GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES AUTOR PABLO ANDRÉS HIDALGO LARA DIRECCIÓN FREDDY ALEXANDER VARGAS BLANCO
|
|
- María Victoria Chávez Arroyo
- hace 8 años
- Vistas:
Transcripción
1 GUÍA METODOLÓGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES AUTOR PABLO ANDRÉS HIDALGO LARA DIRECCIÓN FREDDY ALEXANDER VARGAS BLANCO PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE INGENIERÍA DEPARTAMENTO DE INGENIERÍA DE SISTEMAS BOGOTÁ D.C
2 Contenido 1. OBJETIVO Y ALCANCE Objetivo El control y aseguramiento de Cloud Computing en las PYMES revisara:6 1.2 Alcance... 6 La revisión se enfoca en: INTRODUCCIÓN Propósito Marco de Control Gobierno, Riesgo y Control de TI Responsabilidades de los Profesionales de Control y Aseguramiento de TI CONCEPTOS GENERALES Fundamentos Impactos de cloud computing Riesgos Y Preocupaciones De Seguridad Con Cloud Computing COSO COBIT CARACTERIZACIÓN DE EMPRESAS ESTABLECER REQUERIMIENTOS Escenario Actores Actor Proveedor Actor Cliente Interacción entre Actores en el Control y Aseguramiento de Cloud Computing Responsabilidades de los Actores Encuesta Resultados Requerimientos COMO USAR ESTE DOCUMENTO Pasos del Programa de trabajo Objetivo de Control de COBIT Componentes de COSO Referencias Cruzadas Comentarios Habilidades Mínimas en Control y Aseguramiento
3 6.7 Análisis Control de Madurez COBIT Marco De Control y Aseguramiento GUÍA DE METODOLOGICA DE CONTROL Y ASEGURAMIENTO EN CLOUD COMPUTING PARA PYMES PLANIFICACION Y ALCANCE DEL PROCESO DE CONTROL Y ASEGURAMIENTO GOBIERNO EN CLOUD COMPUTING OPERACIÓN EN CLOUD COMPUTING EVALUACIÓN DE MADUREZ Evaluación De Madurez Vs. Objetivo De Madurez REFERENCIAS Y BIBLIOGRAFÍA Referencias ANEXOS Anexo 1. Encuestas Anexo 2. Diagramas Requerimientos
4 LISTA DE TABLAS Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM Tabla 2 - División de responsabilidades SaaS [Enisa, 2008] Tabla 3 -División de responsabilidades PaaS [Enisa, 2008] Tabla 4 - División de responsabilidades IaaS [Enisa, 2008] Tabla 13 Requerimientos Tabla 14 - Comparación del Control Interno de COSO y del Marco Integrado ERM Tabla 15 - Modelo de Madurez de COBIT [Domenech & Lenis, 2007] Tabla 16 - Evaluación de madurez con Objetivos de Control Cobit [Cobit, 2007]
5 LISTA DE ILUSTRACIONES Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009] Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011] Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010] Ilustración 4 - Que es PaaS? [Keene, 2009] Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009] Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009] Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008] Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] Ilustración 9 - Diagrama Requerimientos Ilustración 10 - Planificación y Alcance del Proceso de Control y Aseguramiento Ilustración 11 - Gobierno de Cloud Computing Ilustración 12 - Operación de Cloud Computing Ilustración 13 - Telaraña Evaluación De Madurez Vs. Objetivo De Madurez
6 1. OBJETIVO Y ALCANCE 1.1 Objetivo El control y aseguramiento de Cloud Computing en las PYMES revisara: Proporcionar a los interesados una evaluación eficiente de los controles internos de Cloud Computing por parte del proveedor de servicios y la seguridad para sus empresas. Identificar las deficiencias de control interno en la empresa Pyme del cliente y su relación con la del proveedor de servicios. Proporcionar a los interesados una evaluación de calidad, con la capacidad de brindar confianza en las certificaciones con las que el proveedor de servicios cuenta en materia de controles internos. (ITIL, COBIT, Norma 27001,etc.) La guía metodológica de control y aseguramiento de Cloud Computing no está diseñada para reemplazar o enfocar el control que se centra en el aseguramiento de una aplicación en específico y excluye la garantía de funcionalidad de una aplicación e idoneidad. 1.2 Alcance La revisión se enfoca en: El impacto del gobierno en Cloud Computing El cumplimiento contractual entre el proveedor del servicios y el cliente Control de problemas específicos en Cloud Computing. Dado que los temas de la revisión se basan en gran medida en la eficacia de los controles generales de TI, es recomendable que estos estudios de control y aseguramiento en las siguientes áreas, sean realizados antes de la ejecución de la revisión de Cloud Computing, para ser empleadas de forma correcta en estas evaluaciones: Gestión de Identidad (Si el sistema de gestión organizacional está integrado con el sistema de Cloud Computing) Gestión de incidentes de seguridad (Para interactuar y gestionar con los incidentes en Cloud Computing) Seguridad de red perimetral (como un punto de acceso a Internet) Desarrollo de Sistemas (en el cual la nube es parte de la infraestructura de las aplicaciones) Gestión de Proyectos Gestión de Riesgos de TI Gestión de datos (para transmisión y almacenamiento de datos en los sistemas de Cloud Computing) Gestión de vulnerabilidades 6
7 2. INTRODUCCIÓN 2.1 Propósito La guía metodológica de control y aseguramiento en Cloud Computing para pymes, es una herramienta para ser usada como una hoja de ruta para la realización de un proceso de aseguramiento especifico. Esta guía está destinada para ser utilizada por profesionales de tecnología de información, control y aseguramiento de TI que cuenten con los conocimientos necesarios de la materia objeto de examen. 2.2 Marco de Control Esta guía de control y aseguramiento ha sido desarrollada y alineada con el marco de COBIT, más exactamente con la versión COBIT 4.1, la cual hace uso de buenas prácticas aceptadas y aplicadas generalmente. La guía refleja secciones de gestión de proyectos en TI, control y aseguramiento de procesos en TI, y gestión de aseguramiento en TI, las cuales con necesarias para entender tanto el marco de COBIT como el entorno en el que se aplicara de Cloud Computing en pequeñas y medianas empresas también conocidas como Pymes [Hidalgo/Caracterización de las empresa Cloud Computing, 2011]. Muchas organizaciones han adoptado diversos marcos a nivel empresarial, incluyendo el Commiitte of Sponsoring Organizations of the Treadway Commission (COSO), Marco de Control Interno. La importancia del marco de control ha aumentado debido a los requerimientos regulatorios de la Comisión de Bolsa y Valores de los Estados Unidos (US Securities and Exchange Commission, SEC), como se indica en la ley de Sarbanes-Oxley del año 2002 y leyes similares en otros países. Teniendo en cuenta que COSO es ampliamente utilizado, ha sido incluido dentro de esta guía de control y aseguramiento. Sin embargo la persona que haga uso de la guía podrá hacer modificaciones del nombre de las columnas para alinearlo con el marco de control y las necesidades de la empresa en la que se encuentre. 2.3 Gobierno, Riesgo y Control de TI Gobierno, riesgo y control de TI son 3 aspectos críticos en el desarrollo de cualquier proceso de gestión del aseguramiento. El gobierno del proceso bajo revisión, será evaluado como parte de las políticas y gestión de controles de supervisión. El riesgo juega un rol importante en la evaluación de lo que se controla y como se gestionan los enfoques y el riesgo, por lo cual ambos asuntos son evaluados como pasos en la guía de control y aseguramiento. Los controles son el punto principal de evaluación en el proceso. La guía de control y aseguramiento identifica los objetivos de control (Procesos de Cobit) y las medidas para determinar el diseño de control y la eficacia. 2.4 Responsabilidades de los Profesionales de Control y Aseguramiento de TI Se espera que los profesionales de control y aseguramiento de la pyme tengan la posibilidad de modificar este documento para el entorno en el cual se encuentran desarrollando y asegurando diferentes tipos de procesos. Este documento será utilizado como herramienta de examen y 7
8 punto de partida en pymes colombianas que estén haciendo uso de Cloud Computing. Además, de acuerdo con ese punto de formalidad esta guía no debe ser entendida como una lista de chequeo o como cuestionario. Se asume que los profesionales de control y aseguramiento tienen la experiencia necesaria para realizar este trabajo, el cual se recomienda este supervisado por un profesional con la experiencia necesaria para darle seguimiento al trabajo realizado en esta guía. 8
9 3. CONCEPTOS GENERALES 3.1 Fundamentos A través de esta sección se hace una introducción a Cloud Computing, su imagen ante el mundo, los desafíos que posee y los controles que se podrían tomar para darle mayor seguimiento y aseguramiento a sus funciones. Últimamente se ha escrito mucho sobre Cloud Computing lo cual permite que cada día se extienda el concepto dentro de la sociedad y aun así, el término sigue siendo confuso para las personas. Es por ello que uno de los objetivos perseguidos por el marco teórico, es ofrecer una visión más general y clara acerca de dicho tema y los retos que debe superar en la actualidad Qué es Cloud Computing? Uno de los temas más confusos que rodean a Cloud Computing Computación en la nube, y sus servicios es la falta de definiciones claras y correctas. Sin embargo en la actualidad se puede contar con la definición aportada por dos grupos que son Instituto Nacional de Estándares y Tecnología (NIST) y La Alianza de Seguridad De Cloud Computing [Mell & Grance, 2009], quienes definen Cloud Computing como un modelo por demanda para la asignación y consumo de un pool compartido de recursos informáticos configurables. Dichos recursos informáticos de la nube se describen por medio de servicios, información, aplicaciones e infraestructura que pueden ser rápidamente aprovisionadas y liberadas con el mínimo esfuerzo de administración o interacción del proveedor del servicio. Otro de los caminos para describir los servicios ofrecidos por la nube es compararla con su utilidad tal como las empresas pagan por luz, agua, gas y otros servicios que usan ahora tienen la opción de pagar por servicios de TI en una base de consumo. La tecnología de Cloud Computing toma influencia de otros modelos que han estado presentes en los últimos años como las novedades más influyentes de las empresas: SaaS o Software como un Servicio: Un modelo de distribución de software a través de la red. Utility Computing: Es el suministro de recursos computacionales, por ejemplo el procesamiento y almacenamiento como un servicio medible. Grid Computing: Esta tecnología permite utilizar de forma coordinada todo tipo de recursos (Almacenamiento, computo, aplicaciones) que no están sujetas a un control central, si no que se hace de forma distribuida. La clave de Grid Computing esta en conectar distintos sistemas para llevar a cabo los objetivos propuestos, a diferencia de Cloud Computing, en el que el usuario tiene conocimientos sobre cómo está dispuesta la infraestructura utilizada. Cloud Computing virtualiza los recursos que ofrece de manera que parezca que el cliente utiliza los suyos propios cuando en realidad esta accediendo a los mismo a través de internet. Gracias a ello puede alojar diferentes tipos de trabajo incluidos procesos batch o aplicaciones interactivas de cara al usuario, permite trabajos que son implementados y escalados de forma rápida a través 9
