas de usuari y de ls privilegis relacinads, sean tmads en cuenta pr un cnjunt de prcedimients de la gerencia de cuentas de usuari. Debe incluirse un prcedimient de aprbación que describa al respnsable de ls dats del sistema trgand ls privilegis de acces. Ests prcedimients deben aplicarse a tds ls usuaris, incluyend administradres (usuaris privilegiads), usuaris externs e interns, para cass nrmales y de Usuaris cn privilegis sensibles que pueden casinar un cmprmis de infrmación ejecutar prcess crítics n autrizads. Obtención de ls reprtes de usuaris del Active Directry: Revisión cn el listad del persnal que ha salid de la Institución. Revisión de ls perfiles y privilegis asignads de acuerd a la psición que cupa el emplead en la Institución. 57

71 emergencia. Ls derechs y bligacines relativs al acces a ls sistemas e infrmación de la empresa deben acrdarse cntractualmente para tds ls tips de usuaris. Realizar revisines regulares de la gestión de tdas las cuentas y ls privilegis asciads. (COBIT) A DS5.7 Prtección de la tecnlgía de seguridad Garantizar que la tecnlgía relacinada cn la seguridad sea resistente al sabtaje y n revele dcumentación de seguridad innecesaria. (COBIT) Cmprmis fuga de infrmación sensible. Escane cn Nmap de puerts de CheckPint 256 y 258 para impedir el manej del Firewall desde el Internet. Verificar que el escane n divulgue infrmación de administración del Firewall. El Firewall está administrad pr ests puerts. A DS5.8 Administració n de llaves criptgráficas Determinar que las plíticas y prcedimients para rganizar la generación, cambi, revcación, destrucción, distribución, certificación, almacenamient, captura, us y archiv de llaves criptgráficas estén implantadas, para garantizar la prtección de las llaves cntra mdificacines y divulgación n autrizadas. (COBIT) Cmprmis cpia de llaves que pnga en riesg la infrmación transmitida almacenada en la Institución. Acces cm usuari administradr al módul de llaves infrmáticas. Establecer que las llaves infrmáticas cumplen el estándar 3DES. Cpia de llaves infrmáticas del módul rigen en un archiv plan. A DS5.9 Prevención, detección y Pner medidas preventivas, detectivas y crrectivas (en especial cntar cn parches de seguridad y cntrl de virus actualizads) Virus sftware malicis que infecte el entrn institucinal y cmprmeta Revisión de ls Sistemas Operativs cn las últimas actualizacines en parches. 58

72 crrección de sftware malicis en tda la rganización para prteger ls sistemas de la infrmación y a la tecnlgía cntra malware (virus, gusans, spyware, crre basura). (COBIT) infrmación afecte al servici. Revisión de lgs de events de ls antivirus. Revisión al muestre de las versines y actualizacines de las bases de dats de ls antivirus en ls cmputadres persnales. A DS5.10 Seguridad de la red Garantizar que se utilizan técnicas de seguridad y prcedimients de administración asciads (pr ejempl, firewalls, dispsitivs de seguridad, segmentación de redes y, detección de intruss) para autrizar acces y cntrlar ls flujs de infrmación desde y hacia las redes. (COBIT) Puerts abierts que permiten a intruss ingresar a la red institucinal, cpiar, alterar atacar la infrmación ls servicis de la Institución. Las redes que n están segmentadas pueden cmpartir archivs de infrmación sensible entre usuaris. Escane de puerts utilizand Nmap. Cnexión pr Telnet entrante a ls puerts abierts. Verificar cnexines SSH slamente entrantes. Verifica que Telnet saliente utilice mecanisms segurs cm encriptación. Verificar que las cnexines web tengan SSL. A DS5.11 Intercambi de dats sensitivs Transaccines de dats sensibles se intercambian sl a través de una ruta medi cn cntrles para prprcinar autenticidad de cntenid, prueba de enví, prueba de recepción y n repudi del rigen. (COBIT) Pérdida divulgación de infrmación sensible. Acces a la red SFTP verificar access, cntraseñas pr defect, verificar que n existan cnexines FTP. 59

73 M M DS10.2 Rastre y reslución de prblemas DS10.3 Cierre de prblemas El sistema de administración de prblemas debe mantener pistas de auditría adecuadas que permitan rastrear, analizar y determinar la causa raíz de tds ls prblemas reprtads cnsiderand: Tds ls elements de cnfiguración asciads. Prblemas e incidentes sbresalientes. Errres cncids y sspechads Seguimient de las tendencias de ls prblemas. (COBIT) Dispner de un prcedimient para cerrar ls registrs de prblemas ya sea después de cnfirmar la eliminación exitsa del errr cncid después de acrdar cn el negci cóm manejar el prblema de manera alternativa. (COBIT) Afectación pr errres prblemas recurrentes sin slución definitiva. Afectación pr errres prblemas recurrentes sin slución definitiva. Revisión de cass levantads en el sistema Help Desk desde la apertura del cas hasta el cierre de ls misms. Revisión de cass levantads en el sistema Help Desk desde la apertura del cas hasta el cierre de ls misms. M DS11.1 Requerimient s del negci para administración de dats Verificar que tds ls dats que se espera prcesar se reciben y prcesan cmpletamente, de frma precisa y a tiemp, y que tds ls resultads se entregan de acuerd a ls requerimients del negci. Las necesidades de reinici y reprces están sprtads. (COBIT) Pérdida de infrmación pr saturación de ls servicis de la Institución. N/A M DS11.2 Acuerds de almacenamie nt y cnservación Definir e implementar prcedimients para el archiv, almacenamient y retención de ls dats, de frma efectiva y eficiente para cnseguir ls bjetivs de negci, la plítica de seguridad de la rganización y ls requerimients regulatris. (COBIT) Pérdida de infrmación sensible pr archivs almacenads innecesariamente. N/A 60

74 M DS11.3 Sistema de administración de librerías de medis Definir e implementar prcedimients para mantener un inventari de medis almacenads y archivads para asegurar su usabilidad e integridad. (COBIT) Pérdida de infrmación sensible pr archivs almacenads sin inventari. M DS11.4 Eliminación Definir e implementar prcedimients para asegurar que ls requerimients de negci para la prtección de dats sensitivs y el sftware se cnsiguen cuand se eliminan transfieren ls dats y/ el hardware. (COBIT) Pérdida de infrmación sensible pr archivs almacenads sin prtección. Ejecutar cmands SELECT SQL a las tablas que almacenan la infrmación de tarjetas de débit: Claves Númers de tarjetas CVV PVV Fecha de expiración. Track 1 Track 2 Nmbres de clientes Cédula de ls clientes Númer de cuenta M DS11.5 Respald restauración y Definir e implementar prcedimients de respald y restauración de ls sistemas, aplicacines, dats y dcumentación en línea cn ls requerimients de negci y el plan de cntinuidad. (COBIT) Pérdida de infrmación sensible pr archivs almacenads innecesariamente. N/A M DS11.6 Requerimient s de seguridad para la administración de dats Definir e implementar las plíticas y prcedimients para identificar y aplicar ls requerimients de seguridad aplicables al recib, prcesamient, almacén y salida de ls dats para cnseguir ls bjetivs de negci, las plíticas de seguridad de la rganización y requerimients Pérdida de infrmación pr prcess débiles en la transmisión, almacenamient y custdia de la infrmación. N/A 61

75 regulatris. (COBIT) M DS12.2 Medidas seguridad física de Definir e implementar medidas de seguridad físicas alineadas cn ls requerimients del negci. Las medidas deben incluir, per n limitarse al esquema del perímetr de seguridad, de las znas de seguridad, la ubicación de equip crític y de las áreas de enví y recepción. En particular, mantenga un perfil baj respect a la presencia de peracines críticas de TI. Deben establecerse las respnsabilidades sbre el mnitre y ls prcedimients de reprte y de reslución de incidentes de seguridad física. (COBIT) Acces de persnas n autrizadas a espacis restringids. N/A M DS12.3 Acces Físic Definir e implementar prcedimients para trgar, limitar y revcar el acces a lcales, edificis y áreas de acuerd cn las necesidades del negci, incluyend las emergencias. El acces a lcales, edificis y áreas debe justificarse, autrizarse, registrarse y mnitrearse. Est aplica para tdas las persnas que accedan a las instalacines, incluyend persnal, clientes, prveedres, visitantes cualquier tercera persna. (COBIT) Acces de persnas n autrizadas a espacis restringids. N/A M ME1.2 Definición y reclección de dats de mnitre Trabajar cn el negci para definir un cnjunt balancead de bjetivs de desempeñ y tenerls aprbads pr el negci y trs interesads relevantes. Definir referencias cn las que cmparar ls bjetivs, e identificar dats dispnibles a reclectar para medir ls bjetivs. Se deben Objetivs de negci incumplids pr falta de infrmación de alerta prtuna sbre prcess crítics. N/A 62

