SlideShare una empresa de Scribd logo

Estudio detallado de los sistemas de información del SNIP actualmente operando –resumen final

Jack Daniel Cáceres Meza
Jack Daniel Cáceres Meza

Estudio detallado de los sistemas de información del SNIP actualmente operando –resumen

Empresariales
1 de 21
Especialista en Servidores y Comunicaciones Contrato I-086-0-2703-JCACERES CONTRATO DE PRÉSTAMO N° 2703/OC-PE Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com Estudio Detallado de los Sistemas de Información del SNIP Actualmente Operando –resumen final Octubre/2014
Equipo Consultor del Proyecto Área técnica específica Unidades directamente involucradas Proyecto específico MEF-BID Cooperación Técnica N° 2703/OC-PE “Mejoramiento de la Gestión de la Inversión Pública Territorial” COMPONENTE 2: “Mejoramiento de la Gestión de los Entes Rectores” Sub Componente 2.4: Articulación de los sistemas de información de los sistemas administrativos (SNIP II) “Estudio detallado de los Sistemas de Información del SNIP actualmente operando” DGPI Sistemas de Información del SNIP: desarrollo, implementación, mantenimiento Supervisor DGPI Coordinador Técnico Especialista en Aplicaciones Especialista en Servidores y Comunicaciones Especialista en Seguridad de la Información OGTI Centro de Datos: alojamiento de servidores y centro de comunicaciones Jefe de Infraestructura Tecnológica Provee facilidades e información preliminar Provee información complementaria
3 ENTREGABLES PRODUCTOS METODOLOGÍA GENERAL DEL TRABAJO PARA LA PRESENTE CONSULTORÍA Planes de mitigación de riesgos inicialmente identificados Análisis de la información existente Reuniones de coordinación técnica Visitas presenciales técnicas Evaluación técnica Desarrollo del informe 1 Plan de trabajo X 2 Análisis de la documentación existente con el fin de determinar su aplicabilidad para la consultoría particular del proyecto X Análisis de la plataforma de servidores que soportan la operación de los aplicativos X X X X X Situación del estado de la red de comunicaciones externa con la cual operan los aplicativos X X X X X 3 Evaluación del estado situacional de los servidores y de las comunicaciones X X X X X Identificación de los principales problemas para plantear alternativas de solución X X X X X 4 Informe técnico consolidado y resumen ejecutivo X X X X PROYECTO Evaluación continua de riesgos X X X X X X Actividades realizadas conforme a los TDR No aplica Se solicitó información específica de los servidores y comunicaciones con los que opera el SNIP, se analizó y evaluó la que se logró recabar, y se emitieron los informes correspondientes, en cumplimiento de los TDR y del cronograma establecido Presentación final
4 Gestión y provisión de servicios Planificación Diseño y desarrollo Implantación/despliegue Monitoreo y control Técnico Complejidad Ecosistema tecnológico Controles de la seguridad de la información Normas técnicas peruanas Estándares internacionales Mejores prácticas en la industria Externo Gobierno de TI –nivel de madurez Disposiciones legales Normas Técnicas Peruanas Estándares internacionales Mejores prácticas en la industria Crisis internacional Cambio de prioridades Organización Seguridad, autorizaciones y facilidades Disponibilidad, oportunidad y calidad de la información Identificación y participación de áreas y actores involucrados y/o relacionados Modelo general para las evaluaciones realizadasAseguramientodelacalidad Lo que se evaluó Bases para las evaluaciones Riesgos inicialmente identificados Lecciones aprendidas
5 DGPI: 0, no adecuadoNivel de madurez de los Sistemas de Información del SNIP Condiciones negativas a las que están expuestos los Sistemas de Información del SNIP Resultados impredecibles y pobremente controlados, carencia de protocolosOGTI: 1, desarrollo básico RIESGOS Alto Moderado Total Responsabilidad Organización 2 2 4 Extracción no autorizada de datos 1 1 Impredecible el tiempo de recuperación ante incidentes 1 1 Inestabilidad de la operación 1 1 Reactividad, el estar siempre resolviendo urgencias, carencia de previsión, re-trabajos, alta dependencia en personas 1 1 Técnico 3 3 Actuación tardía frente a degradación imprevista del servicio 1 1 Interrupciones no autorizadas del servicio 1 1 Interrupciones no programadas del servicio 1 1 Total 5 2 7 100% Riesgo 71% 29% 100% 57% 43% GESTIÓN
6 Alternativas de solución de alto nivel: implantación de procesos, como mínimo: • Monitoreo, control • Gestión del servicio • Gestión de configuraciones • Gestión de cambios Garantizar el soporte eficiente y efectivo de los servicios • Despliegue • Capacidad, escalabilidad, rendimiento • Disponibilidad, integridad, confidencialidad, • Sostenibilidad, sustentabilidad Garantizar la provisión eficiente y continua de servicios • Roles, privilegios, autorizaciones, control de acceso • Disponibilidad, integridad de bases de datos • Protección de datos personales • Trazabilidad de operaciones y/o acciones Garantizar la eficiencia del diseño, desarrollo, despliegue y mantenimiento de los servicios que son provistos, incluyendo la seguridad informática desde la concepción de estos servicios
7 ANÁLISIS Y EVALUACIÓN CONCLUSIONES CONSULTORÍAS PREVIAS NO APLICA PLATAFORMA DE SERVIDORES LOS SISTEMAS DE INFORMACIÓN DEL SNIP ESTÁN EN RIESGO ALTO. LA DGPI DEBE MEJORAR Y TIENE AMPLIO MARGEN PARA HACERLO. PLATAFORMA DE COMUNICACIONES LA OGTI DEBE MEJORAR Y TIENE AMPLIO MARGEN PARA HACERLO Conclusiones CONCLUSIÓN GENERAL Se debe y se tiene amplio margen para mejorar en cuanto a la gestión de los servicios de TI y a la gestión de la seguridad de la información de los Sistemas de Información del SNIP, iniciando por los controles de seguridad informática correspondientes Si no mido, no controlo. Si no controlo, no gestiono. Si no gestiono, no mejoro.