10 de la cesión de maquinas virtuales o físicas, controlar los recursos en tiempo real para permitir balancear la asignación de tareas cuando sea necesario, entre otro tipo de funciones Características Esenciales En la actualidad el modelo de Cloud Computing tiene 5 características esenciales que los servicios pueden tomar como base para mostrar sus similitudes o diferencias con los otros tipos de estrategias de computación, estas son: Una de las características más importantes de Cloud Computing es el autoservicio por demanda, es decir, que el cliente solo paga por lo que usa, puesto que a las empresas proveedoras se les facilita medir el uso de los recursos ofrecidos al cliente, permitiendo dar un precio, por ejemplo, a la capacidad de almacenamiento usada o al ancho de banda requerido, de forma automática sin tener que estar interactuando con su proveedor de servicios. La segunda característica a tener en cuenta es que toda la infraestructura se basa en el uso de internet por lo cual se da un amplio acceso a la red, el cual permite entre otras cosas la comunicación entre los recursos ofrecidos en hardware o software. El hecho de que funcione de esta manera da una amplia transparencia de los procesos que se llevan a cabo a partir de una necesidad del cliente. Por otro lado el acceso se puede hacer desde cualquier tipo de mecanismo que facilite el uso de las plataformas conectándose a internet Teniendo en cuenta que los recursos se reajustan según la necesidad del cliente, al ir asignando recursos es posible que una aplicación termine ejecutándose en varias maquinas o que una misma máquina lleve a cabo diferentes aplicaciones, es decir, que los recursos del proveedor se ponen en común para el uso de sus clientes. Esto se da gracias a que las aplicaciones se independizan del hardware, se crean maquinas virtuales en las que las aplicaciones realizan sus tareas independientemente de la disposición física de estas. Algunos de los recursos computacionales en las reservas son: Memoria, procesamiento, almacenamiento, maquinas virtuales, etc. Es más, el compartir los recursos entre clientes no impide que haya una amplia rapidez y flexibilidad dentro del sistema, puesto que esto permite redimensionar de forma efectiva el servicio. Usualmente para los clientes, las capacidades ofrecidas por el modelo aparecen ilimitadamente y pueden adquirirse en el momento y cantidad que se necesite. Finalmente se debe tener en cuenta el aspecto de servicio de vigilancia o supervisión, por medio del cual los recursos de Cloud Computing se controlan y optimizan de forma automática, haciendo uso de capacidades de evaluación según sea el tipo de servicio que se esté brindando al cliente. Debido a las características mencionadas, las cuales el proveedor está en la obligación de cumplir frente a sus clientes, en especial en mantener la congruencia de los datos, fiabilidad de las aplicaciones, toda la información es almacenada de forma redundante en backups que se utilizarían en algún caso de fallo. 10
11 3.1.3 Modelos de Servicio en la Nube Cloud Computing tiene una arquitectura de tres capas y cada una de estas se trata a su vez de otra tecnología proveedora de servicios ya existente con anterioridad, de esta manera vistas de forma individual o combinada forman las capas de servicio ofrecidas por Cloud Computing. Usualmente se conoce también como el Modelo SPI, donde cada sigla de la palabra hace referencia a las capas de servicio de Cloud Computing Software, Plataforma e Infraestructura (como un servicio). A continuación, La ilustración mostrar la arquitectura de Cloud Computing de forma más clara [Gutiérrez J, 2010]: Ilustración 1 - Arquitectura del Cloud Computing [Wolf, 2009] Software as a Service (SaaS) Es un modelo de distribución de software en el que la empresa proveedora aporta el servicio de operación diaria, mantenimiento y soporte del software solicitado por el cliente, es decir, que el cliente obtiene las aplicaciones que necesita, la lógica de su o sus negocios, en una tercera empresa a la que contrata. El servidor central se encontrara en la infraestructura de la nube propiedad del proveedor, no del cliente. El acceso a las aplicaciones se puede hacer a través internet por medio de una interfaz ligera y fácil de utilizar como un navegador web. Es importante tener en cuenta que los usuarios hacen uso de las mismas aplicaciones y comparten recursos, por lo cual es evidente que dichos programas deben tener las condiciones necesarias para trabajar de forma simultánea o concurrente con un alto número de usuarios [Piebalgs, 2010]. En la siguiente imagen se puede ver un ejemplo del funcionamiento de esta capa: 11
12 Ilustración 2 - Funcionamiento de SaaS [Parallels, 2011] Los clientes, que normalmente son empresas realizan un pago para acceder a unos servicios o aplicaciones que son suministradas por una empresa externa, que a su vez compra los programas necesarios para el funcionamiento a una tercera empresa. El concepto de SaaS es fácilmente confundible con Cloud Computing, ya que ambos pueden tener los mismos objetivos, sin embargo, Cloud Computing hace referencia al uso de servicios tecnológicos a través de internet, pudiendo ser estos aplicaciones, almacenamiento, procesamiento, etc., por otro lado SaaS simplemente ofrece el uso de software a través de la red. Una aplicación SaaS se podrá encontrar en cuatro de los siguientes niveles definidos [Gutiérrez J, 2010]: Nivel 1: Modelo ASP (Application Service Provider). El cliente aloja el software o aplicación en un servidor externo. Cada uno de los usuarios tiene su propia versión de la aplicación e implementa su propia instancia, en el mismo servidor en la que lo aloja. Nivel 2: Configurable. Cada usuario cuenta con su propia instancia de la aplicación, cuentan con el mismo código pero se encuentran aisladas unas de otras. Este nivel facilita el mantenimiento del software. Nivel 3: Configurable Multi-usuario. Se añade la capacidad de tener una sola instancia para todos los clientes, aunque se personaliza para cada uno de ellos. Los controles de la aplicación se realiza a través de permisos que restringen el acceso a ciertas partes de la aplicación e información del mismo. El mantenimiento se facilita aun más al tener tan solo una instancia con la cual trabajar, así como reducción de costos y espacio para disponer de almacenamiento suficiente para todas las instancias, como sucedía en los casos anteriores. Nivel 4: Configurable Multi-usuario Escalable. Se tiene un conjunto de instancias de la aplicación que se utiliza según las necesidades, dando atención al número de clientes que estén usando el software, de esta forma el sistema se hace escalable a un número indeterminado de clientes evitando tener que rediseñarlo. 12
13 Ilustración 3 - Niveles de Madurez SaaS [Gutiérrez J, 2010] Platform as a Service (PaaS). El modelo PaaS, consiste en ofrecer la infraestructura requerida al cliente, en la cual este podrá desarrollar e implantar sus aplicaciones Web, usualmente aplicaciones SaaS, sin tener que contar con el software y equipos necesarios para realizar dicho desarrollo. Paas incluye todas las facilidades al programador para diseñar, analizar, desarrollar, documentar y poner en marcha las aplicaciones, todo en un solo proceso. Además brinda el servicio de integración de la base de datos, escalabilidad, seguridad, almacenamiento, backups y versiones, habilitando de esta manera la posibilidad de realizar trabajos colaborativos. [Gutiérrez A, 2009] Una mejor forma para visualizar PaaS, la veremos en la siguiente ilustración Ilustración 4 - Que es PaaS? [Keene, 2009] 13
14 Dentro de las características a tener en cuenta sobre PaaS, se pueden observar las siguientes [Keene, 2009]: Gestión Integrada: Se ofrecen herramientas de gestión integradas en la etapa de desarrollo. Herramientas de desarrollo multi-usuario: las herramientas proporciona la empresa proveedora permiten múltiples usuarios para el desarrollo de las aplicaciones. Cada uno de los usuarios podrá tener a su vez, varios proyectos abiertos en los que trabajar. Arquitectura Multi-usuario: Los servicios proporcionados mediante PaaS aseguran que el sistema desarrollado podrá ser accedido por un número ilimitado de usuarios, garantizando la escalabilidad del sistema. El pago del sistema se realiza mediante facturas en las que se paga por lo que se usa. El desarrollo se realiza a través de los servicios ofrecidos por el proveedor, el cual proporciona las herramientas de desarrollo que no es necesario que el cliente instale en su equipo. El despliegue de la aplicación lo realiza el cliente por medio de las herramientas proporcionadas por el proveedor, no es necesario contactar ningún intermediario que despliegue el sistema. Tal cual como en los demás modelos como un Servicio, las ventajas se basan en no tener que hacer la inversión en la compra de equipos y software necesarios para llevar a cabo el desarrollo de las aplicaciones de este estilo. Por si fuera poco, el proveedor de PaaS toma la responsabilidad de costear las actualizaciones, parches, sistemas operativos, etc., y el cliente sigue pagando por el consumo de lo que hace, no por la infraestructura que tal vez ni utilice en su totalidad. Por otro lado encontramos la desventaja de la dependencia del cliente al buen estado de internet, pues si este falla el no podrá utilizar sus aplicaciones. Esto eventualmente produce miedo por parte de los clientes de no tener acceso a su propia información o de que personas ajenas tengan acceso a esta de alguna u otra forma. Infrastructure as a Service (IaaS). El modelo IaaS ofrece la capacidad de cómputo a un cliente mediante sistemas virtualizados a través de Internet. Esta capacidad de cómputo incluye almacenamiento, hardware, servidores y equipamiento de redes. El proveedor se hace responsable de toda la infraestructura y de que el funcionamiento sea el deseado y requerido por el cliente, de tal manera que no se generen fallos de ningún tipo, incluyendo fallos de seguridad [Computing, 2009]. El cliente paga por la cantidad de espacio que esté usando, el número de servidores que estén a su disposición, etc. Dentro de las principales características del modelo IaaS, encontramos: Un acuerdo de nivel de servicio (SLA) entre el proveedor y el cliente para acordar cuales serán las condiciones del contrato para ambos. Pago según el uso de capacidades computacionales ofrecidas por el proveedor. El ambiente proporcionado por el proveedor será en forma de maquinas virtuales. El proveedor se encargará de ofrecer todo el hardware requerido para satisfacer las necesidades del cliente. Incluyendo opciones para escalabilidad de las aplicaciones 14