76 establecer prcess para reclectar infrmación prtuna y precisa para reprtar el avance cntra las metas. (COBIT) M ME1.3 Métd mnitre de Garantizar que el prces de mnitre implante un métd (Ej. Balanced Screcard), que brinde una visión sucinta y desde tds ls ánguls del desempeñ de TI y que se adapte al sistema de mnitre de la empresa. (COBIT) Objetivs de negci incumplids pr falta de infrmación de alerta prtuna sbre prcess crítics. Revisión de ls resultads del Balanced Screcard y ls bjetivs planteads para que la tecnlgía apye al negci. M ME1.4 Evaluación del desempeñ Cmparar de frma periódica el desempeñ cntra las metas, realizar análisis de la causa raíz e iniciar medidas crrectivas para reslver las causas subyacentes. (COBIT) Objetivs de negci incumplids pr falta de infrmación de alerta prtuna sbre prcess crítics. N/A M ME1.5 Reprtes al cnsej directiv y a ejecutivs Prprcinar reprtes administrativs para ser revisads pr la alta dirección sbre el avance de la rganización hacia metas identificadas, específicamente en términs del desempeñ del prtafli empresarial de prgramas de inversión habilitads pr TI, niveles de servici de prgramas individuales y la cntribución de TI a ese desempeñ. Ls reprtes de estatus deben incluir el grad en el que se han alcanzad ls bjetivs planeads, ls entregables btenids, las metas de desempeñ alcanzadas y ls riesgs mitigads. Durante la revisión, se debe identificar cualquier desviación respect al desempeñ esperad y se deben iniciar y reprtar las medidas de administración adecuadas. (COBIT) Objetivs de negci incumplids pr falta de infrmación de alerta prtuna sbre prcess crítics. Ver ME

77 M ME1.6 Accines crrectivas Identificar e iniciar medidas crrectivas basadas en el mnitre del desempeñ, evaluación y reprtes. Est incluye el seguimient de td el mnitre, de ls reprtes y de las evaluacines cn: Revisión, negciación y establecimient de respuestas de administración. Asignación de respnsabilidades pr la crrección. Rastre de ls resultads de las accines cmprmetidas. (COBIT) Prcess crítics sin un adecuad seguimient y slución que casinan pérdidas al negci. N/A M ME2.2 Revisines de auditría Mnitrear y evaluar la eficiencia y efectividad de ls cntrles interns de revisión de la gerencia de TI. (COBIT) Prcess crítics sin una adecuada revisión que casinan pérdidas al negci. N/A M ME2.3 Excepcines de cntrl Identificar las excepcines de cntrl, y analizar e identificar sus causas raíz subyacente. Escalar las excepcines de cntrl y reprtar a ls interesads aprpiadamente. Establecer accines crrectivas necesarias. (COBIT) Prcess crítics sin un adecuad seguimient y slución que casinan pérdidas al negci. N/A M ME2.4 Autevaluación de cntrl M ME2.7 Accines crrectivas Evaluar la cmpletitud y efectividad de ls cntrles de gerencia sbre ls prcess, plíticas y cntrats de TI pr medi de un prgrama cntinu de aut-evaluación. (COBIT) Identificar, iniciar, rastrear e implementar accines crrectivas derivadas de ls cntrles de evaluación y ls infrmes. (COBIT) Prcess crítics sin un adecuad seguimient y slución que casinan pérdidas al negci. Prcess crítics sin un adecuad seguimient y slución que casinan pérdidas al negci. N/A N/A 64

78 M M ME3.1 Identificar las leyes y regulacines cn impact ptencial sbre TI ME3.2 Optimizar la respuesta a requerimient s externs Identificar, sbre una base cntinua, leyes lcales e internacinales, regulacines, y trs requerimients externs que se deben de cumplir para incrprar en las plíticas, estándares, prcedimients y metdlgías de TI de la rganización. (COBIT) Revisar y ajustar las plíticas, estándares, prcedimients y metdlgías de TI para garantizar que ls requisits legales, regulatris y cntractuales sn direccinads y cmunicads. (COBIT) Accines prcess que ejecute la empresa sin bservar ls marcs de regulación y que derivan en pérdidas para la Institución. Accines prcess que ejecute la empresa sin bservar ls marcs de regulación y que derivan en pérdidas para la Institución. N/A N/A M ME3.3 Evaluación del cumplimient cn requerimient s externs Cnfirmar el cumplimient de plíticas, estándares, prcedimients y metdlgías de TI cn requerimients legales y regulatris. (COBIT) Accines prcess que ejecute la empresa sin bservar ls marcs de regulación y que derivan en pérdidas para la Institución. N/A M ME3.4 Aseguramient psitiv del cumplimient Obtener y reprtar garantía de cumplimient y adhesión a tdas las plíticas internas derivadas de directivas internas requerimients legales externs, regulatris cntractuales, cnfirmand que se ha tmad cualquier acción crrectiva para reslver cualquier brecha de cumplimient pr el dueñ respnsable del prces de frma prtuna. (COBIT) Accines prcess que ejecute la empresa sin bservar ls marcs de regulación y que derivan en pérdidas para la Institución. N/A M ME4.2 Alineamient estratégic Facilitar el entendimient del cnsej directiv y de ls ejecutivs sbre temas estratégics de TI tales cm el rl de TI, características Prcess de TI debilitads pr falta de invlucramient N/A 65

79 prpias y capacidades de la tecnlgía. Garantizar que existe un entendimient cmpartid entre el negci y la función de TI sbre la cntribución ptencial de TI a la estratégica del negci. Trabajar cn el cnsej directiv para definir e implementar rganisms de gbiern, tales cm un cmité estratégic de TI, para brindar una rientación estratégica a la gerencia respect a TI, garantizand así que tant la estrategia cm ls bjetivs se distribuyan en cascada hacia las unidades de negci y hacia las unidades de TI y que se desarrlle certidumbre y cnfianza entre el negci y TI. Facilitar la alineación de TI cn el negci en l referente a estrategia y peracines, fmentand la c-respnsabilidad entre el negci y TI en la tma de decisines estratégicas y en la btención de ls beneficis prvenientes de las inversines habilitadas cn TI. (COBIT) institucinal. M ME4.5 Administració n de riesgs Trabajar en cnjunt cn el cnsej directiv para definir el nivel de riesg de TI aceptable pr la empresa. Cmunicar este nivel de riesg hacia la rganización y acrdar el plan de administración de riesgs de TI. Integrar las respnsabilidades de administración de riesgs en la rganización, asegurand que tant el negci cm TI evalúen y reprten periódicamente ls riesgs asciads cn TI y su impact en el negci. Garantizar que la gerencia de TI haga seguimient a la expsición a ls riesgs, pniend especial atención en las fallas y debilidades de cntrl Prcess de TI debilitads pr falta de invlucramient institucinal. N/A 66

80 M ME4.6 Medición del desempeñ intern y de supervisión, así cm su impact actual y ptencial en el negci. La psición de riesg empresarial en TI debería ser transparente para tds ls interesads. (COBIT) Cnfirmar que ls bjetivs de TI cnfirmads se han cnseguid excedid, que el prgres hacia las metas de TI cumple las expectativas. Dnde ls bjetivs cnfirmads n se han alcanzad el prgres n es el esperad, revisar las accines crrectivas de gerencia. Infrmar a dirección ls prtaflis relevantes, prgramas y desempeñs de TI, sprtads pr infrmes para permitir a la alta dirección revisar el prgres de la empresa hacia las metas identificadas. (COBIT) Prcess de TI debilitads pr falta de invlucramient institucinal. N/A 67

81 4.6 Actividades de Auditría. En el dcument Plan de Auditría, se establecen ls hraris y crngramas a seguir en el ejercici de la revisión, este dcument ha sid acrdad cn la alta gerencia y distribuid a tds ls invlucrads en el prces de revisión. 4.7 Plan de Auditría. Organización: Dirección: Objetiv de la Auditría: Auditr Líder: Miembrs del equip: Áreas de revisión: Nmenclatura: Cperativa JEP Calle Sucre y General Trres Fechas en siti: 23 Sep 13 al 04 Oct 13 Aplicar una Auditría Infrmática utilizand la metdlgía COBIT para evaluar y determinar el nivel de cumplimient de ls prcess crítics de Tarjeta de Débit que permitan identificar debilidades y emitir recmendacines para minimizar riesgs. Jrge Cárdenas N/A Sftware Alexsft, Servidres, Bases de Dats, Entrn de red cajers ATM, Prcess y Actividades perativas de Tarjeta de Débit. OP: Operacines TI: Tecnlgía de infrmación AE: Auditr Extern Fecha Hra Auditr Área / Prces / Función Cntact 09:00 16:00 16 Oct 2013 JC Reunión de Apertura. OP: Prces Emisión Tarjeta de Débit TI: Infraestructura de red Gerente Sistemas, Gerente Operacines, Jefe Operativ 17 Oct :00 16:00 OP, TI: Módul de Seguridad OP: Prces Emisión Tarjeta de Débit Jefe Operativ, Asistente Operativ, Jefe 68