8 Acciones a tomar sobre la situación actual, en el INMEDIATO A CORTO PLAZO, considerando la condición de RIESGO ALTO en que se encuentran los Sistemas de Información del SNIP Acciones a tomar para un nuevo Sistema de Información del SNIP Se sugiere que las recomendaciones vertidas sean sinceradas por la DGPI en cuanto a su disponibilidad de recursos, tanto de personal interno como externo y económicos o financieros, y de necesidades particulares como inicio, duración, alcance, necesidades de servicio, aspectos políticos. Recomendaciones Pilar de gestión considerado Total Responsabilidad Persona 3 13% Proceso 17 74% Tecnología 3 13% Total 23 100% Pilar de gestión considerado Total Responsabilidad Persona 9 29% Proceso 15 48% Tecnología 7 23% Total 31 100% Establecer primero procesos, luego identificar y adoptar la tecnología más adecuada, y dimensionarla apropiadamente
Gracias por su atención ¿Preguntas? Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com
Soporte operativo enfocado en los Sistemas de Información del SNIP FACTOR EVALUADO Nivel técnico Personal con conocimiento técnico Cantidad de personal técnico a cargo Orientación (Mayormente “Apagar incendios”) Conocimiento de estándares internacionales o normas técnicas peruanas Aplicación de estándares internacionales o normas técnicas peruanas (No se encontró evidencia) Conocimiento de mejores prácticas en la industria Aplicación de mejores prácticas en la industria (No se encontró evidencia) Sujeto a auditorías de seguridad de la información (No se encontró evidencia del levantamiento de observaciones) Experiencia en gestión de proyectos 1 3 4 1 3 1 1 No adecuado En desarrollo medio En desarrollo básico Desarrollo superior Estado óptimo Responsable OGTI Responsable DGPI Ambos responsables 14 factores evaluados 4 de DGPI 6 entre AMBOS 4 de OGTI 100%
Gestión del servicio -de TI- en los servidores donde operan los Sistemas de Información del SNIP 2 4 3 2 1 No cumple normativaCumple parcialmente las normativas Estado óptimoNo aplica Soporte de los servicios Provisión de los servicios Incidentes Problemas Cambios Ayuda Finanzas Continuidad Disponibilidad SLA Capacidades Seguridad Configuraciones Versiones ÁREA 12 OBJETIVOS Soportedelos servicios Gestión de incidentes Gestión de problemas Gestión de configuraciones Gestión de cambios Gestión de versiones Gestión de ayuda Provisióndelosservicios Gestión de acuerdos de nivel de servicio Gestión de finanzas para las TIC Planificación de capacidades Gestión de la continuidad del servicio Gestión de la disponibilidad Gestión de seguridad de las TIC 0 Servicios críticos Limitado y/o reactivo 12 objetivos evaluados 5 CRÍTICOS 6 PARCIALES 1 NO APLICA Responsable DGPI
Gestión de controles de la seguridad de la información en los servidores donde operan los Sistemas de Información del SNIP 11 DOMINIOS, 133 CONTROLES Política de seguridad Organización de la seguridad de la información Gestión de activos Seguridad ligada a los recursos humanos Seguridad física y del entorno -OGTI Gestión de comunicaciones y operaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de incidentes de seguridad de la información Gestión de la continuidad del negocio Cumplimiento regulatorio 1 2 1 2 4 No cumple normativa Cumple parcialmente las normativas Estado óptimo No aplica Responsable OGTI Responsable DGPI Ambos responsables No aplica Activos Comunicaciones y operaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas de información Seguridad física y del entorno: OGTI Cumplimiento regulatorio Seguridad de la información Política Organización RRHH Continuidad del negocio 1 0 Limitado y/o reactivo 11 dominios evaluados 4 CRÍTICOS 2 PARCIALES 4 NO APLICAN 1 OGTI
15 Características generales 98 Características específicas 15 CARACTERÍSTICAS GENERALES DE APLICACIÓN EVALUADA Obsolescencia de servidores Administración de redes Operaciones diarias Bases de datos Monitorización Control Seguridad de datos y sistemas, controles de seguridad Contingencia Seguridad del área Capacitación Acuerdos de nivel de servicio Costo total de propiedad Protección del medio ambiente Gestión Planeamiento de capacidad e infraestructura 56 5 1 36 41 53 0 4 No cumple Cumplimiento parcial Estado óptimo No aplica No cumple Cumplimiento parcial Estado óptimo No aplica DGPIOGTI 90% 8% 2% 0% 44% 56% 0% 0% No cumple Cumplimiento parcial Estado óptimo No aplica No cumple Cumplimiento parcial Estado óptimo No aplica DGPIOGTI Cumplimiento de 98 características específicas % de cumplimiento de las características que aplican Tecnología vigente
COMPONENTE MADUREZ CARACTERÍSTICAS ENCONTRADAS RESPONSABLE CALIFICACIÓN Servidores (configuración lógica, soporte técnico de software base y software aplicativo) Nivel 0-1 Existe reactividad Existe desorganización de funciones La solución de problemas se realiza mediante un enfoque ad hoc aplicado de manera individual o caso por caso Existe dependencia en personas Se actúa como “bombero” DGPI No adecuado Servidores (instalación física, soporte técnico de infraestructura y de hardware) Nivel 1 Existencia de algunos procedimientos, no documentados, no detallados Existe alguna evidencia de aproximación a, y algún logro del atributo definido en el proceso evaluado Existe alto grado de dependencia en personas Se actúa como “bombero” OGTI En desarrollo medio Nivel de madurez alcanzado en los servidores donde operan los Sistemas de Información del SNIP
COMPONENTE MADUREZ CARACTERÍSTICAS ENCONTRADAS RESPONSABLE CALIFICACIÓN Equipos de comunicación Nivel 1 Existencia de algunos procedimientos, no documentados, no detallados Existe alguna evidencia de aproximación a, y algún logro del atributo definido en el proceso evaluado Existe alto grado de dependencia en personas Se actúa como “bombero” OGTI En desarrollo medio Nivel de madurez alcanzado en los equipos de comunicaciones con los que operan los Sistemas de Información del SNIP