15 El proveedor se encargará de ofrecer todo el software requerido para mantener las necesidades del cliente, como firewalls, balanceo de carga entre servidores, sistemas operativos, etc. El proveedor estará en la capacidad de asegurar al cliente una conectividad a internet sin problemas, con backups de seguridad que garanticen la integridad de los datos. Data Storage as a Service (DaaS). El almacenamiento de datos como servicio es una capa que se encarga de ofrecer la gestión y el mantenimiento completos de los datos manejados por los clientes. Trabaja en conexión con IaaS, [SNIA, 2009] Communications as a Service (CaaS). La capa de Comunicaciones como un Servicio trabaja de igual manera que DaaS, en el mismo nivel de IaaS [Grassi, 2011]. Este modelo se encarga de proveer el equipamiento necesario de redes y la gestión de las comunicaciones, como el balanceo de carga. Software Kernel. Esta capa gestiona la parte física del sistema. Controla los servidores a través de los sistemas operativos instalados, el software que permite la virtualización de las máquinas, la gestión de los clusters y del grid, etc.[wolf, 2009] Hardware as a Service (HaaS). HaaS es la capa de más bajo nivel en el modelo de Cloud Computing. Trata la parte física de los elementos necesarios para trabajar a través de internet, consistiendo estos en centros con maquinas que ofrecen la computación, almacenamiento, servidores, etc.[wolf, 2009] Modelos de Despliegue de Cloud Computing Según el Instituto Nacional de Estándares y Tecnología (NIST) existen cuatro modelos de despliegue de Cloud Computing [Mell & Grance, 2009]: Cloud Publica: Los servicios de Cloud Publica se caracterizan por estar disponibles para los clientes por medio del proveedor a través de internet. El ser pública no implica totalmente ser gratis, pero se puede dar el caso. De igual forma, el término público tampoco implica que el acceso sea libre, pues la mayoría de los casos requiere de autenticaciones para hacer uso de los servicios suministrados, además proporciona un medio flexible y rentable para el desarrollo de soluciones para los clientes. Cloud Privada: Este modelo ofrece muchos de los beneficios de un Cloud pública. La diferencia entre ambas se encuentra es que en la privada los datos y procesamientos están administrados dentro de la organización sin las restricciones del ancho de banda, seguridad y requisitos regulatorios que puede tener el uso de la pública. Además, ofrece al cliente la posibilidad de tener más control sobre la infraestructura proporcionada, mejorando la seguridad y la recuperación. 15
16 Cloud Comunitaria: Este modelo de Cloud está controlada y usada por un grupo de organizaciones que comparten los mismos intereses, como una misión común o necesidades de seguridad similares. Cloud Hibrida: Este último modelo de Cloud es la combinación entre la Cloud pública y la privada. Ilustración 5 - Modelo de Despliegue de Cloud Computing [Alliance, 2009] Modelo de Referencia de Cloud Computing Para comprender los riesgos de seguridad de Cloud Computing es fundamental comprender la relación y las dependencias entre los modelos de la nube. Aunque en la sección (Modelos de Servicio de Cloud Computing), se mencionaron diversos modelos, se debe tener en cuenta que siempre se hablaran de los primeros tres modelos SaaS, PaaS e IaaS. La IaaS como se observo es la base de todos los otros modelos de servicio de la Cloud, de modo que la PaaS se basara en IaaS, y SaaS por se basara en PaaS tal como de describe en el diagrama que se muestra a continuación. Siguiendo este camino de análisis, a medida que se heredan capacidades entre los modelos, también se heredan diversas cuestiones y riesgos que se relacionan con la seguridad de la información. La IaaS contiene toda la capa de recursos de infraestructura, tales como instalaciones y las plataformas de hardware que hay en ellas. Además, este modelo también se podrá encontrar la capacidad de extraer recursos, así como entregar conectividad física y lógica a dichos recursos. En la última instancia de IaaS se podrá encontrar un conjunto de APIS que facilita la administración y diferentes formas en las cuales el cliente interactúa con el servicio. 16
17 Ilustración 6 - Modelo de Referencia de Cloud Computing [Alliance, 2009] Por otro lado el modelo PaaS que se sitúa justamente sobre la IaaS añade un nivel más de integración con marcos de proceso de aplicaciones, funciones de base de datos y middleware, mensajes y puesta en cola que permite a los desarrolladores elaborar programas de software que le adicionan a la plataforma. Finalmente el SaaS, que se genera a partir de las capas de IaaS y PaaS, ofrece un ambiente operativo completo que se utiliza para proporcionar toda la experiencia del usuario en donde se ve incluido un contenido, cómo se presenta, aplicaciones y capacidades de gestión para el manejo fácil y dinámico por parte de los clientes. A partir de lo anterior, se puede observar que en cuanto a las funciones integradas existen diversos elementos de decisión por parte de los modelos en cuanto a seguridad y extensibilidad se refieren. Dentro de esta lista de elementos encontramos [Alliance, 2009]: SaaS ofrece funciones integradas que se incorporan directamente al aporte con menor extensibilidad dirigida por el cliente y un gran nivel de seguridad integrada por parte del proveedor. Tenemos que PaaS usualmente proporciona funciones expuestas al consumidor de más baja integración ya que está desarrollada para que los desarrolladores elaboren sus propias aplicaciones encima de la plataforma, lo que la hace mas extensible comparada con SaaS, compensando así entre capacidades de plataforma con funciones de seguridad. Finalmente IaaS ofrece pocas funciones de tipo software pero aporta una amplia extensibilidad, lo cual genera altas capacidades de seguridad sobre la infraestructura y funcionalidad menos integrada. El modelo requiere que el mismo cliente obtenga y gestione sus propias aplicaciones, sistemas operativos, etc. 17
18 3.1.6 Ventajas de Cloud Computing Como toda solución propuesta que se ha propuesto a través del tiempo, Cloud Computing cuenta con aspectos a favor y otros en contra. A continuación se presentan las ventajas que se han encontrado en el modelo desde su origen hasta el día de hoy [Falla, 2008]: El acceso a la información y a los servicios se puede realizar desde cualquier lugar. No es necesario que el cliente se encuentre donde se estén alojados los servidores físicos, ni en su casa u oficina, podrá acceder a su información servicios desde cualquier emplazamiento, pues estos se encuentran en internet. Se puede contar con servicios gratuitos o de pago por demanda, pagando por el número de servidores usados, aplicaciones ejecutadas, tasa de subida o descarga. Los clientes cuentan con alta facilidad de escalabilidad, pueden obtener un mayor número de recursos según se requiera sin tener que pagar por tenerlos físicamente en sus sucursales, con un gasto lógico de software, hardware o personal. Los clientes no poseen una cantidad de recursos determinada, por el contrario comparten todas las capacidades del proveedor. Gracias a esto, se puede balancear la carga de cada uno según la actividad que tenga en cada momento, evitando la escasez de recursos incluso cuando se están haciendo tareas de actualización o mantenimiento. El uso de Backups aporta mayor confianza y seguridad frente a las posibles pérdidas de información por fallos del sistema. La premisa de Cloud Computing es que por la subcontratación de partes de la información gestionada y operaciones de TI, los empleados de la empresa serán libres de mejorar los procesos, incrementar la productividad e innovar mientras el proveedor de la nube maneja la actividad operacional de manera más inteligente, más rápida y más barata Cómo Cloud logra aportar estas ventajas? Utilizando una infraestructura tecnológica dinámica que tiene las siguientes características: Alto grado de automatización: cuando el cliente, desde el dispositivo que se encuentre, por medio de cualquier mecanismo accede a su servicio de Cloud Computing pone a funcionar toda una maquinaria totalmente automatizada, que está en la capacidad de realizar la tarea requerida con total transparencia, de tal forma que nunca se enterara de todo lo que las maquinas necesitan realizar para realizar dicha actividad. Rápida movilización de los recursos: los recursos computacionales (servidores, redes, software, etc.) se ajustan dinámicamente a la demanda, sin que esto genere un posible incremento en su complejidad de gestión, es decir, que solo se movilizara el equipo necesario para cumplir los requerimientos del cliente, en el momento que este lo solicite, esto es posible ya que todo uso de los recursos de Cloud Computing es totalmente medible. Capacidad de escalado elástico atiende y gestiona la demanda fluctuante que se genere en las empresas, de tal manera que los sistemas siempre estarán aptos para la 18