82 Fecha Hra Auditr Área / Prces / Función Cntact JC (Cntinuación) TI: Arquitectura de red (Cntinuación) OP, TI: Módul de Tarjetas Infraestructura, Asistente Infraestructura 18 Oct :00 16:00 JC OP: Prces Entrega Tarjeta de Débit TI: Arquitectura de red (Cntinuación) OP, TI: Módul de Tarjetas (Cntinuación) Jefe Operativ, Asistente Operativ, Jefe Infraestructura, Asistente Infraestructura 21 Oct :00 16:00 JC OP: Prces Entrega Tarjeta de Débit TI: Gestión de Base de Dats (Cntinuación) OP, TI: Módul de Tarjetas (Cntinuación) Jefe Operativ, Asistente Operativ, Jefe Infraestructura, Asistente Infraestructura 22 Oct :00 16:00 JC OP: Prces Anulación Tarjeta de Débit TI: Gestión de Base de Dats (Cntinuación) OP, TI: Módul de ATMs Jefe Operativ, Asistente Operativ, Jefe Infraestructura, Asistente Infraestructura 23 Oct :00 16:00 JC OP: Prces Anulación Tarjeta de Débit TI: Cmunicación de red OP, TI: Módul de ATMs (Cntinuación) Jefe Operativ, Asistente Operativ, Jefe Infraestructura, Asistente Infraestructura 24 Oct Oct :00 16:00 09:00 16:00 JC JC TI: Cmunicación de red (Cntinuación) OP, TI: Módul de ATMs (Cntinuación) OP, TI: Módul de seguridad Jefe Operativ, Asistente Operativ, Jefe Infraestructura, Asistente Infraestructura. Jefe Operativ, Asistente Operativ, Jefe Infraestructura, Asistente 69

83 Fecha Hra Auditr Área / Prces / Función Cntact Infraestructura. 28 Oct Oct :00 16:00 09:00 16:00 JC JC OP, TI: Módul de Administración de parámetrs generales Reunión Cierre Revisión de hallazgs, crreccines Actividades prpias del Auditr Jefe Operativ, Asistente Operativ, Jefe Infraestructura, Asistente Infraestructura. Gerente Sistemas, Gerente Operacines, Jefe Operativ Ntas: Ls auditres se pdrían cambiar adicinar ls elements indicads antes durante la auditría, dependiend de ls resultads de la investigación en siti. 4.8 Hallazgs de Auditría. Ls hallazgs de la auditría se detallan en la Matriz de Hallazgs, cn su respectiva evidencia. Se ha establecid ls niveles de madurez cn ls que se valrará a ls cntrles, la tabla de madurez recmienda COBIT cm un mdel genéric a seguir. 70

84 4.8.1 Herramientas Técnicas Utilizadas y Resultads Obtenids. PO4.11 Segregación de funcines. Figura 1. Reprte de Usuaris y Privilegis. PO7.3 Asignación de rles. Figura 2. Lg de Auditria. 71

85 DS5.4 Administración de cuentas del usuari. Figura 3. Reprtes de usuaris del Active Directry. DS5.7 Prtección de la tecnlgía de seguridad Figura 4. Ping a la red para btener la IP. 72

86 Figura 5. Escane a ls puerts 256 y 258 utilizand Nmap. Nta Evidencia: N se encuentran ls puerts abierts. Figura 6. Verificación de puerts cerrads cn Nmap. 73

87 Figura 7. Intent de cnexión Telnet a ls puerts 256 y 258 n exitss. DS5.8 Administración de llaves criptgráficas. Figura 8. Acces al módul de llaves infrmáticas. Nta Evidencia: Llaves ingresadas pr sftware y editables. Cmpnentes 1, 2 y 3 74

88 Figura 9. Cnsulta Lg Llaves Infrmáticas. DS5.9 Prevención, detección y crrección de sftware malicis. Figura 10. Revisión de Cnfiguración de Antivirus. 75

89 . Revisión de Cnfiguración de Antivirus. Figura 12. Revisión de Events de Antivirus. 76

90 Figura 13. Revisión de Prtección de Antivirus. DS5.10 Seguridad de la red. Figura 14. Escane de puerts utilizand Nmap. Figura 15. Verificación de abierts utilizand Nmap. 77

91 Nta Evidencia: Se determina que están abierts ls puerts 80 y 443, que sn ls que generalmente están abierts. Figura 16. Intent de cnexión Telnet a ls puerts 80 y 443 abierts. Nta Evidencia: Las cnexines sn rechazadas. Figura 17. Verificación de SSL en la página transaccinal. Presenta HTTPS. DS11.4 Eliminación 78

92 Figura 18. Verificación de tablas SQL a revisar. Nta Evidencia: Se ejecutan cmands SELECT SQL a las tablas que almacenan la infrmación de tarjetas de débit. 79

93 Figura 19. Cnsulta de Clave de Tarjeta. Nta Evidencia: La clave de la tarjeta se puede btener en clar pr pantalla. Figura 20. Cnsulta SQL pr Tarjeta. Se seleccinan siete tarjetas que realizarn transaccines. 80

94 Figura 21. Almacenamient infrmación sensible. Nta Evidencia: Se verifica que se almacena infrmación sensible del Track1, Track1, Seguridad. Figura 22. Cnsulta SQL pr Cuenta. Nta Evidencia: Se seleccinan 6 Cuentas que realizarn retirs de ATM. Se verifica que se almacena la fecha de caducidad. ME1.3 Métd de mnitre. Figura 23. Mnitre Balanced Screcard en apy al negci. 81

POLÍTICA SISTEMA DE GESTIÓN INTEGRAL DE RIESGO. FIN-PC-64 1 Responsable VICEPRESIDENCIA FINANCIERA Vigente desde Tipo de Política Febrero 2014

POLÍTICA SISTEMA DE GESTIÓN INTEGRAL DE RIESGO. FIN-PC-64 1 Responsable VICEPRESIDENCIA FINANCIERA Vigente desde Tipo de Política Febrero 2014 Nmbre de la Plítica POLÍTICA SISTEMA DE GESTIÓN INTEGRAL DE RIESGO. Códig Versión FIN-PC-64 1 Respnsable VICEPRESIDENCIA FINANCIERA Vigente desde Tip de Plítica Febrer 2014 I. OBJETIVO Definir y reglamentar

Más detalles

Plan de Seguridad Informática para una Entidad Financiera. Córdova Rodríguez, Norma Edith. INTRODUCCIÓN

Plan de Seguridad Informática para una Entidad Financiera. Córdova Rodríguez, Norma Edith. INTRODUCCIÓN INTRODUCCIÓN Ls events mundiales recientes han generad un mayr sentid de urgencia que antes cn respect a la necesidad de tener mayr seguridad - física y de tr tip. Las empresas pueden haber refrzad las

Más detalles

Soportando y Auditando la Gestión de la Continuidad del Negocio (BCM)

Soportando y Auditando la Gestión de la Continuidad del Negocio (BCM) Sprtand y Auditand la Gestión de la Cntinuidad del Negci (BCM) A partir de ls estándares: ISO/IEC 27002:2005 ISO/IEC 27001:2005 Alejandr Cerez H. ISACA Capítul Mnterrey Agenda Definición de SGSI (Sistema

Más detalles

TEMARIO 5 Proceso contable. Sesión 5. Sistematización de la Contabilidad

TEMARIO 5 Proceso contable. Sesión 5. Sistematización de la Contabilidad TEMARIO 5 Prces cntable Sesión 5. Sistematización de la Cntabilidad 5. Sistematización de la Cntabilidad. INTRODUCCION: El papel de la cntabilidad en la ecnmía mderna es la presentación de estads financiers

Más detalles

Foco en el Cliente - Modelo SIGO (Sistema Integrado de Gestión Organizacional)

Foco en el Cliente - Modelo SIGO (Sistema Integrado de Gestión Organizacional) Fc en el Cliente - Mdel SIGO (Sistema Integrad de Gestión Organizacinal) En la actualidad, satisfacer las necesidades del cliente n es suficiente, es necesari exceder sus expectativas, deleitarls, e inclus

Más detalles

ITSM SOFTWARE. www.espiralms.com info@espiralms.com ProactivaNET

ITSM SOFTWARE. www.espiralms.com info@espiralms.com ProactivaNET ITSM SOFTWARE www.espiralms.cm inf@espiralms.cm PractivaNET ITIL v2 ITIL v3 ISO 20000 ISO 27001 TODAS HABLAN EL MISMO IDIOMA SAM ISO 19770 COBIT ISO 38500 PractivaNET Marcs de referencia para TI Gbernabilidad

Más detalles

Objetivos y Temario CURSO ITIL 2011

Objetivos y Temario CURSO ITIL 2011 Objetivs y Temari CURSO ITIL 2011 OBJETIVOS El bjetiv de este curs sbre ITIL es prprcinar al alumn tdas las claves para un crrect entendimient de ls prcess ITIL 2011 y su rganización. El curs está estructurad

Más detalles

La información no es de valor hasta que un número es asociado con ella. o Benjamín Franklin.