161 El no contar con procesos establecidos y sus procedimientos documentados para garantizar la disponibilidad de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación refuerza negativamente la reactividad, el estar siempre resolviendo urgencias, a la carencia de previsión, a los re-trabajos, lo que incidiría en una pérdida de eficiencia en el servicio y de confianza en la gestión del servicio. Organización 0.9 0.6 0.54 Alto 2 El no contar con procesos establecidos y sus procedimientos documentados de operación y mantenimiento de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría facilitar un número creciente de interrupciones no programadas del servicio, lo que incidiría en un incremento en las quejas de los usuarios a nivel nacional por la no disponibilidad del servicio. Técnico 0.7 0.8 0.56 Alto 3 El no contar con procesos establecidos y sus procedimientos documentados de funcionamiento y operación de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría conducir a una actuación tardía frente a degradación imprevista del servicio, lo que incidiría en un incremento en las reclamaciones de los usuarios, sobre todo del interior del país. Técnico 0.5 0.8 0.40 Alto 4 El no contar con procesos establecidos y sus procedimientos documentados de operación y seguridad de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría facilitar un número creciente de interrupciones no autorizadas del servicio, lo que incidiría en un incremento en las quejas de los usuarios a nivel nacional por la no disponibilidad del servicio y pérdida de confianza en la seguridad de la información registrada. Técnico 0.5 0.8 0.40 Alto 5 El no contar con procesos establecidos y sus procedimientos documentados para el soporte y operación de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría facilitar la inestabilidad de la operación, lo que incidiría en una pérdida de confianza en la gestión del servicio. Organización 0.5 0.8 0.40 Alto 6 El no contar con procesos establecidos y sus procedimientos documentados de control y seguridad de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría facilitar la extracción no autorizada de datos incurriéndose en un incidente de seguridad de la información con implicancias de carácter legal que podrían afectar negativamente la imagen institucional. Organización 0.3 0.8 0.24 Moderado 7 El no contar con procesos establecidos y sus procedimientos documentados para garantizar la continuidad operativa de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría hacer impredecible el tiempo de recuperación ante incidentes, lo que incidiría en una pérdida de confianza en la planificación y gestión del servicio. Organización 0.3 0.8 0.24 Moderado Total Categoría Organización 4 5 Porcentaje de responsabilidad 57% Porcentaje de responsabilidad 71% Total Categoría Técnico 3 Nivel de riesgo Moderado 2 Porcentaje de participación 43% Porcentaje de participación 29% Nivel de riesgoRESUMEN Nivel de riesgo Alto N° Riesgo Categoría Probabilidad Impacto Severidad RIESGO ALTO
17 CONCLUSIÓN Se debe y se tiene amplio margen para mejorar en cuanto a la gestión de los servicios de TI y a la gestión de la seguridad de la información de los Sistemas de Información del SNIP N° CONCLUSIONES SOBRE LA RED DE COMUNICACIONES 1 LA RED DE COMUNICACIONES QUE PRESTA SERVICIO A LOS SISTEMAS DE INFORMACIÓN DEL SNIP ESTÁN SUJETOS A LOS PROCEDIMIENTOS BÁSICOS DE OGTI 2 LA OGTI DEBE MEJORAR Y TIENE AMPLIO MARGEN PARA HACERLO 3 LA ORGANIZACIÓN DEBE REALIZAR UN ANÁLISIS EXHAUSTIVO DE RIESGOS DE TI N° CONCLUSIONES SOBRE LA PLATAFORMA DE SERVIDORES 1 LA DGPI NO CONSIDERA PRIORITARIA LA APLICACIÓN DE MEJORES PRÁCTICAS EN LA INDUSTRIA. LOS SISTEMAS DE INFORMACIÓN DEL SNIP NO OBTIENEN LOS BENEFICIOS DE ADOPTAR LAS MEJORES PRÁCTICAS EN LA INDUSTRIA 2 LA DGPI NO ABORDA CON PRIORIDAD NI ADECUADAMENTE EL CUMPLIMIENTO DE LA NORMA TÉCNICA PERUANA “NTP ISO/IEC 20000- 2:2008. TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DEL SERVICIO. PARTE 2: CÓDIGO DE BUENAS PRÁCTICAS”. LOS SISTEMAS DE INFORMACIÓN DEL SNIP NO SE ENCUENTRAN ADECUADAMENTE GESTIONADOS 3 LA DGPI NO ABORDA CON PRIORIDAD NI ADECUADAMENTE EL CUMPLIMIENTO DE LA NORMA TÉCNICA PERUANA “NTP ISO/IEC 17799:2007 EDI. TECNOLOGÍA DE LA INFORMACIÓN. CÓDIGO DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. 2ª EDICIÓN”. LA SEGURIDAD DE LA INFORMACIÓN DE LOS SISTEMAS DE INFORMACIÓN DEL SNIP NO SE ENCUENTRA ADECUADAMENTE GESTIONADA 4 EL NIVEL DE MADUREZ ALCANZADO CON REFERENCIA A LOS SISTEMAS DE INFORMACIÓN DEL SNIP ESTÁ ENTRE 0 (NO SE RECONOCEN PROCESOS) Y 1 (RESULTADOS IMPREDECIBLES Y POBREMENTE CONTROLADOS) 5 SE REQUIERE EL DESARROLLO DE UN ANÁLISIS DE BRECHA PARA ESTABLECER ACCIONES DE REMEDIACIÓN URGENTES, DE CORTO, MEDIANO Y LARGO PLAZO, Y LOGRAR EL OBJETIVO ESPECÍFICO DE CUMPLIMIENTO REQUERIDO EN CADA CASO CON LA POSTERIOR IMPLEMENTACIÓN DE LAS RECOMENDACIONES ATENDIENDO AL CRONOGRAMA QUE ESTE ANÁLISIS PROPONGA 6 LA DGPI DEBE MEJORAR Y TIENE AMPLIO MARGEN PARA HACERLO 7 LOS SISTEMAS DE INFORMACIÓN DEL SNIP ESTÁN EXPUESTOS A RIESGOS ALTOS 8 LA ORGANIZACIÓN DEBE REALIZAR UN ANÁLISIS EXHAUSTIVO DE RIESGOS DE TI EN LOS SISTEMAS DE INFORMACIÓN DEL SNIP 9 LA RESISTENCIA A PROPORCIONAR INFORMACIÓN O A HACERLA TANGIBLE EN LOS PROCEDIMIENTOS DOCUMENTADOS CORRESPONDIENTES AMERITA UNA EVALUACIÓN EXHAUSTIVA Y LAS MEDIDAS CORRECTIVAS URGENTES Y NECESARIAS YA QUE SON FUENTE DE RIESGOS N° CONCLUSIONES DE CONSULTORÍAS PREVIAS 1 EL MATERIAL DE CONSULTORÍAS PREVIAS NO APLICA PARA LA PRESENTE CONSULTORÍA DE SERVIDORES Y COMUNICACIONES RELACIONADAS CON EL APLICATIVO SNIP 2 LIMITADO ENFOQUE EN SERVIDORES
18 Recomendaciones  Se sugiere que las recomendaciones vertidas sean sinceradas por la DGPI en cuanto a su disponibilidad de recursos, tanto de personal interno como externo y económicos o financieros, y de necesidades particulares como inicio, duración, alcance, necesidades de servicio, aspectos políticos.  Las siguientes recomendaciones se proporcionan siguiendo un modelo de gestión para la sostenibilidad de los servicios de TI.  Un modelo de gestión es un modelo de referencia para la organización y gestión de una empresa que permite establecer un enfoque y un marco de referencia objetivo, riguroso y estructurado para el diagnóstico de la organización, así como determinar las líneas de mejora continua hacia las cuales deben orientarse los esfuerzos de la organización. Es, por tanto, un referente estratégico que identifica las áreas sobre las que hay que actuar y evaluar para alcanzar la excelencia dentro de una organización.