19 cantidad de usuarios que accedan a los servicios de Cloud Computing, así se comparta equipos, aplicaciones o espacios de almacenamiento. Virtualización avanzada: gestionando un conjunto de servidores como si fuesen un único grupo de recursos, es decir, que el cliente tiene la oportunidad de acceder y manejar virtualmente los recursos computacionales por los cuales está pagando el servicio en el momento que este lo requiera. Estandarización: los servicios a prestar deben ser definidos perfectamente e incluidos en un catálogo para el cliente, es decir, que no podrá realizar nada que este fuera del acuerdo de servicio, todo estará enmarcado en un contrato en el que se encuentra los derechos, deberes y las formas debida de uso del servicio al cual esta accediendo. Capacidad de medir el consumo: Como se ha mencionado, los recursos computacionales de Cloud Computing, son totalmente medibles, por lo que en cada momento que el cliente tenga acceso a cualquiera de estos, el proveedor y el cliente tendrán total conocimiento del tiempo y la capacidad del equipo que ha puesto en marcha para el cumplimiento de sus necesidades. 3.2 Impactos de cloud computing Tal como CxOs Comunity busca caminos o diferentes formas de satisfacer las crecientes demandas de TI, muchas otras entidades están examinando acerca de Cloud Computing como una verdadera opción para lo que las empresas necesitan. La promesa de la computación en la nube, sin duda está revolucionando el mundo de los servicios por la transformación de la informática en una herramienta omnipresente gracias al aprovechamiento de los atributos, tales como una mayor agilidad, flexibilidad, la gran capacidad de almacenamiento y la redundancia para gestionar los activos de información. La continua influencia e innovación de Internet ha permitido que la computación en la nube utilice la infraestructura ya existente y la transforme en servicios que proporcionan a las empresas tanto el ahorro en costes como una mayor eficiencia. Las empresas se han venido dando cuenta de que dentro de Cloud Computing hay un gran potencial que se debe aprovechar como el aspecto de innovar a los clientes y la ventaja de ganancia del negocio para las dos partes, el proveedor y el cliente. Al ofrecer a las empresas la oportunidad de desacoplar sus necesidades en TI y su infraestructura, Cloud Computing tiene la capacidad de ofrecer a las empresas un ahorro a largo plazo que incluye la reducción de costes en infraestructura y el pago por servicios de modelos, es decir, por el modelo que la empresa necesite sin tener que hacer uso de servicios con los que ya cuente [Goga A, 2010]. Al mover servicios de TI a la nube, las empresas pueden aprovechar servicios que utilizan en un modelo bajo demanda. Por estas razones es sencillo darse cuenta porque la Cloud Computing es un servicio potencialmente atractivo para ofrecer a cualquier tipo de empresa que está en busca de reducir sus recursos en IT haciendo un control de los costos. Sin embargo, así como se encuentran diversos beneficios también se logran acarrear algunos riesgos y problemas de seguridad que se deben tener en cuenta. Como estos tipos de servicios son contratados fuera de la empresa, hay un riesgo con tener una alta dependencia de un proveedor, riesgo que algunas empresas se encuentran acostumbradas a tomar puesto que reconocen que los cambios son necesarios para 19
20 ampliar los enfoques de gobernanza y estructuras para manejar apropiadamente las nuevas soluciones de IT y mejorar el negocio. Como en cualquier tecnología emergente, Cloud Computing ofrece la posibilidad de tener una alta rentabilidad en términos de reducción de costos y características tales como agilidad y la velocidad de aprovisionamiento. Sin embargo, como una nueva iniciativa, también puede tener un alto potencial de riesgos. Cloud Computing presenta un nivel de abstracción entre la infraestructura física y el dueño de la información que se almacena y se procesa. Tradicionalmente, el dueño de los datos ha tenido directo o indirecto control del ambiente físico que afata sus datos. Ahora en la nube esto ya no es problema, ya que debido a esta abstracción, ya existe una exigencia generalizada de tener una mayor transparencia y un enfoque de garantía solida sobre la seguridad del proveedor de Cloud Computing y el entorno de control Una vez ha sido determinado que los servicios de Cloud Computing son una solución apta para una empresa, es importante identificar los objetivos del negocio y riesgos que acompañan la nube. Esto ayudará a las empresas a determinar qué tipo de información debe ser confiada a Cloud Computing, así como los servicios que puede ofrecer al mayor beneficio. 3.3 Riesgos Y Preocupaciones De Seguridad Con Cloud Computing Muchos de los riesgos asociados con frecuencia con Cloud Computing no son nuevos, y se encuentra en las empresas hoy en día. Para garantizar que la información es la disponible y que se encuentra protegida es de vital importancia tener previstas acciones contundentes para la gestión de riesgos. Los procesos de los negocios y procedimientos de la seguridad requieren seguridad, y los administradores de la de seguridad de la información puede que necesiten ajustar las políticas de empresa y procesos para satisfacer las necesidades en las organizaciones. Dado un ambiente de negocios dinámico y enfocado a la globalización, hay un poco de empresas que no externalizan algunas partes de su negocio. Participar en una relación con un tercero significa que el negocio no es sólo utilizar los servicios y la tecnología de la nube que ofrece el proveedor, sino también debe hacer frente a la forma en que el proveedor cuenta con la empresa cliente, la arquitectura, la cultura y las políticas de la organización que el proveedor ha puesto en marcha [Castellanos, 2011]. Algunos de los riesgos de Cloud Computing para la empresa, que necesitan ser administrados son: Las empresas necesitan ser selectivas con el proveedor que elijan. Reputación, historia y sostenibilidad deben ser factores para considerar en el momento de la elección. La sostenibilidad es de una importancia particular para asegurar que el servicio estará disponible y la información puede ser vigilada. El proveedor de Cloud Computing algunas veces toma la responsabilidad del manejo de la información, la cual es una parte crítica del negocio. Si no se aplican los niveles acordados de servicio se corre peligro no solo en la confidencialidad, sino también en la disponibilidad, afectando gravemente las operaciones del negocio. La naturaleza dinámica de Cloud Computing puede resultar confusa en cuanto donde se encuentra realmente la información. Cuando la recuperación de la información se requiere, esto puede causar algunos retrasos pues no hay una ubicación clara del lugar en el que se encuentra almacenada. 20
21 El acceso de terceros a información sensible crea un riesgo que compromete la información confidencial. En Cloud Computing, esto puede provocar una amenaza significante para asegurar la protección de la propiedad intelectual y secretos comerciales. La Cloud pública permite a los sistemas de alta disponibilidad ser desarrollados en niveles de servicio que normalmente son imposibles de crear en redes privadas, pero a bajos costos. La desventaja de esta disponibilidad es la posibilidad de mezclar la información con otros clientes de la nube, o inclusive con clientes que pueden ser competidores. Actualmente el cumplimiento de regulaciones y leyes suele ser diferente de acuerdo a las regiones geográficas en las que se encuentren los países, lo cual hace que no haya un fuerte procedente legal que responsabilice a Cloud Computing. Es fundamental obtener un asesoramiento jurídico adecuado para garantizar que el contrato especifica las áreas donde el proveedor de la nube es responsable y responsable de las ramificaciones derivadas de posibles problemas. Debido a la naturaleza de Cloud Computing, la información no podrá ser localizada inmediatamente en el caso de un desastre. Los planes de continuidad del negocio y recuperación de negocio deben estar bien documentados y probados. El proveedor de Cloud Computing debe comprender el rol que juega en términos de backups, respuesta y recuperación de incidentes. Los objetivos de tiempo de recuperación deben estar en el contrato Estrategias para el manejo de riesgos en Cloud Computing Estos riesgos, tambien como otros que una empresa puede llegar a identificar, deben ser gestionados efectivamente. Un programa de gestión de riesgos solida robusta que es lo suficientemente flexible para hacer frente a los riesgos de la información debe estar en su lugar. En un entorno donde la privacidad se ha convertido en lo primordial para los clientes de una empresa, el acceso no autorizado a los datos en Cloud Computing es una preocupación significante. Cuando uno toma un contrato con un proveedor de Cloud Computing, una empresa debe realizar un inventario de sus activos de información y asegurar que los datos son una propiedad etiquetada y clasificada. Esto ayudará a determinar que debe estar especificado cuando se elabore el acuerdo de niveles de servicio (SLA), la necesidad para cifrar la información transmitida, almacenada y los controles adicionales de información sensible o de alto valor para la organización. A medida que el vinculo que define la relación entre el negocio y el proveedor de Cloud Computing, los SLAs es una de las herramientas más efectivas que el cliente puede usar para asegurar la protección adecuada de la información confiada a la nube. Los SLAs es la herramienta con la cual los clientes pueden especificar si los marcos comunes se utilizarán y describir la expectativa de una auditoría externa, un tercero. Las expectativas respecto a la manipulación, uso, almacenamiento y disponibilidad de información deben ser articuladas en el SLA [Castellanos, 2011]. Además, los requerimientos para la continuidad del negocio y recuperación de desastres, deberá estar informado dentro del contrato. 21