La información no es de valor hasta que un número es asociado con ella. o Benjamín Franklin. Histria de la Medición en el Sftware La infrmación n es de valr hasta que un númer es asciad cn ella. Benjamín Franklin. N puedes cntrlar l que n puedes medir. Si crees que el cst de la medición es alt,

Más detalles

FUNCIONES DE LA ADMINISTRACIÓN DE REDES

FUNCIONES DE LA ADMINISTRACIÓN DE REDES FUNCIONES DE LA ADMINISTRACIÓN DE REDES 1. Cnfiguración Un administradr de red sirve a ls usuaris: crea espacis de cmunicación, atiende sugerencias; mantiene las herramientas y el espaci requerid pr cada

Más detalles

Miembro de Global Compact de las Naciones Unidas - Member United Nations Global Compact SEMINARIOS HERRAMIENTAS COMERCIALES, TEMA:

Miembro de Global Compact de las Naciones Unidas - Member United Nations Global Compact SEMINARIOS HERRAMIENTAS COMERCIALES, TEMA: LAS "REDES SOCIALES" EL NUEVO MODELO DE NEGOCIO ONLINE N. De hras: 8 hras Intrducción Muchas empresas han encntrad en estas cmunidades un canal idóne para cnseguir l que siempre han estad buscand: ser

Más detalles

ADMINISTRACION DATACENTER I

ADMINISTRACION DATACENTER I CURSO ADMINISTRACION DATACENTER I Misión Crítica Relatr Ricard Falcón Versión 2011 Objetivs Entregar ls cncimients necesaris para dar un diagnstic del status al datacenter centr de cmputs de su rganización

Más detalles

CPR010. SISTEMA DE GESTIÓN DE CALIDAD ISO 9001:2000

CPR010. SISTEMA DE GESTIÓN DE CALIDAD ISO 9001:2000 CPR010. SISTEMA DE GESTIÓN DE CALIDAD ISO 9001:2000 DESTINATARIOS El Curs está dirigid a tdas aquellas persnas que desean adquirir ls cncimients necesaris para la implantación del Sistema de Calidad ISO

Más detalles

Contenido. Lineamientos para la gestión de proyectos Versión: 0. 1/oct/2012 Pág. 7

Contenido. Lineamientos para la gestión de proyectos Versión: 0. 1/oct/2012 Pág. 7 Cntenid Intrducción... 2 1. Objetivs... 2 2. Audiencia... 2 3. Lineamients Generales para la creación y administración de crngramas... 3 3.1 Alcance del crngrama... 3 3.3 Marc cnceptual de ls y de ls crngramas...

Más detalles

Política del Sistema de Gestión Integrado

Política del Sistema de Gestión Integrado Plítica del Sistema de Gestión Integrad Ámbar Seguridad y Energía S.L 17/01/2014 La Dirección de ÁMBAR SEGURIDAD Y ENERGÍA S.L., asume, lidera e impulsa la Excelencia en la Gestión a través de su cmprmis

Más detalles

Superintendencia de Puertos y Transporte República de Colombia

Superintendencia de Puertos y Transporte República de Colombia Superintendencia de Puerts y Transprte República de Clmbia NIVEL DE SOPORTE 1: ANEXO TÉCNICO N. 1 Nivel de estudi: Técnic graduad estudiante de sext semestre en adelante de carreras prfesinales en administración

Más detalles

IN3 SIGCam. Sistema Integral de Gestión para Cámaras de Comercio

IN3 SIGCam. Sistema Integral de Gestión para Cámaras de Comercio IN3 SIGCam Sistema Integral de Gestión para Cámaras de Cmerci Investigacines e Innvacines en Infrmática Aplicada, S. A. IN3 C/Prim, 16 A Baj 12003 Castellón Tel. +34 964 72 36 80 Fax +34 964 72 21 34 http://www.in3.es

Más detalles

PROCEDIMIENTO APLICACIÓN DE EVALUACIÓN DE DESEMPEÑO PROCESO GESTIÓN HUMANA

PROCEDIMIENTO APLICACIÓN DE EVALUACIÓN DE DESEMPEÑO PROCESO GESTIÓN HUMANA Página: 1 de 5 1. OBJETIVO Establecer ls lineamients para realizar la evaluación periódica desempeñ pr cmpetencias de ls clabradres cn cntrat labral de la Fundación FES, cn el fin de implementar estrategias

Más detalles

www.espiralms.com info@espiralms.co

www.espiralms.com info@espiralms.co 1 ITSM SOFTWARE www.espiralms.cm inf@espiralms.cm PractivaNET 2 ITIL v2 ITIL v3 ISO 20000 ISO 27001 TODAS HABLAN EL MISMO IDIOMA SAM ISO 19770 COBIT ISO 38500 PractivaNET 3 Marcs de referencia para TI

Más detalles

PÚBLICO. C/Ebanistas, nº 4, Pol. Ind. Urtinsa, 28923 Alcorcón (Madrid) +34. 91.542.18.98 www.construred.com

PÚBLICO. C/Ebanistas, nº 4, Pol. Ind. Urtinsa, 28923 Alcorcón (Madrid) +34. 91.542.18.98 www.construred.com Inscrita en el Registr Mercantil de Madrid, tm 18.197, libr 0, fli 139, sección 8, hja M-315.077, inscripción 1ª. CIF: B-83297366 MS-02 DECLARACIÓN DE POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN C/Ebanistas,

Más detalles

LA DIRECCIÓN GENERAL DE OBRAS PÚBLICAS LLAMA A CONCURSO PARA PROVEER EL CARGO DE: Jefe de Operaciones Honorario Código (JOPER-HON)

LA DIRECCIÓN GENERAL DE OBRAS PÚBLICAS LLAMA A CONCURSO PARA PROVEER EL CARGO DE: Jefe de Operaciones Honorario Código (JOPER-HON) LA DIRECCIÓN GENERAL DE OBRAS PÚBLICAS LLAMA A CONCURSO PARA PROVEER EL CARGO DE: Jefe de Operacines Hnrari Códig (JOPER-HON) Tip de Cntrat: Hnraris Mnt prmedi: $ 2.500.000.- aprx. Vacantes: 1 Lugar de

Más detalles

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER PROGRAMA DE INGENEIRIA DE SISTEMAS ANÁLISIS Y DISEÑO DE SISTEMAS. Enfoques para Modelado del Negocio

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER PROGRAMA DE INGENEIRIA DE SISTEMAS ANÁLISIS Y DISEÑO DE SISTEMAS. Enfoques para Modelado del Negocio MODELO DEL NEGOCIO Intrducción Las Organizacines intentan cnjuntar ds visines para realizar su negci: Visión del negci: Especificar y mejrar sus prcess (análisis del negci) Visión de TI: Infrmatizarls

Más detalles

POLITICA DE ELIMINACION Y DESTRUCCION POLITICA DE ELIMINACION Y DESTRUCCION

POLITICA DE ELIMINACION Y DESTRUCCION POLITICA DE ELIMINACION Y DESTRUCCION Códig POL GSI 033 POLITICA DE ELIMINACION Y DESTRUCCION Tip de Dcument: Códig : POLITICA POL GSI 033 I. AUTORIZACIONES. Área(s) y Puest(s): Nmbre(s) y Firma(s): Elabrad pr: Cnsultr / Extern Manuel Benítez

Más detalles

FICHA TÉCNICA DEPENDENCIA: OFICINA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES

FICHA TÉCNICA DEPENDENCIA: OFICINA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES FICHA TÉCNICA FECHA: 28/04/2014 DEPENDENCIA: OFICINA DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES OBJETO: PRESTAR LOS SERVICIOS DE ADMINISTRACIÓN ESPECIALIZADA Y SOPORTE DE LA PLATAFORMA CENTRAL

Más detalles

Tecnología y arquitectura. Tecnología y Arquitectura. D.R. Universidad TecVirtual del Sistema Tecnológico de Monterrey México, 2012.

Tecnología y arquitectura. Tecnología y Arquitectura. D.R. Universidad TecVirtual del Sistema Tecnológico de Monterrey México, 2012. Tecnlgía y Arquitectura D.R. Universidad TecVirtual del Sistema Tecnlógic de Mnterrey Méxic, 2012. 1 Índice Inici 3 -Intrducción -Objetivs -Temari Tema 1. Autmatización y factres de evaluación.. 4 -Intrducción

Más detalles

Guía Docente 2013-2014. Auditoría

Guía Docente 2013-2014. Auditoría Guía Dcente 2013-2014 Auditría 1. Dats de identificación 2. Descripción y Objetivs Generales 3. Requisits previs 4. Cmpetencias 5. Resultads de aprendizaje 6. Actividades frmativas y metdlgía 7. Cntenids

Más detalles

Administración de Riesgo de Contraparte

Administración de Riesgo de Contraparte Matemáticas Aplicadas Administración de Febrer/Marz 2015 Dieg Jara dieg.jara@quantil.cm.c Matemáticas Aplicadas Administración de Sesión 4: Implementación Marz 2015 Dieg Jara dieg.jara@quantil.cm.c Antes

Más detalles

Elaboró Revisó Aprobó Fecha de aplicación Gerardo Sanchez Nava Antonio Sanchez

Elaboró Revisó Aprobó Fecha de aplicación Gerardo Sanchez Nava Antonio Sanchez EDICION : 3 PAG: 1 DE 6 SITIO : CORPORATIVO 1.- OBJETIVO: Determinar el Prces para realizar el desarrll de, enfcadas a la creación, mdificación y/ mantenimient de prducts. 2.- ALCANCE: Cmité de nuevs prducts,

Más detalles

POSICIONES SUJETAS AL SISTEMA DE REMUNERACIÓN. Elegible a compensación variable con posición de riesgo. Mercado, Liquidez Crédito

POSICIONES SUJETAS AL SISTEMA DE REMUNERACIÓN. Elegible a compensación variable con posición de riesgo. Mercado, Liquidez Crédito BANCO CREDIT SUISSE MÉXICO S.A. POSICIONES SUJETAS AL SISTEMA DE REMUNERACIÓN Puest Directr General Banc Descripción general del puest Respnsable de definir ls bjetivs estratégics, financiers perativs

Más detalles

Universidad Nacional de Tucumán

Universidad Nacional de Tucumán Universidad Nacinal de Tucumán Licenciatura en Gestión Universitaria Asignatura: Taller de Infrmática Aplicada a la Gestión Índice. Ncines Generales. (sistemas, pensamient sistémic, sistemas de infrmación).