19 Proceso Persona Tecnología 1 Desarrollar capacidad de reacción X 2 Desarrollar sentido y orientación a la proactividad X 3 Estrategia Acuerdos de nivel de servicio X 4 Estrategia Costo total de propiedad X 5 Estrategia Calidad y mejora continua X 6 Gestión de activos X 7 Gestión de ayuda X 8 Gestión de cambios X 9 Gestión de comunicaciones y operaciones X 10 Gestión de incidentes X 11 Gestión de incidentes de seguridad de la información X 12 Gestión de la adquisición, desarrollo y mantenimiento de sistemas de información X 13 Gestión de la configuración X 14 Gestión de la continuidad del servicio X 15 Gestión de la disponibilidad X 16 Gestión de problemas X 17 Gestión de servicios X 18 Gestión de versiones X 19 Implementar monitoreo, control y soporte proactivo X 20 Interiorizar el uso de normas técnicas, estándares internacionales y mejores prácticas de la industria X 21 Planificación de capacidades X 22 Sistema aprobado y probado para el control de accesos X 23 Trazabilidad de las operaciones o acciones realizadas X Sub total de pilares de gestión considerados 17 3 3 Porcentaje de contribución de los pilares de gestión 73.9% 13.0% 13.0% Pilar de gestión considerado N° Recomendaciones de implementación (orden alfabético) Resumen Recomendaciones de acciones a tomar sobre la situación actual, en el inmediato a corto plazo, considerando la condición de RIESGO ALTO en que se encuentran los Sistemas de Información del SNIP
20 N° Recomendaciones de acciones a tomar sobre un nuevo sistema de información del SNIP (orden alfabético) Pilar de gestión considerado Proceso Persona Tecnología 1 Control de la calidad de los servicios X 2 Control de la confidencialidad para el acceso y uso de los servicios X 3 Control de la disponibilidad de los equipos de comunicaciones que permiten la operación de los servicios X 4 Control de la disponibilidad del hardware y software de servidores que permiten la operación de los servicios X 5 Control de la integridad de las bases de datos X 6 Control del rendimiento de los servicios X 7 Dar cumplimiento a la Norma Técnica Peruana "NTP ISO 9000:2007 SISTEMAS DE GESTION DE LA CALIDAD. Fundamentos y vocabulario. 5a. ed.", o norma vigente X 8 Dar cumplimiento a la Norma Técnica Peruana "NTP ISO/IEC 27001:2008 EDI Tecnología de Información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la Información" o norma vigente X 9 Dar cumplimiento a la Norma Técnica Peruana “NTP ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2ª Edición”, o norma vigente X 10 Dar cumplimiento a la Norma Técnica Peruana “NTP ISO/IEC 20000-2:2008. Tecnología de la información. Gestión del servicio. Parte 2: Código de buenas prácticas”, o norma vigente X 11 Desarrollar Acuerdos de Nivel Operacional (entre áreas de la organización relacionadas con el servicio) X 12 Desarrollar una base de datos de gestión de configuraciones X 13 Establecer Requisitos de nivel de servicio (para el ciudadano) X 14 Establecer una estrategia Costo total de propiedad X 15 Evaluación de mejores prácticas en la industria que deberán ser adoptadas por la organización y el proveedor de servicios externos complementarios X 16 Evaluación de otras normas técnicas peruanas relevantes a las que deberá dar cumplimiento la organización y el proveedor de servicios externos complementarios X 17 Evaluación de otros estándares internacionales relevantes que deberán ser aplicados por la organización y el proveedor de servicios externos complementarios X 18 Gestión de cambios X 19 Gestión de configuraciones X 20 Gestión de la capacidad del servicio X 21 Gestión de la continuidad del servicio X 22 Gestión de la seguridad de la información X 23 Gestión del soporte tercerizado (servicios externos complementarios) X 24 Gestionar la mejora continua del servicio en todo nivel X 25 Gestionar los niveles de calidad del servicio (entre las áreas involucradas con el servicio y el recibido por el ciudadano) X 26 Implementar Acuerdos de nivel de servicio (transparentes y útiles para el ciudadano) X 27 Monitoreo de la confidencialidad para el acceso y uso de los servicios X 28 Monitoreo de la disponibilidad de los equipos de comunicaciones que permiten la operación de los servicios X 29 Monitoreo de la disponibilidad del hardware y software de servidores que permiten la operación de los servicios X 30 Monitoreo de la integridad de las bases de datos X 31 Monitoreo del rendimiento de los servicios X Resumen Sub total de pilares de gestión considerados 15 9 7 Porcentaje de contribución de los pilares de gestión 48.4% 29.0% 22.6%
21 Lecciones aprendidas  Identificar con la debida anticipación las diferentes unidades de la organización interesadas e involucradas con el desarrollo de la consultoría.  En todo proyecto la gestión de los interesados y la gestión de las comunicaciones son puntos de vital importancia y máximo cuidado.  Identificar en estos interesados sus esquemas de seguridad o procedimientos propios para la provisión o entrega de información necesaria y oportuna.  En todo proyecto el tratamiento de requisitos es una actividad exigida.  Abordar la reticencia por parte de aquellos que directamente controlan la información para proveerla, escudándose erróneamente en aspectos de seguridad o confidencialidad.  La organización es dueña y responsable de los datos y de todas las formas que haya establecido para su tratamiento o transformación, no las personas.  Asegurar que la información necesaria se encuentre disponible por un número de medios diferentes (documento impreso, documento digital, entre otros), y accesible.  Con anticipación.