22 La protección de la información evoluciona como resultado de un fuerte e integro SLA que es apoyado por proceso de aseguramiento igual de fuerte. La estructuración de un completo y detallado acuerdo de nivel de servicio que incluya derechos específicos de aseguramiento ayudara a la empresa en el manejo de su información una vez que sale a la organización y es transportada, almacenada o procesada en Cloud Computing Gobernabilidad y Cuestiones de Cambio con Cloud Computing La dirección estratégica del negocio y de TI en general, es el objetivo principal cuando se considera el uso de Cloud Computing. Como las empresas buscan la nube para ofrecer los servicios que han sido tradicionalmente manejados internamente, deben hacer algunos cambios para garantizar que cumplen los objetivos de rendimiento, que su tecnología de aprovisionamiento y de negocios está alineados estratégicamente, y los riesgos son gestionados. Asegurar que TI está alineado con el negocio, la seguridad de los sistemas, y el riesgo que se maneja, es un desafío en cualquier entorno y aún más complejo en una relación con terceros. Las actividades típicas de gobierno, tales como el establecimiento de metas, el desarrollo de políticas y estándares, definición de roles y responsabilidades, y la gestión de riesgos deben incluir consideraciones especiales cuando se trata de la tecnología de Cloud y sus proveedores. Al igual que con todos los cambios de organización, se espera que algunos ajustes necesiten estar hechos de acuerdo con los procesos de negocio se manejan. Los procesos de negocio, tales como procesamiento de datos, desarrollo y recuperación de información son ejemplos de áreas posibles de cambio. Además, los procesos que detallan la forma en que se almacena la información, archivado y copia de seguridad tendrán que ser examinados de nuevo. Cloud Computing presenta muchas situaciones únicas para abordar en el negocio. Una de las situaciones es que el personal de la unidad de negocio, que anteriormente se vieron obligados a pasar por ella, ahora se puede prescindir de este y recibir servicios directamente desde la nube. Es, por tanto, fundamental que las políticas de seguridad de la información tomen muy en cuenta los usos de servicios en Cloud Computing. 3.4 COSO Durante el año de 1992, COSO (Committee of Sponsoring Organizations) de la Treadway Commission, divulgo al mundo un informe de gran importancia para la historia del control interno. El Control Interno Marco Integrado, conocido también como COSO ofrece una base clara y fundamental que establece los sistemas de control interno y determinar su eficacia. Este marco fue adoptado en 1998 como marco de Control Interno para la Administración Pública Nacional (APN), gracias a su amplia compatibilidad con las diversas disposiciones al 22
23 Sistema de Control Interno que fueron determinadas en la Ley de Administración Financiera y Sistemas de Control. En acuerdo con lo mencionado anteriormente, el conjunto de principios de COSO son la base solida para establecer las políticas y procedimientos de control interno a aplicar en el ámbito de la APN dentro de las empresas. Debido a esto resulta preciso diseñar y desarrollar una metodología que evalúe la calidad de los controles. COSO propuso realizar una integración en el proceso de auditoría, la cual requiere los resultados de la auditoría sean clasificados teniendo en cuenta los diversos conceptos de este marco de control interno para que la información sea utilizada en los informes de alto nivel en la gerencia de la organización. Esta integración o enfoque se basa sobre la mayoría de estos términos en los que se incorporan los criterios COSO en el proceso de auditoría [Asofis, 2009]. Conforme con el marco de control interno COSO, los objetivos primarios de un sistema de control interno son: 1. Asegurar la eficiencia y eficacia de las operaciones 2. Realizar informes financieros fiables 3. Cumplimiento con las leyes, regulaciones y estándares aplicables al control interno. Por otro lado, el informe también hace un énfasis en cinco componentes que son fundamentales dentro de un sistema de control interno eficaz. El Entorno de Control Evaluación del Riesgo Actividades de Control Información Y Comunicación Supervisión Ilustración 7 - Relación entre Componentes y Objetivos de COSO [MercadoTendencias, 2008] Estos elementos que se deben utilizar para precisar el objetivo de control que debe ser auditado, examinar los componentes del sistema de control en la organización e informar los resultados a la dirección o la gerencia. 23
24 Definición de objetivos. Orientar cada auditoría desde un solo objetivo COSO a la vez es una clave importante que se debe tener en cuenta en el proceso de definir el objetivo, pues si se orientan varios objetivos de auditoría al mismo tiempo se corre el riesgo que todo se torne confuso y se pierda el valor agregado. El auditor junto con la gerencia, establecen el objetivo COSO adecuado en cual se deban enfocar de primero. El objetivo de enfoque se toma durante la planificación del proceso de auditoría y se documenta en los papeles de trabajo. Como se mencionaba anteriormente, tener un solo objetivo de enfoque genera más eficiencia en la tarea que se realiza. Sin embargo, el hecho de tomar un objetivo de enfoque al inicio, no quiere decir que no se pueda tomar uno seguido de este, el cual iniciara otro proyecto de auditoría especialmente para su análisis y evaluación. En los proyectos en los que no sea claro determinar el objetivo COSO, es compromiso del auditor tener que identificar los controles que tendrán mayor concentración por parte del trabajo de auditoría y para poder tomar el objetivo de auditoría que sea más apropiado. Operaciones. Este tipo de objetivo está dirigido a los controles que rigen la eficiencia y la eficacia. La eficacia hace referencia a la calidad de los controles más allá de alcanzar el éxito de los objetivos específicos de la conducción, y la eficiencia se enfoca en alcanzar el resultado productivo optimizando los recursos de forma adecuada. El objetivo de operaciones determina si se puede asegurar a la organización la no existencia de ineficiencias significativas o que la eficacia en el proceso o en la organización auditada es poca. Y adicionalmente brinda información útil que se comunica a la gerencia y a los auditores como hallazgos incidentales en la evaluación del control. Información financiera. El objetivo de información financiera, está dirigido a la adecuación y eficacia de controles de gestión que rigen la confiabilidad de la información financiera que se utiliza en la comunicación con externos. Cumplimiento. Este objetivo de auditoría apunta a al ajuste y eficacia de los controles administrativos que rigen el cumplimiento con leyes, regulaciones y estándares externos e internos. El cumplimiento trata principalmente con la correlación entre las leyes, procedimientos de la organización y, la práctica real COSO II Gestión de Riesgos Corporativos (ERM) El marco original de control interno de COSO contiene 5 componentes. En el 2004, COSO fue revisado como la Gestión de Riesgo Empresarial (Enterprise Risk Management, ERM) del marco integrado y se extendió a ocho componentes. La primera diferencia entre los dos marcos es el enfoque adicional sobre ERM y la integración en el modelo de decisión de negocio. ERM está en el proceso de ser adoptada por las grandes empresas. En la actualidad el deseo de las organizaciones de dar un valor para sus clientes es la base fundamental de la gestión de riesgos corporativos (ERM). Las empresas tienen que afrontar la 24
25 ausencia de seguridad y deben determinar la cantidad de incertidumbre que está dispuesto a admitir durante el intento por aumentar el valor de sus clientes o interesados. La falta de seguridad involucra riesgos y oportunidades generando la oportunidad de aumentar o disminuir el valor que desean generar. La gestión de riesgos corporativos ayuda a que la gerencia trate eficazmente esta inseguridad, sus riesgos y oportunidades asociados, mejorando la posibilidad de aumentar valor. Cuando la gerencia determina una estrategia y objetivos para encontrar una estabilidad óptima entre los objetivos de crecimiento, rentabilidad y los riesgos asociados, logra que la empresa maximice el valor, haciendo uso eficaz y eficientemente de recursos a fin de alcanzar los objetivos propuestos por la entidad. La gestión de riesgos corporativos incluye las siguientes capacidades [Steinberg Et al, 2009]: Alinear el riesgo aceptado y la estrategia Dentro de las estrategias, la dirección toma el riesgo aceptado por la entidad, determinando los objetivos requeridos y empleando mecanismos para administrar algunos riesgos asociados. Mejorar las decisiones de respuesta a los riesgos La gestión de riesgos corporativos brinda un alto rigor para identificar y analizar los riesgos con el fin de poder determinar la mejor alternativa de manejo: evitar, reducir, compartir o aceptar. Reducir las sorpresas y pérdidas operativas Las organizaciones aumentan la capacidad de identificar los acontecimientos potenciales con el propósito de establecer respuestas acordes a su nivel de complejidad, de tal forma que se pueda reducir las sorpresas, altos costos o pérdidas asociados. Identificar y gestionar la diversidad de riesgos para toda la entidad Las organizaciones enfrentan múltiples riesgos que las afectan de alguna u otra forma y la gestión de riesgos corporativos facilita genera respuestas que suelen ser eficaces e integradas a los impactos que se puedan dar en estos riesgos. Aprovechar las oportunidades Considerando eventos potenciales, la gerencia identifica y aprovecha las oportunidades proactivamente, para poder sacarle valor a sus actividades. Mejorar la dotación de capital Obtener información sólida acerca del riesgo facilita que la gerencia evalué eficazmente las necesidades de dinero lo cual le facilita la administración del mismo. 25
26 Estas capacidades, permiten a la gerencia alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida de recursos. Además, permite asegurar que la información sea eficaz, el cumplimiento de leyes y normas, evitar daños a la reputación de la organización y sus consecuencias derivadas. En otras palabras, la gestión de riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando baches y sorpresas por el camino. De manera más concreta se puede decir que la gestión de riesgos corporativos se ocupa de los riesgos y oportunidades que afectan a la creación de valor o su preservación. Este concepto adapta el siguiente conjunto de características básicas de gestión de riesgos dentro de una organización: Normalmente se comporta como un proceso continuo que fluye por toda la organización. Todo el personal de la organización está en la capacidad de aplicarlo. Se aplica en el establecimiento de la estrategia de control y gestión de riesgos. La organización lo aplica, en cada nivel y unidad, adoptando una perspectiva del riesgo a nivel conjunto. Identifica acontecimientos potenciales que, afectarían la organización y la gestión de los riesgos que se encuentran aceptados. Ofrece seguridad al consejo de administración y a la dirección de la organización. Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse. La definición es amplia en sus fines y recoge los conceptos claves de la gestión de riesgos por parte de empresas y otro tipo de organizaciones, proporcionando una base para su aplicación en todas las organizaciones, industrias y sectores. Se centra directamente en la consecución de los objetivos establecidos por una entidad determinada y proporciona una base para definir la eficacia de la gestión de riesgos corporativos [Nasaudit, 2009]. Comparación del Control Interno de COSO y del Marco Integrado ERM Marco de Control Interno Marco integrado ERM Control del Entorno: El ambiente de control establece el tono de una organización, influenciando de esta forma la conciencia de control de su gente. Esta es la fundación para todos los otros componentes de control Entorno interno: El entorno interno abarca el tono de la organización, y establece las bases de cómo el riesgo es observado y direccionado a las personas de la entidad, incluyendo la filosofía en gestión de riesgos interno, proporcionando disciplina y y apetito de riesgo, integridad y valores estructura. Los factores del ambiente de éticos, y el entorno en el cual todos operan. control incluyen la integridad, valores éticos, estilo de gestión de funcionamiento, delegación de los sistemas de autoridad, así como los procesos de gestión y desarrollo de personas dentro de la organización. 26