Más detalles

FORMULARIO DE SOLICITUD DE SELECCIÓN DE PERSONAL (Requisitos del puesto vacante)

FORMULARIO DE SOLICITUD DE SELECCIÓN DE PERSONAL (Requisitos del puesto vacante) FORMULARIO DE SOLICITUD DE SELECCIÓN DE PERSONAL (Requisits del puest vacante) AREA O DEPARTAMENTO: INGENIERÍA FECHA DE LA PETICIÓN DE BÚSQUEDA: 12/09/2015 FECHA DE INCORPORACIÓN PREVISTA: L antes psible

Más detalles

Cursos Oficiales de ITIL

Cursos Oficiales de ITIL Curss Oficiales de ITIL Intrducción La Bibliteca de Infraestructura de Tecnlgía de Infrmación ITIL (Infrmatin Technlgy Infrastructure Library) es un cnjunt de buenas prácticas recncidas mundialmente para

Más detalles

Dirección General de Tecnologías de la Información (DGTI)

Dirección General de Tecnologías de la Información (DGTI) Dirección General de Tecnlgías de la Infrmación (DGTI) Centr de Csts Dcument Tip IC - Cicl 01 Plítica de cnfiguración de estacines de Trabaj Mviles Fecha Emisión 27 de Juli de 2012 Plítica de cnfiguración

Más detalles

CALIDAD Y NORMAS ISO

CALIDAD Y NORMAS ISO CALIDAD Y NORMAS ISO Deust Frmación es una iniciativa de Grup Planeta para desarrllar un nuev cncept: curss de frmación cntinua especializads, cn servici de cnsulta n-line. El bjetiv de Deust Frmación

Más detalles

NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (UAM)

NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (UAM) NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (UAM) (Cnsej de Gbiern 16 de diciembre de 2005) 1 Este dcument define las nrmas de us y seguridad que deben seguir

Más detalles

Auditoría Continua. Sabino Ramos. Director Regional ACL Services, Ltd.

Auditoría Continua. Sabino Ramos. Director Regional ACL Services, Ltd. Incremente drásticamente su prductividad cn Auditría Cntinua Sabin Rams Directr Reginal ACL Services, Ltd. El Nuev Auditr Intern Encuesta Glbal del IIA del 2010: La exigencia de ls accinistas está cambiand

Más detalles

Propuesta de Comunicación para Tecnimap 2010.

Propuesta de Comunicación para Tecnimap 2010. Prpuesta de Cmunicación para Tecnimap 2010. dkusi: Dkumentu KUdeaketa Sistema Integrala. Sistema Integral de Gestión Dcumental. dkusi es un sistema de gestión de dcuments electrónics y sus metadats, guardads

Más detalles

- Define Plan de actividades a realizar en un plazo determinado. - Asegura disponibilidad de: Repuestos, Herramientas y Equipos de Prueba.

- Define Plan de actividades a realizar en un plazo determinado. - Asegura disponibilidad de: Repuestos, Herramientas y Equipos de Prueba. 1. Para una empresa prveedra de servicis de mantenimient que se rganiza de acuerd a la figura adjunta, de acuerd a l plantead en las diapsitivas del curs y l cmentad en clases indique: i. 2 funcines que

Más detalles

PROCESO: GESTIÓN DE SISTEMAS DE INFORMACIÓN Y TECNOLOGÍA PROCEDIMIENTO: ADMINISTRACIÓN DE REDES Y COMUNICACIONES

PROCESO: GESTIÓN DE SISTEMAS DE INFORMACIÓN Y TECNOLOGÍA PROCEDIMIENTO: ADMINISTRACIÓN DE REDES Y COMUNICACIONES Pág. 1 de 6 1. OBJETIVO Realizar la administración, instalación, adecuación, mnitrización, ampliación, peración y actualización de las redes de cómput para agilizar ls prcess administrativs y misinales

Más detalles

LA MEDICIÓN DEL RETORNO DE LA INVERSIÓN EN CAPACITACIÓN, ES ALGO TANGIBLE? Una Pregunta de Difícil Respuesta. Pablo Bastide

LA MEDICIÓN DEL RETORNO DE LA INVERSIÓN EN CAPACITACIÓN, ES ALGO TANGIBLE? Una Pregunta de Difícil Respuesta. Pablo Bastide LA MEDICIÓN DEL RETORNO DE LA INVERSIÓN EN CAPACITACIÓN, ES ALGO TANGIBLE? Una Pregunta de Difícil Respuesta Pabl Bastide El presente artícul ha sid publicad pr GESTION.ar en la 13 Edición Anual del Reprte

Más detalles

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE UN SERVICIO PARA EL DESARROLLO DE NUEVAS FUNCIONALIDADES EN LOS SISTEMAS DE INFORMACIÓN DE

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE UN SERVICIO PARA EL DESARROLLO DE NUEVAS FUNCIONALIDADES EN LOS SISTEMAS DE INFORMACIÓN DE PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE UN SERVICIO PARA EL DESARROLLO DE NUEVAS FUNCIONALIDADES EN LOS SISTEMAS DE INFORMACIÓN DE APOYO A LA GESTIÓN ADMINISTRATIVA, ASESORÍA JURÍDICA,

Más detalles

PROGRAMA: Propuesta de contenidos, desarrollo de los trabajos. INTRODUCCIÓN Y CONSULTORÍA INICIAL. ÁREA DIRECCIÓN DE PROYECTOS

PROGRAMA: Propuesta de contenidos, desarrollo de los trabajos. INTRODUCCIÓN Y CONSULTORÍA INICIAL. ÁREA DIRECCIÓN DE PROYECTOS PROGRAMA: Prpuesta de cntenids, desarrll de ls trabajs. Semana 1: INTRODUCCIÓN Y CONSULTORÍA INICIAL. ÁREA DIRECCIÓN DE PROYECTOS Aprtación de metdlgías para el análisis del entrn del pryect prpuest en

Más detalles

ANEXO 3: ESTRATIFICACIÓN DE ENTIDADES

ANEXO 3: ESTRATIFICACIÓN DE ENTIDADES ANEXO 3: ESTRATIFICACIÓN DE ENTIDADES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Crdinación de Investigación, Plíticas y Evaluación Prgrama Agenda de Cnectividad Estrategia de Gbiern en línea República de Clmbia

Más detalles

Procedimiento P7-SIS Revisión 2 24-04-13

Procedimiento P7-SIS Revisión 2 24-04-13 Prcedimient P7-SIS Revisión 2 24-04-13 Gestión y mantenimient de Sistemas Objet Describir cóm se gestina y administra tda la infraestructura de sistemas infrmátics del Institut así cm las actividades de

Más detalles

CATÁLOGO DE SERVICIOS Parque Científico y Tecnológico de Gijón C/ Jimena Fernández de la Vega, nº 140 Edificio Asturias - Oficina Nº 0E

CATÁLOGO DE SERVICIOS Parque Científico y Tecnológico de Gijón C/ Jimena Fernández de la Vega, nº 140 Edificio Asturias - Oficina Nº 0E Cnsultría, Auditría y Frmación CATÁLOGO DE S Parque Científic y Tecnlógic de Gijón C/ Jimena Fernández de la Vega, nº 140 Edifici Asturias - Oficina Nº 0E Teléfn: 902 024 736 http://www.sigea.es inf@sigea.es

Más detalles

INSTITUTO FEDERAL DE ACCESO A LA INFORMACION Y PROTECCION DE DATOS

INSTITUTO FEDERAL DE ACCESO A LA INFORMACION Y PROTECCION DE DATOS INSTITUTO FEDERAL DE ACCESO A LA INFORMACION Y PROTECCION DE DATOS RECOMENDACIONES en materia de seguridad de dats persnales. Al margen un sell cn el Escud Nacinal, que dice: Estads Unids Mexicans.- Institut

Más detalles

Nuestro servicio de Outsourcing de Tecnologías de Información

Nuestro servicio de Outsourcing de Tecnologías de Información Nuestr servici de Outsurcing de Tecnlgías de Infrmación Ofrecems un servici integral de Tecnlgía de Infrmación (TI), que incluye persnal perativ y cnsultría, para asegurar que su empresa ptimice ls recurss

Más detalles

AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE AHORRO Y CRÉDITO ALIANZA DEL VALLE LTDA. APLICANDO COBIT 4.0

AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE AHORRO Y CRÉDITO ALIANZA DEL VALLE LTDA. APLICANDO COBIT 4.0 ESCUELA POLITÉCNICA DEL EJÉRCITO CARRERA DE INGENIERÍA DE SISTEMAS E INFORMÁTICA DPTO. DE CIENCIAS DE LA COMPUTACIÓN AUDITORÍA INFORMÁTICA DE LA COOPERATIVA DE AHORRO Y CRÉDITO ALIANZA DEL VALLE LTDA.