Recomendados

Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Curso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoCurso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoJack Daniel Cáceres Meza
 
Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética
Curso: Auditoría de sistemas: 01 Conceptos, estándares, éticaCurso: Auditoría de sistemas: 01 Conceptos, estándares, ética
Curso: Auditoría de sistemas: 01 Conceptos, estándares, éticaJack Daniel Cáceres Meza
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoriaCARLOS martin
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Monografía
MonografíaMonografía
MonografíaAlejandra Martinez
 

Recomendados

Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Curso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoCurso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoJack Daniel Cáceres Meza
 
Curso: Auditoría de sistemas: 01 Conceptos, estándares, ética
Curso: Auditoría de sistemas: 01 Conceptos, estándares, éticaCurso: Auditoría de sistemas: 01 Conceptos, estándares, ética
Curso: Auditoría de sistemas: 01 Conceptos, estándares, éticaJack Daniel Cáceres Meza
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoriaCARLOS martin
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Auditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de EjecuciónAuditoría Informática de Redes. Fase de Ejecución
Auditoría Informática de Redes. Fase de Ejecucióng_quero
 
Monografía
MonografíaMonografía
MonografíaAlejandra Martinez
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Cuestionario, checklist, inspecccion, entrevista
Cuestionario, checklist, inspecccion, entrevistaCuestionario, checklist, inspecccion, entrevista
Cuestionario, checklist, inspecccion, entrevistaHildaMarroquin91
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasivanv40
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
Curso: Auditoría de sistemas: 03 Auditoría informática
Curso: Auditoría de sistemas: 03 Auditoría informáticaCurso: Auditoría de sistemas: 03 Auditoría informática
Curso: Auditoría de sistemas: 03 Auditoría informáticaJack Daniel Cáceres Meza
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Auditoria de sistemas aula virtual
Auditoria de sistemas aula virtualAuditoria de sistemas aula virtual
Auditoria de sistemas aula virtualBrenda Pamela
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesLuis Fernando Aguas Bucheli
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
03 objetivosplanprograma
03 objetivosplanprograma03 objetivosplanprograma
03 objetivosplanprogramaMiguel Angel Sandoval Calderon
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraLuis Fernando Aguas Bucheli
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Ramiro Cid
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
AUDITORIA DE LAS TICS
AUDITORIA DE LAS TICSAUDITORIA DE LAS TICS
AUDITORIA DE LAS TICSIván Rodríguez
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 
Controles de desarrollo de Software
Controles de desarrollo de SoftwareControles de desarrollo de Software
Controles de desarrollo de SoftwareSantander David Navarro
 
Pres Uais Normas Tec Inform
Pres Uais Normas Tec InformPres Uais Normas Tec Inform
Pres Uais Normas Tec InformZenaida
 
Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1Cencosud S.A.
 