27 Evaluación de Riesgos: cada entidad muestra una variedad y riesgos de fuentes que deben ser evaluados. Una precondición para la evaluación de riesgos es el establecimiento de objetivos, y por tanto la evaluación de riesgos es la identificación y análisis de riesgos pertinentes para la consecución de los objetivos planeados. La evaluación de riesgos es un prerrequisito para la determinación de cómo se deben gestionar los riesgos. Actividades de Control: Las actividades de control son las políticas y procedimientos a ayudan a asegurar que la gestión de las directivas se llevan a cabo. Ayudan a garantizar que se toman las medidas necesarias para hacer frente a los riesgos para la consecución de los objetivos de la organización. Las actividades de control acurren a lo largo de la organización, en todos los niveles y todas las funciones. Se incluyen una serie de diversas actividades, aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones del desempeño operativo, seguridad de activos y segregación de funciones. Marco del objetivo: Los objetivos deben existir antes de que la administración pueda identificar eventos potenciales que lo afecten. La gestión de riesgos empresariales asegura que la administración ha puesto en ejecución un proceso para establecer objetivos y que los objetivos seleccionados apoyan, se alinean con la misión de la entidad y que sean consistentes con el apetito de riesgo. Identificación de Eventos: Los eventos externos e internos que afectan el logro de los objetivos de la entidad deben ser identificados, distinguiendo entre riesgos y oportunidades. Las oportunidades son canalizadas de vuelta a la estrategia de gestión o los procesos en los que se fijan los objetivos. Evaluación de Riesgos: Los riesgos son analizados, considerando la probabilidad y el impacto, como bases para la determinación de cómo se pueden gestionar. Las áreas de riesgo se evaluaran de forma inherente y formal. Actividades de Control: Políticas y procedimientos son establecidos e implementados para ayudar a garantizar que las respuestas al riesgo se lleven a cabo de forma efectiva. 27
28 Información y Comunicación: Los sistemas de información juegan un papel clave en sistemas de control interno que producen los informes, incluyendo operaciones, Información financiera y de cumplimiento que hace esto posible para ejecutar y controlar el negocio. En un sentido más amplio, la comunicación efectiva debe asegurar que la información fluye hacia abajo, a través y hacia arriba en la organización. La comunicación efectiva debe estar también asegurada con las partes externas, cada cliente, distribuidores, reguladores y accionistas. Monitoreo: Los sistemas de control interno requieren ser monitoreados, Un proceso que evalúa la calidad del desempeño del sistema sobre el tiempo, lo cual se logra con actividades de monitoreo o de evaluaciones separadas. Las deficiencias del control interno detectadas a través de estas actividades de monitoreo deberían ser reportadas en contra de la corriente y las acciones correctivas para asegurar la mejora continua del sistema 3.5 COBIT Información y Comunicación: La información relevante es identificada, capturada y comunicada en una forma y marco de tiempo que la gente dispone para llevar a cabo sus responsabilidades. La comunicación efectiva también ocurre en un sentido más amplio por toda fluyendo de abajo hacia arriba por toda la entidad. Monitoreo: La totalidad de la gestión de riesgos es monitoreada y se realizan modificaciones en caso de ser necesarias. El monitoreo es realizado a través de las actividades de gestión en ejecución, las evaluaciones independientes o ambas cosas. Tabla 1 - Comparación del Control Interno de COSO y del Marco Integrado ERM En la actualidad las organizaciones tienen que cumplir con obligaciones de calidad, fiduciarios y de seguridad, de la información, o de todos los activos que gestionan. Además de estos deberes, es importante optimizar correctamente los recursos con los que cuenta la organización, dentro de los que se pueden incluir: tecnología, personal, instalaciones, aplicaciones de software información. Con la necesidad de cumplir estas metas y lograr el éxito de los objetivos, la gerencia debe comprender el estado de sus sistemas de TI y resolver el nivel de seguridad y control de dichos sistemas. Los Objetivos de Control para la Información y las Tecnologías Relacionadas (COBIT, por sus siglas en ingles), permiten la satisfacción de numerosas necesidades por parte de la administración determinando una conexión entre los riesgos del negocio, los controles requeridos y los aspectos técnicos requeridos para llegar a las soluciones [NetworkSec, 2008]. Ofrece buenas prácticas y presenta actividades de manejo lógico y sencillo. Estas Buenas prácticas de COBIT tienen el aporte de varios expertos, que colaboran en perfeccionar la inversión de la información y brindan mecanismos medibles que permiten juzgar el buen 28
29 resultado de las actividades. La gerencia debe garantizar que el marco de gobierno o los sistemas de control funcionan de forma correcta, brindando soporte a los procesos del negocio, monitoreo de cada actividad de control de manera que se verifique si está cumpliendo satisfactoriamente los requerimientos de información y la optimización de recursos de TI. El impacto de los recursos de TI está claramente definido en COBIT junto con los criterios del negocio que deben ser alcanzados: Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad. El control, que incluye políticas, estructuras, prácticas y procedimientos organizacionales, es responsabilidad de la gerencia. La gerencia, tiene que controlar y asegurar que el personal envuelto en la administración, uso, diseño, desarrollo, mantenimiento u operación de sistemas de información trabaje con la diligencia requerida. El tema clave de COBIT es la orientación al negocio. Dicho marco está diseñado para que pueda ser utilizado por usuarios, auditores y los propietarios de los procesos de negocio como una guía clara y entendible. Los propietarios de procesos son personas que se hacen responsables de todo aspecto relacionado con los procesos de negocio tal como ofrecer controles apropiados. COBIT como marco de referencia brinda al propietario de procesos, herramientas que simplifican el cumplimiento de esta responsabilidad. Para ello el Marco trabaja con la siguiente premisa: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI agrupados de una forma natural. COBIT cuenta con 34 Objetivos de Control de alto nivel, los cuales también se pueden tomas como los procesos de TI, y se encuentran agrupados en cuatro dominios: 1 Planificación y Organización Adquisición e Implementación Entrega de servicios Soporte y Monitorización. 1 [NetworkSec, 2008] 29
30 Ilustración 8- Diagrama de Proceso de COBIT [Domenech & Lenis, 2007] La estructura de dominios con sus respectivos objetivos de control o procesos abarca la gestión de información y tecnología que la soporta. El Objetivo de Control en TI es el propósito o resultado final que la organización tiene que alcanzar ejecutando procedimientos de control dentro de una actividad de TI. Estos 34 Objetivos de Control de alto nivel, permiten al propietario de procesos de negocio asegurar que se está aplicando un sistema de control apropiado para el entorno de tecnología de información que se maneja dentro de cada organización. Esto lleva a concluir que COBIT es la herramienta de gobierno de TI más adecuada para administrar y mejorar el entendimiento de los 30
Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios
Cloud Security Alliance Recomendaciones de Seguridad Contenido Qué es el Cloud Computing?... 2 Modelos de Servicios... 2 Modelos de Implementación... 3 Recomendaciones a los Usuarios para la adopción del
Más detallesBechtle Solutions Servicios Profesionales
Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesING. YURI RODRIGUEZ ALVA
Historia y evolución de las Aplicaciones. Acerca de Cloud Computing o Computación para la Nube. Tipos de Aplicaciones para la Nube. Ventajas y desventajas de Cloud Computing Uso y Aplicaciones de Cloud
Más detallesSeminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets
Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 1 de 12 Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 3 Bienvenida. 4 Objetivos. 5 Interacciones de Negocios
Más detallesIntroducción. Definición de los presupuestos
P o r q u é e l p r e s u p u e s t o d e b e s e r e l c a m i n o a s e g u i r p a r a g a r a n t i z a r e l é x i t o d e s u e m p r e s a? Luis Muñiz Economista Introducción El aumento de la incertidumbre
Más detallesPOLÍTICA DE TECNOLOGÍA DE INFORMACIÓN
TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesOfrezca la nueva tendencia de innovación empresarial con un entorno de red abierta
Descripción general de la solución Ofrezca la nueva tendencia de innovación empresarial con un entorno de red abierta Lo que aprenderá A medida que tecnologías como la nube, la movilidad, los medios sociales
Más detallesIs not jus power, is reliability and trust. Yei Systems S.A. de C.V.