Más detalles

Schindler Navigator Book Definiendo las metas. Señalando el camino. Dirección estratégica para el éxito en el mercado de ascensores y escaleras.

Schindler Navigator Book Definiendo las metas. Señalando el camino. Dirección estratégica para el éxito en el mercado de ascensores y escaleras. Schindler Navigatr Bk Definiend las metas. Señaland el camin. Dirección estratégica para el éxit en el mercad de ascensres y escaleras. NuestrCmprmis Querids Clegas, El Mercad glbal de ascensres y escaleras

Más detalles

Calidad de modelos BIM (Building Information Modeling) aplicados al Patrimonio. Universidades de Granada, Jaén y Sevilla

Calidad de modelos BIM (Building Information Modeling) aplicados al Patrimonio. Universidades de Granada, Jaén y Sevilla Calidad de mdels BIM (Building Infrmatin Mdeling) aplicads al Patrimni Universidades de Granada, Jaén y Sevilla 1 2 Calidad de mdels BIM (Building Infrmatin Mdeling) aplicads al Patrimni 3 Agencia de Obra

Más detalles

MEDICIÓN DEL TAMAÑO DEL SOFTWARE EN APLICACIONES SOA CON PUNTOS DE FUNCIÓN COSMIC. Mirella Pérez Falcón

MEDICIÓN DEL TAMAÑO DEL SOFTWARE EN APLICACIONES SOA CON PUNTOS DE FUNCIÓN COSMIC. Mirella Pérez Falcón MEDICIÓN DEL TAMAÑO DEL SOFTWARE EN APLICACIONES SOA CON PUNTOS DE FUNCIÓN COSMIC Mirella Pérez Falcón CONTENIDO Cncepts básics de SOA Principis de SOA Cmpnentes de la arquitectura SOA Tips de servicis

Más detalles

Cambios entre las Normas ISO 9001:2000 e ISO 9001:2008

Cambios entre las Normas ISO 9001:2000 e ISO 9001:2008 Cambis entre las Nrmas e ISO 9001:2008 La siguiente tabla muestra de frma específica ls cambis aprbads en la nrma ISO FDIS 9001:2008. La clumna 3 indica cn una A si el text fue adicinad una S si el text

Más detalles

TÉRMINOS DE REFERENCIA (TDR) CONSULTORÍA PARA SUPERVISIÓN CIVIL

TÉRMINOS DE REFERENCIA (TDR) CONSULTORÍA PARA SUPERVISIÓN CIVIL TÉRMINOS DE REFERENCIA (TDR) 3.03.P02.T03 Rev. 0 CONSULTORÍA PARA SUPERVISIÓN CIVIL 1. Antecedentes y justificación.- La Gerencia de Pryects, para una mejr administración del Área y para la Supervisión

Más detalles

Construcción de un módulo de seguridad integrado en una arquitectura SOA Open Source

Construcción de un módulo de seguridad integrado en una arquitectura SOA Open Source Cnstrucción de un módul de seguridad integrad en una arquitectura SOA Open Surce Víctr Ayllón, Juan Manuel Reina NOVAYRE - www.nvayre.es C/Lenard Da Vinci 18, 5ª Planta Parque Tecnlógic Cartuja - 41092

Más detalles

ITIL Information Technology Infrastructure Library

ITIL Information Technology Infrastructure Library Mund Azul http://www.telefnica.net/web2/igrgavilan ITIL Infrmatin Technlgy Infrastructure Library Abstract ITIL es un cnjunt de mejres prácticas para la gestión de servicis de TI que se está cnslidand

Más detalles

PROCEDIMIENTO DE FORMACION EN PREVENCION DE RIESGOS LABORALES

PROCEDIMIENTO DE FORMACION EN PREVENCION DE RIESGOS LABORALES 1 www.larija.rg Gbiern de La Rija 0 Página 1 de 5 PROCEDIMIENTO DE FORMACION EN PREVENCION DE RIESGOS Realizad pr: Servici de Prevención de Prevención de Riesgs Labrales del SERIS Fecha y firma: Abril

Más detalles

GUIA DE MODELOS INTERNOS. M ª Te r e s a S u á r e z C u e n d i a s

GUIA DE MODELOS INTERNOS. M ª Te r e s a S u á r e z C u e n d i a s GUIA DE MODELOS INTERNOS M ª Te r e s a S u á r e z C u e n d i a s MADRID, 22 OCTOBER 2013 GUÍA DE MODELO INTERNO La guía de mdels interns se aplica a: Prces de pre aplicación para el us de mdel intern

Más detalles

10a Edición Earned Value Management Implementad cn Micrsft Prject Abril 2015 Presencial y Online (en tiemp real, a través de Internet) Earned Value Management Aplicad cn Micrsft Prject Un curs rientad

Más detalles

Experiential MBA OnLine Supply Chain Reaction (Módulo Gestión Cadena de Suministro) Supply Chain Reaction Experiential MBA OnLine.

Experiential MBA OnLine Supply Chain Reaction (Módulo Gestión Cadena de Suministro) Supply Chain Reaction Experiential MBA OnLine. Experiential MBA OnLine Supply Chain Reactin (Módul Gestión Cadena de Suministr) Supply Chain Reactin Experiential MBA OnLine Página: 1/6 Experiential MBA OnLine Supply Chain Reactin (Módul Gestión Cadena

Más detalles

BENEFICIOS Y ANÁLISIS COMPARATIVO DE FUNCIONALIDES SEGÚN VERSIÓN

BENEFICIOS Y ANÁLISIS COMPARATIVO DE FUNCIONALIDES SEGÚN VERSIÓN BENEFICIOS Y ANÁLISIS COMPARATIVO DE FUNCIONALIDES SEGÚN VERSIÓN 2013 Pitbull Keyhlder - Funcinalidades 1. Beneficis Pitbull KeyHlder cntribuye a ptimizar la gestión de cntraseñas de acces de seguridad

Más detalles

Propuesta Servicios de Capacitación. Help Desk Institute Training

Propuesta Servicios de Capacitación. Help Desk Institute Training Prpuesta Servicis de Capacitación Help Desk Institute Training 4/8/2015. Méxic D.F., a 4/8/2015 de 4/8/2015 de Cliente: MEXICO FIRST Asunt: Ctización Curss HDI IT Institute, cm centr ficial de entrenamient

Más detalles

Ciclo formativo de grado medio GESTIÓN ADMINISTRATIVA (2º curso) - Curso 2014/2015 -

Ciclo formativo de grado medio GESTIÓN ADMINISTRATIVA (2º curso) - Curso 2014/2015 - Cicl frmativ de grad medi GESTIÓN ADMINISTRATIVA (2º curs) MÓDULO PROFESIONAL TRATAMIENTO DE LA DOCUMENTACIÓN CONTABLE - Curs 2014/2015-5. CRITERIOS DE EVALUACIÓN. La evaluación del aprendizaje se realizará

Más detalles

Pliego de Bases Técnicas

Pliego de Bases Técnicas Plieg de Bases Técnicas Oficina Técnica ITIL Fecha: Abril 2008 Referencia: 010/2008 EJIE S.A. Mediterráne, 14 Tel. 945 01 73 00* Fax. 945 01 73 01 01010 Vitria-Gasteiz Psta-kutxatila / Apartad: 809 01080

Más detalles

Cómo ofrecer microseguros a las poblaciones pobres. 29 / septiembre / 2013

Cómo ofrecer microseguros a las poblaciones pobres. 29 / septiembre / 2013 Cóm frecer micrsegurs a las pblacines pbres 29 / septiembre / 2013 Nuestr clientes En Cmpartams estams trabajand para pder cntar cn ciertas medicines, que prprcinen elements claves para cncer el estad

Más detalles

Summits ITSM. Buscando problemas: Técnicas para detección y análisis. José Luis Fernández. Alejandro Castro

Summits ITSM. Buscando problemas: Técnicas para detección y análisis. José Luis Fernández. Alejandro Castro Summits ITSM Buscand prblemas: Técnicas para detección y análisis Jsé Luis Fernández Alejandr Castr Buscand prblemas: Técnicas para detección y análisis Speaker Bi & Cmpany Infrmatin Jsé Luis Fernández