Más contenido relacionado

La actualidad más candente

Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Cuestionario, checklist, inspecccion, entrevista
Cuestionario, checklist, inspecccion, entrevistaCuestionario, checklist, inspecccion, entrevista
Cuestionario, checklist, inspecccion, entrevistaHildaMarroquin91
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasivanv40
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informaticoManuel Medina
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informaticaWil Vin
 
Curso: Auditoría de sistemas: 03 Auditoría informática
Curso: Auditoría de sistemas: 03 Auditoría informáticaCurso: Auditoría de sistemas: 03 Auditoría informática
Curso: Auditoría de sistemas: 03 Auditoría informáticaJack Daniel Cáceres Meza
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Auditoria de sistemas aula virtual
Auditoria de sistemas aula virtualAuditoria de sistemas aula virtual
Auditoria de sistemas aula virtualBrenda Pamela
 
Control informatico
Control informaticoControl informatico
Control informaticoVita1985
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Ramiro Cid
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaJaider Quintero
 

La actualidad más candente (20)

Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoria
 
Cuestionario, checklist, inspecccion, entrevista
Cuestionario, checklist, inspecccion, entrevistaCuestionario, checklist, inspecccion, entrevista
Cuestionario, checklist, inspecccion, entrevista
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
control interno informatico
control interno informaticocontrol interno informatico
control interno informatico
 
Tipos de auditoria informatica
Tipos de auditoria informaticaTipos de auditoria informatica
Tipos de auditoria informatica
 
Curso: Auditoría de sistemas: 03 Auditoría informática
Curso: Auditoría de sistemas: 03 Auditoría informáticaCurso: Auditoría de sistemas: 03 Auditoría informática
Curso: Auditoría de sistemas: 03 Auditoría informática
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Auditoria de sistemas aula virtual
Auditoria de sistemas aula virtualAuditoria de sistemas aula virtual
Auditoria de sistemas aula virtual
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en Aplicaciones
 
Control informatico
Control informaticoControl informatico
Control informatico
 
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
UNEG-AS 2012-Pres4: Controles internos para la operación de sistemas. Control...
 
03 objetivosplanprograma
03 objetivosplanprograma03 objetivosplanprograma
03 objetivosplanprograma
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticos
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005
 
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
UNEG-AS 2012-Inf4: Controles internos para la operación de sistemas. Controle...
 
AUDITORIA DE LAS TICS
AUDITORIA DE LAS TICSAUDITORIA DE LAS TICS
AUDITORIA DE LAS TICS
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Presentación auditoria y seguridad informática
Presentación auditoria y seguridad informáticaPresentación auditoria y seguridad informática
Presentación auditoria y seguridad informática
 
Controles de desarrollo de Software
Controles de desarrollo de SoftwareControles de desarrollo de Software
Controles de desarrollo de Software
 

Similar a Estudio detallado de los sistemas de información del SNIP actualmente operando –resumen final

Pres Uais Normas Tec Inform
Pres Uais Normas Tec InformPres Uais Normas Tec Inform
Pres Uais Normas Tec InformZenaida
 
Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1Cencosud S.A.
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
Fabian Descalzo Perfil-2014
Fabian Descalzo Perfil-2014Fabian Descalzo Perfil-2014
Fabian Descalzo Perfil-2014Fabián Descalzo
 
Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Jaime Contreras
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Sistema de información gerencial
Sistema de información gerencialSistema de información gerencial
Sistema de información gerencialEditCastillo
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en RedesBrian Piragauta
 
El Auditor y la Organización.pdf
El Auditor y la Organización.pdfEl Auditor y la Organización.pdf
El Auditor y la Organización.pdfPabloFloresJara1
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsLibreCon
 
CIN26A Avances Riesgos Sistemas de Informacion Junio 2020.pptx
CIN26A Avances Riesgos Sistemas de Informacion Junio 2020.pptxCIN26A Avances Riesgos Sistemas de Informacion Junio 2020.pptx
CIN26A Avances Riesgos Sistemas de Informacion Junio 2020.pptxDAVIDRAFAELRAMIREZCA
 
Módulo auditoria de sistemas
Módulo auditoria de sistemasMódulo auditoria de sistemas
Módulo auditoria de sistemasoskr12381
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Symantec LATAM
 

Similar a Estudio detallado de los sistemas de información del SNIP actualmente operando –resumen final (20)

Pres Uais Normas Tec Inform
Pres Uais Normas Tec InformPres Uais Normas Tec Inform
Pres Uais Normas Tec Inform
 
Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
 
Fabian Descalzo Perfil-2014
Fabian Descalzo Perfil-2014Fabian Descalzo Perfil-2014
Fabian Descalzo Perfil-2014
 
Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07Presentación cumplimiento circular 052 07
Presentación cumplimiento circular 052 07
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013
 
Sistema de información gerencial
Sistema de información gerencialSistema de información gerencial
Sistema de información gerencial
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en Redes
 
El Auditor y la Organización.pdf
El Auditor y la Organización.pdfEl Auditor y la Organización.pdf
El Auditor y la Organización.pdf
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestre
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
 
CIN26A Avances Riesgos Sistemas de Informacion Junio 2020.pptx
CIN26A Avances Riesgos Sistemas de Informacion Junio 2020.pptxCIN26A Avances Riesgos Sistemas de Informacion Junio 2020.pptx
CIN26A Avances Riesgos Sistemas de Informacion Junio 2020.pptx
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cf
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de Sistemas
 
Auditoria dde Sistemas
Auditoria dde SistemasAuditoria dde Sistemas
Auditoria dde Sistemas
 
Universidad la salle presentacion examen de grado
Universidad la salle presentacion examen de gradoUniversidad la salle presentacion examen de grado
Universidad la salle presentacion examen de grado
 
Módulo auditoria de sistemas
Módulo auditoria de sistemasMódulo auditoria de sistemas
Módulo auditoria de sistemas
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
 

Más de Jack Daniel Cáceres Meza

MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINJack Daniel Cáceres Meza
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Jack Daniel Cáceres Meza
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposJack Daniel Cáceres Meza
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosJack Daniel Cáceres Meza
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptJack Daniel Cáceres Meza
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeJack Daniel Cáceres Meza
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareJack Daniel Cáceres Meza
 

Más de Jack Daniel Cáceres Meza (20)

Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
ITIL® SLC Fundamentos
ITIL® SLC FundamentosITIL® SLC Fundamentos
ITIL® SLC Fundamentos
 
Ciclo de vida de un servicio de TI
Ciclo de vida de un servicio de TICiclo de vida de un servicio de TI
Ciclo de vida de un servicio de TI
 