Is not jus power, is reliability and trust Yei Systems S.A. de C.V. Nos es muy grato dirigirnos a Usted para ofrecerle nuestros servicios de Auditoría de sistemas, Desarrollo de software y Seguridad Informática
Más detallesEstrategia de Cómputo en la Nube. Servicios en la Nube
Estrategia de Cómputo en la Nube Servicios en la Nube Computación para la Nube? Tecnología informática por la que se proporcionan software y servicios a través de la Internet. El nombre Cloud Computing
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesEmprendiendo negocios juntos
Emprendiendo negocios juntos Definiendo Cloud Computing Un modelo que permite de manera muy sencilla el acceso a una red de recursos informáticos, los cuales con poco esfuerzo son configurables por el
Más detallesCapítulo 5. Cliente-Servidor.
Capítulo 5. Cliente-Servidor. 5.1 Introducción En este capítulo hablaremos acerca de la arquitectura Cliente-Servidor, ya que para nuestra aplicación utilizamos ésta arquitectura al convertir en un servidor
Más detallesCLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS
CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS Luis Vinatea Recoba Socio de Miranda & Amado Abogados Profesor de la Pontificia Universidad Católica del Perú Definición Sistema que permite el acceso por
Más detallesLA LOGÍSTICA COMO FUENTE DE VENTAJAS COMPETITIVAS
LA LOGÍSTICA COMO FUENTE DE VENTAJAS COMPETITIVAS Los clientes compran un servicio basandose en el valor que reciben en comparacion con el coste en el que incurren. Por, lo tanto, el objetivo a largo plazo
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesPOLITICA DE SISTEMA DE CONTROL INTERNO
POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro
Más detallesSystem Center. la plataforma para una gestión ágil de los entornos de TI IDG COMMUNICATIONS, S.A.
la plataforma para una gestión ágil de los entornos de TI System Center la plataforma para una gestión ágil de los entornos de TI Introducción En la actualidad son ya muchas las empresas que están experimentando
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesMejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos
ANEXO VI. Mejores prácticas para el éxito de un sistema de información Uno de los problemas de información dentro de las empresas es contar con datos importantes del negocio y que éstos estén aislados
Más detallesLINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN
LINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN Tabla de Contenidos LINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN... 1 Tabla de Contenidos... 1 General... 2 Uso de los Lineamientos Estándares...
Más detallesRiesgos asociados al CLOUD
Riesgos asociados al CLOUD El Cloud está de moda Según el último barómetro de IDC España, el mercado de software como servicio (SaaS) alcanzó en 2010 los 153 millones de euros. Esto supone un incremento
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesCharlas para la Gestión del Mantenimiento Fernando Espinosa Fuentes
Charlas para la Gestión del Mantenimiento Fernando Espinosa Fuentes Conseguir una alta eficiencia de los activos es un reto importante ya que tiene un impacto significativo sobre los beneficios. Afecta
Más detallesCloud Computing. Rodrigo Moreno Rosales DN-11
Cloud Computing Rodrigo Moreno Rosales DN-11 Cloud Computing La computación en la nube,conocido también como servicios en la nube, informática en la nube, nube de cómputo o nube de conceptos, es un paradigma
Más detallesPlataforma de nube CA AppLogic para aplicaciones de negocio
HOJA DE PRODUCTO: CA AppLogic Plataforma de nube CA AppLogic para aplicaciones de negocio agility made possible El software CA AppLogic es una plataforma de computación en la nube lista para utilizarse
Más detallesADMINISTRACIÓN DE PROYECTOS
QUITO INGENIERIA MECANICA ADMINISTRACIÓN DE PROYECTOS JUAN MARCELO IBUJES VILLACÍS ADMINISTRACIÓN DE PROYECTOS Contenido tomado de referencia de la Guía de los Fundamentos para la Dirección de Proyectos
Más detallese-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.
Comercio electrónico. (e-commerce) Las empresas que ya están utilizando la red para hacer comercio ven como están cambiando las relaciones de la empresa con sus clientes, sus empleados, sus colaboradores
Más detallesCMMI (Capability Maturity Model Integrated)
CMMI (Capability Maturity Model Integrated) El SEI (software engineering institute) a mediados de los 80 desarrolló el CMM (modelo de madurez de la capacidad de software). CMMI: CMM integrado, una mezcla
Más detallesMODERNIZANDO PCN Y RECUPERACION DE DESASTRES UTILIZANDO VIRTUALIZACION Y LA NUBE
MODERNIZANDO PCN Y RECUPERACION DE DESASTRES UTILIZANDO VIRTUALIZACION Y LA NUBE Este material y todos y cada uno de los contenidos en él incorporados constituyen una adaptación de las conferencias de
Más detallesUnidad III. Software para la administración de proyectos.
Unidad III Software para la administración de proyectos. 3.1 Herramientas de software para administrar proyectos. El software de administración de proyectos es un concepto que describe varios tipos de
Más detallesEXIN Cloud Computing Foundation
Examen tipo EXIN Cloud Computing Foundation Edición Abril 2014 Copyright 2014 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system
Más detallesINSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE
SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesLICENCIA PLATAFORMA ERM
LICENCIA PLATAFORMA ERM 1. Introducción A una década de haber arrancado un nuevo milenio las organizaciones experimentan una serie de retos debido a la manera de hacer negocios, la sociedad, el mercado
Más detallesInfraestructura Tecnológica. Sesión 12: Niveles de confiabilidad
Infraestructura Tecnológica Sesión 12: Niveles de confiabilidad Contextualización La confianza es un factor determinante y muy importante, con ésta se pueden dar o rechazar peticiones de negocio, amistad
Más detallesCloud Computing. Lic. Guillermo Montenegro VicePresidente CPCIPC gmontenegro@universotec.net Octubre 2011
Cloud Computing Lic. Guillermo Montenegro VicePresidente CPCIPC Octubre 2011 Cloud Computing, Qué es? El Cloud computing es un paradigma que permite ofrecer servicios de computación a través de Internet.
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesCómo saber qué modelo de ERP es el más adecuado para su empresa? On-Premise vs. SaaS
Cómo saber qué modelo de ERP es el más adecuado para su empresa? On-Premise vs. SaaS ERP: On-Premise vs. SaaS Comparamos los dos modelos de ERP para ayudarle a elegir correctamente su software de gestión
Más detallesQué es SPIRO? Características
Qué es SPIRO? Características Tecnología de SPIRO Módulos principales Otros módulos de Spiro Qué es Spiro? Software para la planificación y gestión integral Qué es un Sistema Integrado de Gestión? Se podría
Más detalles5 formas de mejorar su negocio con COMPUTACIÓN EN LA NUBE
5 formas de mejorar su negocio con COMPUTACIÓN EN LA NUBE Julio 2012 Introducción. Cada empresa y cada empresario ha entendido que, si hay una constante, ésta es el cambio. Día a día, los negocios se ponen
Más detallesPRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE
PRUEBAS DE SOFTWARE La prueba del software es un elemento crítico para la garantía de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Además,
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesResumen de la solución SAP SAP Technology SAP Afaria. Gestión de la movilidad empresarial para mayor ventaja competitiva
de la solución SAP SAP Technology SAP Afaria Gestión de la movilidad empresarial para mayor ventaja competitiva Simplificar la gestión de dispositivos y aplicaciones Simplificar la gestión de dispositivos
Más detallesIDEA DE NEGOCIO EDUGER LOGISTIC GERMAN EDUARDO BALSERO MORALES PROFESOR: GERARDO ANDRES ARCOS CELIS
IDEA DE NEGOCIO EDUGER LOGISTIC GERMAN EDUARDO BALSERO MORALES PROFESOR: GERARDO ANDRES ARCOS CELIS CORPORACIÓN UNIVERSITARIA IBEROAMERICANA TECNOLOGIA EN LOGISTICA INFORMATICA BOGOTA D.C. 2013 INTRODUCCIÓN
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesCREACIÓN DE UN DEPARTAMENTO DE RELACIONES PÚBLICAS PARA LOS ALMACENES EL CHOCHO Y EL CAMPEÓN
PROPUESTA: CREACIÓN DE UN DEPARTAMENTO DE RELACIONES PÚBLICAS PARA LOS ALMACENES EL CHOCHO Y EL CAMPEÓN Cómo sabemos cada día las empresas se enfrentan a un mundo globalizado, con retos empresariales,
Más detallesEstatuto de Auditoría Interna
Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo
Más detallesEl futuro de los servicios Cloud Software como Servicio. Resultado encuesta a expertos
El futuro de los servicios Cloud Software como Servicio Resultado encuesta a expertos Contenido 1. Presentación 5 2. Prestación de servicios en entorno Cloud 6 3. Resultados de la encuesta 8 3.1. Grado
Más detallesBrindamos asesorías que involucran tecnología y personal calificado, estos hacen de DOCTUM su mejor aliado.