Más detalles

Unidad 2 Empresa Empresario

Unidad 2 Empresa Empresario Unidad 2 Empresa Empresari 2.1 Empresa - Organización cm institución. Empresa- Organización: Cncept. Diferencias Una institución es un sistema de nrmas, reglas de cnducta cn la finalidad de satisfacer

Más detalles

MONTAJE Y MANTENIMIENTO DE SISTEMAS Y COMPONENTES INFORMÁTICOS. FP BÁSICA

MONTAJE Y MANTENIMIENTO DE SISTEMAS Y COMPONENTES INFORMÁTICOS. FP BÁSICA MONTAJE Y MANTENIMIENTO DE SISTEMAS Y COMPONENTES INFORMÁTICOS. FP BÁSICA UNIDAD DE TRABAJO Nº 1: Elements básics eléctrics y electrónics - Se han descrit las características de ls elements eléctrics y

Más detalles

SIMASC. Documento de Especificaciones de Arquitectura: Versión 1.1

SIMASC. Documento de Especificaciones de Arquitectura: Versión 1.1 SIMASC Dcument de Especificacines de Arquitectura: Versión 1.1 Revisión Fecha Versión Descripción Autr 21 de Juli de 2015 1.0 21 de Juli de 2015 1.1 Dcumentación prpuesta arquitectura SIMASC Cambis de

Más detalles

PLANIFICACIÓN ESTRATÉGICA DE LA EMPRESA: COMPETITIVIDAD EN LA EMPRESA

PLANIFICACIÓN ESTRATÉGICA DE LA EMPRESA: COMPETITIVIDAD EN LA EMPRESA PLANIFICACIÓN ESTRATÉGICA DE LA EMPRESA: COMPETITIVIDAD EN LA EMPRESA Grad en Administración y Dirección de Empresas Grad en Cntabilidad y Finanzas Grad en Ecnmía Grad en Ecnmía y Negcis Internacinales

Más detalles

CONVOCATORIA START-UP PUCP 2013 BASES

CONVOCATORIA START-UP PUCP 2013 BASES CONVOCATORIA START-UP PUCP 2013 BASES El Centr de Innvación y Desarrll Emprendedr de la Pntificia Universidad Católica del Perú (CIDE-PUCP) cnvca a la cmunidad PUCP a participar del cncurs START-UP PUCP.

Más detalles

(EXPEDIENTE Nº 9/2012) CAPÍTULO I. GENERAL OBJETO DEL PROCEDIMIENTO DE CONTRATACIÓN

(EXPEDIENTE Nº 9/2012) CAPÍTULO I. GENERAL OBJETO DEL PROCEDIMIENTO DE CONTRATACIÓN PLIEGO DE PRESCRIPCIONES TÉCNICAS DEL PROCEDIMIENTO PARA LA CONTRATACIÓN DEL SERVICIO DE IMPLANTACIÓN DE UN GESTOR DE NOTIFICACIONES ELECTRONICAS CON APODERAMIENTO EN 20 ASESORIAS DE EMPRESAS (EXPEDIENTE

Más detalles

Programa de Formación y Preparación a la certificación internacional PMP del PMI.

Programa de Formación y Preparación a la certificación internacional PMP del PMI. Prgrama de Frmación y Preparación a la certificación internacinal PMP del PMI. El principal bjetiv de este prgrama de frmación es que el participante adquiera ls cncimients y habilidades necesarias para

Más detalles

Archivo: Bases Técnico I - Soporte de Sistemas.doc. Asunto: Concurso Técnico l Soporte de Sistemas

Archivo: Bases Técnico I - Soporte de Sistemas.doc. Asunto: Concurso Técnico l Soporte de Sistemas BASES DEL CONCURSO ABIERTO PARA LA PROVISION DE CARGOS DE TECNICO I (ESCALAFON R GRADO 12) A SER DESEMPEÑADOS EN LA DIVISION INFORMATICA DEL PODER JUDICIAL CARGO TECNICO I ESC. R, Grad 12 La presente cnvcatria

Más detalles

SA STRATEGIC ADVISER SUITE

SA STRATEGIC ADVISER SUITE SA STRATEGIC ADVISER SUITE SUITE SA STRATEGIC ADVISER SUITE, sftware de análisis y cntrl de la gestión estratégica, desarrllada atendiend las metdlgías: BSC- Balanced Screcard, GPO- Gestión pr Objetivs,

Más detalles

Tema 45 Grupos de trabajo. WorkFlow 30/05/2011

Tema 45 Grupos de trabajo. WorkFlow 30/05/2011 Tema 45 Grups de trabaj. WrkFlw 30/05/2011 Tema 45. Herramientas de prductividad de grups de trabaj. Fluj de trabaj (WrkFlw), asciación de tareas, actres y events. Flujs reglads. Índice 1 Intrducción...

Más detalles

Recurso Humano Componente Gestión Documental

Recurso Humano Componente Gestión Documental ANEXO 5 - PERFILES MÍNIMOS REQUERIDOS PARA LA PRESTACIÓN DEL SERVICIO Fecha: 14/01/2016 Para la ejecución el cntrat, se ha terminad el siguiente persnal mínim, cn el cual berá cntar el cntratista. Este

Más detalles

Curso de Educación Continua (CEC) GESTIÓN MODERNA DE ALMACENES. Del 23 de febrero al 25 de marzo de 2015 Lunes y miércoles de 19.00 a 22.

Curso de Educación Continua (CEC) GESTIÓN MODERNA DE ALMACENES. Del 23 de febrero al 25 de marzo de 2015 Lunes y miércoles de 19.00 a 22. Centr Integral de Educación Cntinua (CIEC) Curs de Educación Cntinua (CEC) GESTIÓN MODERNA DE ALMACENES Del 23 de febrer al 25 de marz de 2015 Lunes y miércles de 19.00 a 22.00 hras DURACIÓN 21 hras lectivas

Más detalles

RECOMENDACIONES DE PARTICIPACIÓN EN LA CONVOCATORIA DIRIGIDA A ORGANIZACIONES DE LA SOCIEDAD CIVIL Y CENTROS DE INVESTIGACIÓN

RECOMENDACIONES DE PARTICIPACIÓN EN LA CONVOCATORIA DIRIGIDA A ORGANIZACIONES DE LA SOCIEDAD CIVIL Y CENTROS DE INVESTIGACIÓN RECOMENDACIONES DE PARTICIPACIÓN EN LA CONVOCATORIA DIRIGIDA A ORGANIZACIONES DE LA SOCIEDAD CIVIL Y CENTROS DE INVESTIGACIÓN 1.- Cntar cn tds ls requisits que la cnvcatria expresa en su apartad V. Características

Más detalles

Muchas compañías, gobiernos y organizaciones usan variaciones de la metodología Stage-Gate para manejar proyectos largos y complejos.

Muchas compañías, gobiernos y organizaciones usan variaciones de la metodología Stage-Gate para manejar proyectos largos y complejos. CAPITULO I MARCO DE REFERENCIA Selección del Pryect Muchas cmpañías, gbierns y rganizacines usan variacines de la metdlgía Stage-Gate para manejar pryects largs y cmplejs. Algunas características de Stage-Gate

Más detalles

PROGRAMA FORMATIVO AvANZA

PROGRAMA FORMATIVO AvANZA Asesría y Organización de Frmación Cntinua Prgramación páginas web: servidr (PHP) Aplicacines Web Mdalidad: e-learning Duración: 56 Hras Códig: CAT00140 Objetiv Curs de desarrll de aplicacines web. Para

Más detalles

PLATAFORMA TECNOLOGICA EN LINEA DE GESTION DE PROYECTOS DE LA INGENIERÍA INDUSTRIAL

PLATAFORMA TECNOLOGICA EN LINEA DE GESTION DE PROYECTOS DE LA INGENIERÍA INDUSTRIAL Platafrma en línea de Gestión de Pryects PLATAFORMA TECNOLOGICA EN LINEA DE GESTION DE PROYECTOS DE LA INGENIERÍA INDUSTRIAL Para que la realización de un pryect tenga éxit en sus tres bjetivs (calidad,

Más detalles

CONTRATO DEL SERVICIO DE MANTENIMIENTO ANUAL KLIK & SPIK

CONTRATO DEL SERVICIO DE MANTENIMIENTO ANUAL KLIK & SPIK CONTRATO DEL SERVICIO DE MANTENIMIENTO ANUAL KLIK & SPIK Reunids de una parte, SMAIL MANTENIMIENTO DE SISTEMAS, S.L. (en adelante, y baj su marca registrada, Klik & Spik), cn dmicili en Madrid, Claudi

Más detalles

Instrucción de trabajo I7-CYA Revisión 1 01-Feb-10

Instrucción de trabajo I7-CYA Revisión 1 01-Feb-10 Instrucción de trabaj I7-CYA Revisión 1 01-Feb-10 Creación y Activación de usuaris y recurss Objet Describir cm se realiza la creación de nuevs usuaris y recurss de us cmún del Institut, así cm el prces

Más detalles

CURSO: Promotor de Inocuidad de Alimentos (PIA) para la industria. láctea (modalidad e-learning)