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
 
Producto alcance política-v2
Producto alcance política-v2Producto alcance política-v2
Producto alcance política-v2
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
 
Curso: Unixware
Curso: UnixwareCurso: Unixware
Curso: Unixware
 
UPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporteUPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporte
 
UPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producciónUPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producción
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreo
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuarios
 
UPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equiposUPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equipos
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -ppt
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informe
 
OFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma ColaboradoresOFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma Colaboradores
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto software
 

Último

Como Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasComo Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasoscarhernandez98241
 
cuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfcuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfjesuseleazarcenuh
 
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptx
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptxPIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptx
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptxJosePuentePadronPuen
 
Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasmaicholfc
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfPriscilaBermello
 
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxTIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxKevinHeredia14
 
el impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVel impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVTeresa Rc
 
instrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantesinstrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantessuperamigo2014
 
LIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónLIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónBahamondesOscar
 
Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Gonzalo Morales Esparza
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxedwinrojas836235
 
MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxgabyardon485
 
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfDELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfJaquelinRamos6
 
Ejemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónEjemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónlicmarinaglez
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfdanilojaviersantiago
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxRENANRODRIGORAMIREZR
 
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfguillencuevaadrianal
 
EGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxEGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxDr. Edwin Hernandez
 
gua de docente para el curso de finanzas
gua de docente para el curso de finanzasgua de docente para el curso de finanzas
gua de docente para el curso de finanzassuperamigo2014
 

Último (20)

Como Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasComo Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicas
 
cuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfcuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdf
 
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptx
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptxPIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptx
PIA MATEMATICAS FINANCIERAS SOBRE PROBLEMAS DE ANUALIDAD.pptx
 
Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en droguerias
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdf
 
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxTIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
 
el impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVel impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGV
 
Tarea-4-Estadistica-Descriptiva-Materia.ppt
Tarea-4-Estadistica-Descriptiva-Materia.pptTarea-4-Estadistica-Descriptiva-Materia.ppt
Tarea-4-Estadistica-Descriptiva-Materia.ppt
 
instrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantesinstrumentos de mercados financieros para estudiantes
instrumentos de mercados financieros para estudiantes
 
LIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónLIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de Gestión
 
Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
 
MARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptxMARKETING SENSORIAL -GABRIELA ARDON .pptx
MARKETING SENSORIAL -GABRIELA ARDON .pptx
 
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfDELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
 
Ejemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónEjemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociación
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdf
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
 
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
 
EGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxEGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptx
 
gua de docente para el curso de finanzas
gua de docente para el curso de finanzasgua de docente para el curso de finanzas
gua de docente para el curso de finanzas
 

Estudio detallado de los sistemas de información del SNIP actualmente operando –resumen final