SOFTWARE DE GESTÓN Doctum sabe que es necesario entregar servicios que otorguen un valor agregado, sobre todo para la gestión documental de la empresa, lo que reduce los costos asociados a mano de obra
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesLey Orgánica de Protección de Datos
Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener
Más detallesERP y CRM. Abraham Sánchez L. FCC/BUAP Grupo MOVIS
Conceptos de los sistemas ERP y CRM Abraham Sánchez L. FCC/BUAP Grupo MOVIS Introducción Se trata de analizar la evolución de las definiciones que a lo largo de los últimos años han representado las distintas
Más detallesEl cambio en la adquisición de soluciones informáticas. El cambio en la adquisición de soluciones informáticas
El cambio en la adquisición de soluciones informáticas El cambio en la adquisición de soluciones informáticas Mayo de 2014 El nuevo comprador de tecnología... y la nueva mentalidad de adquisiciones Hoy
Más detallesIntroducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas
Más detallesMARCO DE REFERENCIA SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO
MARCO DE REFERENCIA PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO SISTEMAS DE INFORMACIÓN PLANEACIÓN Y GESTIÓN DE SIS-INF 80. Definición Estratégica de los SIS-INF Las entidades deben, en la Arquitectura
Más detallesPlataforma en la nube CA AppLogic para aplicaciones empresariales
HOJA DEL PRODUCTO: CA AppLogic Plataforma en la nube CA AppLogic para aplicaciones empresariales agility made possible CA AppLogic es una plataforma clave de la informática en la nube que ayuda a permitir
Más detallesEmpresa Financiera Herramientas de SW Servicios
Empresa Financiera Herramientas de SW Servicios Resulta importante mencionar que ésta es una empresa cuya actividad principal está enfocada a satisfacer las necesidades financieras de los clientes, a través
Más detallesIBM Tivoli Asset Management for IT. IBM Tivoli Service Request Manager
for IT & IBM Tivoli Service Request Manager Optimice sus procesos IT, maximice sus activos y mejore el nivel de servicio. Para obtener altos niveles de servicio, reducir costes y alcanzar las metas del
Más detallesSISTEMAS Y MANUALES DE LA CALIDAD
SISTEMAS Y MANUALES DE LA CALIDAD NORMATIVAS SOBRE SISTEMAS DE CALIDAD Introducción La experiencia de algunos sectores industriales que por las características particulares de sus productos tenían necesidad
Más detallesSISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT
SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,
Más detallesSoporte Técnico de Software HP
Soporte Técnico de Software HP Servicios Tecnológicos HP Servicios contractuales Datos técnicos El Soporte Técnico de Software HP ofrece servicios integrales de soporte remoto de para los productos de
Más detallesCÓMO MEJORAR LA GESTIÓN DE SERVICIOS TI USANDO MEJORES PRÁCTICAS?
CÓMO MEJORAR LA GESTIÓN DE SERVICIOS TI USANDO MEJORES PRÁCTICAS? Soluciones a partir de la experiencia colectiva Quinto Desayuno Club CIO 30 julio 2015 Contenido Prólogo...2 Personas...2 Procesos...2
Más detallesRESUMEN EJECUTIVO. La gestión de riesgos corporativos incluye las siguientes capacidades:
RESUMEN EJECUTIVO La premisa subyacente en la gestión de riesgos corporativos es que las entidades existen con el fin último de generar valor para sus grupos de interés. Todas se enfrentan a la ausencia
Más detallesGUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000
1 INTRODUCCIÓN Dos de los objetivos más importantes en la revisión de la serie de normas ISO 9000 han sido: desarrollar un grupo simple de normas que sean igualmente aplicables a las pequeñas, a las medianas
Más detallesCondiciones de servicio de Portal Expreso RSA
Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesPrácticas ITIL para un mejor flujo de trabajo en el helpdesk
Prácticas ITIL para un mejor flujo de trabajo en el helpdesk Se diferencia tres partes de gestión para mejorar la resolución de las incidencias de soporte técnico según el marco ITIL: 1. Gestión de Incidencias
Más detallesEnterprise Risk Management
Enterprise Risk Management E.R.M. ERM ERM describe un marco conceptual que establece: La definición de riesgos empresariales Los componentes del proceso de administración de riesgos empresariales Criterios
Más detallesCAS- CHILE S.A. DE I.
CAS-CHILE 25 Años ISACA 2011 CAS- CHILE S.A. DE I. Líder en Software de Gestión Pública 1. QUÉ ES CLOUD COMPUTING? 2. QUE BENEFICIOS APORTA? 3. QUE RIESGOS TIENE? 4. QUÉ METODOLOGÍAS Y ESTÁNDARES DE CONTROL
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesPROPÓSITO... 2 DETERMINANTES PARA UNA BUENA EXPERIENCIA DE USO...
Tabla de Contenido PROPÓSITO... 2 DETERMINANTES PARA UNA BUENA EXPERIENCIA DE USO... 2 1. LA PRESENCIA DE INFORMACIÓN Y AYUDA ÚTIL PARA COMPLETAR LOS TRÁMITES EN LÍNEA.... 2 2. LA DISPONIBILIDAD DE DIVERSOS
Más detallesR E S U M E N E J E C U T I V O
R E S U M E N E J E C U T I V O I T G O V E R N A N C E I N S T I T U T E 5 RESUMEN EJECUTIVO RESUMEN EJECUTIVO muchas empresas, la información y la tecnología que las soportan representan sus más valiosos
Más detallesBYOD - Retos de seguridad
BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir
Más detallesCONGRESO SECTORIAL DINTEL DATA CENTERS 2012. ISO 27001, ISO 20000 e ISO 22301 para asegurar la Eficiencia, Disponibilidad y Seguridad en CPDs.
CONGRESO SECTORIAL DINTEL DATA CENTERS 2012 ISO 27001, ISO 20000 e ISO 22301 para asegurar la Eficiencia, Disponibilidad y Seguridad en CPDs. AUDISEC: QUIÉNES SOMOS AUDISEC Seguridad de la Información,
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesCONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL
CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.
Más detallesInformática en la nube. Susi Rodríguez
Informática en la nube Susi Rodríguez DE QUE VAMOS A HABLAR? Analizar como utilizamos las TICs en nuestro trabajo Qué es eso de la nube? Ventajas, riesgos y los retos legales la nube Herramientas y servicios
Más detallesSISTEMAS DE INFORMACIÓN II TEORÍA
CONTENIDO: EL PROCESO DE DISEÑO DE SISTEMAS DISTRIBUIDOS MANEJANDO LOS DATOS EN LOS SISTEMAS DISTRIBUIDOS DISEÑANDO SISTEMAS PARA REDES DE ÁREA LOCAL DISEÑANDO SISTEMAS PARA ARQUITECTURAS CLIENTE/SERVIDOR
Más detallesPreguntas Frec uentes Ia a S
Qué es IaaS Telmex? Infraestructura como Servicio (IaaS) de Telmex, es una solución basada en las nuevas tecnologías de virtualización bajo demanda, orientado a empresas que requieran de un servicio de
Más detallesGeneXus BPM Suite X. Última actualización: 01 de Setiembre de 2008
Última actualización: 01 de Setiembre de 2008 Copyright Artech Consultores S. R. L. 1988-2008. Todos los derechos reservados. Este documento no puede ser reproducido en cualquier medio sin el consentimiento
Más detallesSoluciones Tecnológicas
Soluciones Tecnológicas NOSOTROS Creamos IC en 1985 a fin de proveer a nuestros Clientes soluciones apropiadas y escalables en Consultoría de Negocios y en Tecnologías Informáticas. Durante más de dos
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesBUSINESS PARTNER EMC SERVICES PARTNER PROGRAM OPCIONES. FLEXIBILIDAD. OPORTUNIDADES.
BUSINESS PARTNER EMC SERVICES PARTNER PROGRAM OPCIONES. FLEXIBILIDAD. OPORTUNIDADES. TRANSFORMELASRELACIONESCONLOSCLIENTES Y SU RENTABILIDAD EMC Services Partner Program le brinda las herramientas y las
Más detallesTRABAJADORES AUTÓNOMOS. COORDINACIÓN DE ACTIVIDADES PREVENTIVAS
TRABAJADORES AUTÓNOMOS. COORDINACIÓN DE ACTIVIDADES PREVENTIVAS La coordinación de actividades empresariales regulada en el artículo 24 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesCapítulo IV. Manejo de Problemas
Manejo de Problemas Manejo de problemas Tabla de contenido 1.- En qué consiste el manejo de problemas?...57 1.1.- Ventajas...58 1.2.- Barreras...59 2.- Actividades...59 2.1.- Control de problemas...60
Más detallesDesarrollo de la estrategia a seguir para. un Sistema de Gestión de la Energía. Instalaciones Industriales
Desarrollo de la estrategia a seguir para un Sistema de Gestión de la Energía Instalaciones Industriales Noviembre 2014 Contenido 1. Introducción 2. Antecedentes 3. Potencial de mejora energética de los
Más detallesArtículo dedicado a la Innovación y Mejores Prácticas en la Ingeniería de Negocios
Herramienta para Indicadores de Gestión Se ha dado cuenta de lo difícil que es conseguir que todos los miembros de su organización vean "la gran foto" y trabajen juntos para lograr los objetivos estratégicos
Más detallesTraslado de Data Center
Traslado de Data Center Traslado de Data Center Análisis y metodología garantizan el éxito en el traslado de los Data Center Planificar, analizar y documentar son claves a la hora de realizar la migración
Más detallesMéxico, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS
Marco Operativo para Empresas Líderes y Organismos Operadores México, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS REGLAS GENERALES DE OPERACIÓN Y COORDINACIÓN PARA LAS EMPRESAS LÍDERES, ORGANISMOS OPERADORES
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesGestión de Configuración del Software
Gestión de Configuración del Software Facultad de Informática, ciencias de la Comunicación y Técnicas Especiales Herramientas y Procesos de Software Gestión de Configuración de SW Cuando se construye software
Más detallesRiesgo: Se puede llegar al destino sin información veraz y oportuna?
La mejor ruta Se ha imaginado pilotear un avión? Usted ya lo está haciendo. Su compañía se asemeja a un avión. Imagine la cabina como el área de finanzas y contraloría. Para pilotear el avión es necesario
Más detalles