CURSO: Promotor de Inocuidad de Alimentos (PIA) para la industria. láctea (modalidad e-learning) CURSO: Prmtr de Incuidad de Aliments (PIA) para la industria láctea (mdalidad e-learning) 1. OBJETIVOS GENERALES Y ESPECÍFICOS DEL CURSO Al finalizar el curs PIA e-learning, el participante será capaz

Más detalles

Programa de Aseguramiento de la Calidad

Programa de Aseguramiento de la Calidad Prgrama de Aseguramient de la Calidad I. Sistema de Cntrl de Calidad 1. Objetiv General Prprcinar una herramienta para ls despachs de cntadres públics y ls prfesinales independientes que facilite el cumplimient

Más detalles

MÁSTER OFICIAL EN GESTIÓN Y DESARROLLO DE LOS RECURSOS HUMANOS FACULTAD DE CIENCIAS DEL TRABAJO DE LA UNIVERSIDAD DE SEVILLA

MÁSTER OFICIAL EN GESTIÓN Y DESARROLLO DE LOS RECURSOS HUMANOS FACULTAD DE CIENCIAS DEL TRABAJO DE LA UNIVERSIDAD DE SEVILLA MÁSTER OFICIAL EN GESTIÓN Y DESARROLLO DE LOS FACULTAD DE CIENCIAS DEL TRABAJO DE LA UNIVERSIDAD DE SEVILLA GUIA PARA LA ELABORACIÓN DE LOS TRABAJOS DE FIN DE MÁSTER (TFM) (CURSO 2014-2015) OBJETIVO DEL

Más detalles

AGRICULTURE SERVICES LIMITED DECLARACION PARA EL DESARROLLO DE CAPACIDADES: EDUCACION Y ENTRENAMIENTO INTERNACIONAL. Quiénes somos?

AGRICULTURE SERVICES LIMITED DECLARACION PARA EL DESARROLLO DE CAPACIDADES: EDUCACION Y ENTRENAMIENTO INTERNACIONAL. Quiénes somos? AGRICULTURE SERVICES LIMITED DECLARACION PARA EL DESARROLLO DE CAPACIDADES: EDUCACION Y ENTRENAMIENTO INTERNACIONAL Quiénes sms? ASL es una cmpañía nezelandesa de servicis prfesinales especializads. Ls

Más detalles

DIPLOMADO EN GESTION DE SEGURIDAD Y SALUD OCUPACIONAL EN EMPRESAS INDUSTRIALES Y MINERAS.

DIPLOMADO EN GESTION DE SEGURIDAD Y SALUD OCUPACIONAL EN EMPRESAS INDUSTRIALES Y MINERAS. 2014 DIPLOMADO EN GESTION DE SEGURIDAD Y SALUD OCUPACIONAL EN EMPRESAS INDUSTRIALES Y MINERAS. FILIAL - AREQUIPA GERENCIA EDUCATIVA DIPLOMADO EN GESTION DE SEGURIDAD Y SALUD OCUPACIONAL EN EMPRESAS INDUSTRIALES

Más detalles

Los recursos formativos a contratar se describen a continuación

Los recursos formativos a contratar se describen a continuación SECRETARIA GENERAL PLIEGO DE PRESCRIPCIONES TÉCNICAS DEL CONTRATO DE SERVICIOS, PROCEDIMIENTO ABIERTO, PARA LA OBTENCIÓN DE RECURSOS FORMATIVOS ON LINE EN SEGURIDAD DEL PACIENTE OBJETO DEL CONTRATO El

Más detalles

\AUDITORIA DE BASE DE DATOS

\AUDITORIA DE BASE DE DATOS \AUDITORIA DE BASE DE DATOS INDICE 01. Intrducción 02. Metdlgías para la auditría de bases de dats. 03. Estudi previ y plan de trabaj. 04. Cncepción de la base de dats y selección del equip. 05. Diseñ

Más detalles

JSC INGENIUM DESARROLLA PARA LOGISTA UNA PLATAFORMA DE RECARGAS MULTISERVICIO Y MULTIOPERADOR

JSC INGENIUM DESARROLLA PARA LOGISTA UNA PLATAFORMA DE RECARGAS MULTISERVICIO Y MULTIOPERADOR Cas de éxit Ret JSC INGENIUM DESARROLLA PARA LOGISTA UNA PLATAFORMA DE RECARGAS MULTISERVICIO Y MULTIOPERADOR Lgista, Operadr lgístic integral líder en España y Prtugal, y un de ls principales en el sur

Más detalles

Legislatura de la Ciudad Autónoma de Buenos Aires ANEXO TECNICO

Legislatura de la Ciudad Autónoma de Buenos Aires ANEXO TECNICO Servici de Asistencia Técnica en Seguridad de la Infrmación OBJETO Y ALCANCE La presente gestión tiene cm bjetiv cntratar un servici de asistencia técnica para frtalecer el Área de Seguridad de la Infrmación

Más detalles

Bacchuss WIPS Introducción a los firewalls de aplicaciones Web...

Bacchuss WIPS Introducción a los firewalls de aplicaciones Web... Bacchuss WIPS Intrducción a ls firewalls de aplicacines Web... 1. Intrducción Un firewall de aplicacines Web (WAF) es un dispsitiv que implementa una serie de plíticas de seguridad pr medi de diferentes

Más detalles

MBA On Line Investment Readiness (Módulo Inversión y Business Plan) Investment Readiness MBA On Line. Página: 1/6

MBA On Line Investment Readiness (Módulo Inversión y Business Plan) Investment Readiness MBA On Line. Página: 1/6 (Módul Inversión y Business Plan) Investment Readiness MBA On Line Página: 1/6 (Módul Inversión y Business Plan) Investment Readiness Inversión y Business Plan Desarrll de un plan de negcis para una cmpañía

Más detalles

PROCEDIMIENTO INFORMATIVO SOBRE EL PROCESO DE TRANSICIÓN DE LA NORMA ISO 9001:2000 A LA NORMA ISO 9001:2008. Ver. 1 FEB. 2009 Página 1 de 14 INDICE

PROCEDIMIENTO INFORMATIVO SOBRE EL PROCESO DE TRANSICIÓN DE LA NORMA ISO 9001:2000 A LA NORMA ISO 9001:2008. Ver. 1 FEB. 2009 Página 1 de 14 INDICE Página 1 de 14 INDICE 1. OBJETO 2. ALCANCE 3. CAMBIOS DE LA 4. CALENDARIO DE ADAPTACION 5. ACLARACIONES Página 2 de 14 1. OBJETO Infrmar a ls clientes de EQA certificads pr la nrma ISO 9001:2000 de ls

Más detalles

REQUISITOS DE ADMISIÓN:

REQUISITOS DE ADMISIÓN: El Institut Tecnlógic de Oaxaca, a través de la División de Estudis de Psgrad e Investigación, INVITA a ls prfesinales del país, a participar en el prces de selección para ingresar al Prgrama de MAESTRÍA

Más detalles

REVISIÓN DE LA NORMA ISO 14001. Sistemas de gestión ambiental. Requisitos con orientación para su uso

REVISIÓN DE LA NORMA ISO 14001. Sistemas de gestión ambiental. Requisitos con orientación para su uso REVISIÓN DE LA NORMA ISO 14001 Sistemas de gestión ambiental. Requisits cn rientación para su us 2014/08/28 El presente dcument ha sid elabrad pr el persnal técnic de la Dirección de Nrmalización de AENOR,

Más detalles

I D E N T I F I C A N D O O P O R T U N I D A D E S D E M E J O R A S

I D E N T I F I C A N D O O P O R T U N I D A D E S D E M E J O R A S I D E N T I F I C A N D O O P O R T U N I D A D E S D E M E J O R A S Y A H O R R O S D E R E C U R S O S D E L A C A R G A B A T C H D E Z / OS Bletín Ener 201 1 Vlumen 1, Nº 1 Intrducción Las rganizacines

Más detalles

CRITERIOS DE EVALUACIÓN

CRITERIOS DE EVALUACIÓN CRITERIOS DE EVALUACIÓN PROGRAMA DE APOYO A PROYECTOS DE INVESTIGACIÓN DE LA CONSEJERÍA DE EDUCACIÓN DE LA JUNTA DE CASTILLA Y LEÓN MODALIDAD B: Grups de investigación nveles LÍNEA 1: Pryects de investigación

Más detalles

A continuación presentamos un posible modelo del contenido de un plan de mercadeo:

A continuación presentamos un posible modelo del contenido de un plan de mercadeo: Mdel del cntenid del plan de mercade Existe una gran variedad de mdels de planes de mercade que reflejan n slamente la rientación y las perspectivas que tienen las empresas de vender en diferentes mercads,

Más detalles

Programa de Apoyo a Iniciativas Sociales

Programa de Apoyo a Iniciativas Sociales Prgrama de Apy a Iniciativas Sciales Bases de la cnvcatria para 2014 La Fundación Diari de Navarra es la institución en que el Grup La Infrmación ha depsitad sus principis y a la que ha encmendad la tarea

Más detalles