  • 1. Especialista en Servidores y Comunicaciones Contrato I-086-0-2703-JCACERES CONTRATO DE PRÉSTAMO N° 2703/OC-PE Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com Estudio Detallado de los Sistemas de Información del SNIP Actualmente Operando –resumen final Octubre/2014
  • 2. Equipo Consultor del Proyecto Área técnica específica Unidades directamente involucradas Proyecto específico MEF-BID Cooperación Técnica N° 2703/OC-PE “Mejoramiento de la Gestión de la Inversión Pública Territorial” COMPONENTE 2: “Mejoramiento de la Gestión de los Entes Rectores” Sub Componente 2.4: Articulación de los sistemas de información de los sistemas administrativos (SNIP II) “Estudio detallado de los Sistemas de Información del SNIP actualmente operando” DGPI Sistemas de Información del SNIP: desarrollo, implementación, mantenimiento Supervisor DGPI Coordinador Técnico Especialista en Aplicaciones Especialista en Servidores y Comunicaciones Especialista en Seguridad de la Información OGTI Centro de Datos: alojamiento de servidores y centro de comunicaciones Jefe de Infraestructura Tecnológica Provee facilidades e información preliminar Provee información complementaria
  • 3. 3 ENTREGABLES PRODUCTOS METODOLOGÍA GENERAL DEL TRABAJO PARA LA PRESENTE CONSULTORÍA Planes de mitigación de riesgos inicialmente identificados Análisis de la información existente Reuniones de coordinación técnica Visitas presenciales técnicas Evaluación técnica Desarrollo del informe 1 Plan de trabajo X 2 Análisis de la documentación existente con el fin de determinar su aplicabilidad para la consultoría particular del proyecto X Análisis de la plataforma de servidores que soportan la operación de los aplicativos X X X X X Situación del estado de la red de comunicaciones externa con la cual operan los aplicativos X X X X X 3 Evaluación del estado situacional de los servidores y de las comunicaciones X X X X X Identificación de los principales problemas para plantear alternativas de solución X X X X X 4 Informe técnico consolidado y resumen ejecutivo X X X X PROYECTO Evaluación continua de riesgos X X X X X X Actividades realizadas conforme a los TDR No aplica Se solicitó información específica de los servidores y comunicaciones con los que opera el SNIP, se analizó y evaluó la que se logró recabar, y se emitieron los informes correspondientes, en cumplimiento de los TDR y del cronograma establecido Presentación final
  • 4. 4 Gestión y provisión de servicios Planificación Diseño y desarrollo Implantación/despliegue Monitoreo y control Técnico Complejidad Ecosistema tecnológico Controles de la seguridad de la información Normas técnicas peruanas Estándares internacionales Mejores prácticas en la industria Externo Gobierno de TI –nivel de madurez Disposiciones legales Normas Técnicas Peruanas Estándares internacionales Mejores prácticas en la industria Crisis internacional Cambio de prioridades Organización Seguridad, autorizaciones y facilidades Disponibilidad, oportunidad y calidad de la información Identificación y participación de áreas y actores involucrados y/o relacionados Modelo general para las evaluaciones realizadasAseguramientodelacalidad Lo que se evaluó Bases para las evaluaciones Riesgos inicialmente identificados Lecciones aprendidas
  • 5. 5 DGPI: 0, no adecuadoNivel de madurez de los Sistemas de Información del SNIP Condiciones negativas a las que están expuestos los Sistemas de Información del SNIP Resultados impredecibles y pobremente controlados, carencia de protocolosOGTI: 1, desarrollo básico RIESGOS Alto Moderado Total Responsabilidad Organización 2 2 4 Extracción no autorizada de datos 1 1 Impredecible el tiempo de recuperación ante incidentes 1 1 Inestabilidad de la operación 1 1 Reactividad, el estar siempre resolviendo urgencias, carencia de previsión, re-trabajos, alta dependencia en personas 1 1 Técnico 3 3 Actuación tardía frente a degradación imprevista del servicio 1 1 Interrupciones no autorizadas del servicio 1 1 Interrupciones no programadas del servicio 1 1 Total 5 2 7 100% Riesgo 71% 29% 100% 57% 43% GESTIÓN
  • 6. 6 Alternativas de solución de alto nivel: implantación de procesos, como mínimo: • Monitoreo, control • Gestión del servicio • Gestión de configuraciones • Gestión de cambios Garantizar el soporte eficiente y efectivo de los servicios • Despliegue • Capacidad, escalabilidad, rendimiento • Disponibilidad, integridad, confidencialidad, • Sostenibilidad, sustentabilidad Garantizar la provisión eficiente y continua de servicios • Roles, privilegios, autorizaciones, control de acceso • Disponibilidad, integridad de bases de datos • Protección de datos personales • Trazabilidad de operaciones y/o acciones Garantizar la eficiencia del diseño, desarrollo, despliegue y mantenimiento de los servicios que son provistos, incluyendo la seguridad informática desde la concepción de estos servicios
  • 7. 7 ANÁLISIS Y EVALUACIÓN CONCLUSIONES CONSULTORÍAS PREVIAS NO APLICA PLATAFORMA DE SERVIDORES LOS SISTEMAS DE INFORMACIÓN DEL SNIP ESTÁN EN RIESGO ALTO. LA DGPI DEBE MEJORAR Y TIENE AMPLIO MARGEN PARA HACERLO. PLATAFORMA DE COMUNICACIONES LA OGTI DEBE MEJORAR Y TIENE AMPLIO MARGEN PARA HACERLO Conclusiones CONCLUSIÓN GENERAL Se debe y se tiene amplio margen para mejorar en cuanto a la gestión de los servicios de TI y a la gestión de la seguridad de la información de los Sistemas de Información del SNIP, iniciando por los controles de seguridad informática correspondientes Si no mido, no controlo. Si no controlo, no gestiono. Si no gestiono, no mejoro.
  • 8. 8 Acciones a tomar sobre la situación actual, en el INMEDIATO A CORTO PLAZO, considerando la condición de RIESGO ALTO en que se encuentran los Sistemas de Información del SNIP Acciones a tomar para un nuevo Sistema de Información del SNIP Se sugiere que las recomendaciones vertidas sean sinceradas por la DGPI en cuanto a su disponibilidad de recursos, tanto de personal interno como externo y económicos o financieros, y de necesidades particulares como inicio, duración, alcance, necesidades de servicio, aspectos políticos. Recomendaciones Pilar de gestión considerado Total Responsabilidad Persona 3 13% Proceso 17 74% Tecnología 3 13% Total 23 100% Pilar de gestión considerado Total Responsabilidad Persona 9 29% Proceso 15 48% Tecnología 7 23% Total 31 100% Establecer primero procesos, luego identificar y adoptar la tecnología más adecuada, y dimensionarla apropiadamente
  • 9. Gracias por su atención ¿Preguntas? Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com
  • 10. Soporte operativo enfocado en los Sistemas de Información del SNIP FACTOR EVALUADO Nivel técnico Personal con conocimiento técnico Cantidad de personal técnico a cargo Orientación (Mayormente “Apagar incendios”) Conocimiento de estándares internacionales o normas técnicas peruanas Aplicación de estándares internacionales o normas técnicas peruanas (No se encontró evidencia) Conocimiento de mejores prácticas en la industria Aplicación de mejores prácticas en la industria (No se encontró evidencia) Sujeto a auditorías de seguridad de la información (No se encontró evidencia del levantamiento de observaciones) Experiencia en gestión de proyectos 1 3 4 1 3 1 1 No adecuado En desarrollo medio En desarrollo básico Desarrollo superior Estado óptimo Responsable OGTI Responsable DGPI Ambos responsables 14 factores evaluados 4 de DGPI 6 entre AMBOS 4 de OGTI 100%
  • 11. Gestión del servicio -de TI- en los servidores donde operan los Sistemas de Información del SNIP 2 4 3 2 1 No cumple normativaCumple parcialmente las normativas Estado óptimoNo aplica Soporte de los servicios Provisión de los servicios Incidentes Problemas Cambios Ayuda Finanzas Continuidad Disponibilidad SLA Capacidades Seguridad Configuraciones Versiones ÁREA 12 OBJETIVOS Soportedelos servicios Gestión de incidentes Gestión de problemas Gestión de configuraciones Gestión de cambios Gestión de versiones Gestión de ayuda Provisióndelosservicios Gestión de acuerdos de nivel de servicio Gestión de finanzas para las TIC Planificación de capacidades Gestión de la continuidad del servicio Gestión de la disponibilidad Gestión de seguridad de las TIC 0 Servicios críticos Limitado y/o reactivo 12 objetivos evaluados 5 CRÍTICOS 6 PARCIALES 1 NO APLICA Responsable DGPI
  • 12. Gestión de controles de la seguridad de la información en los servidores donde operan los Sistemas de Información del SNIP 11 DOMINIOS, 133 CONTROLES Política de seguridad Organización de la seguridad de la información Gestión de activos Seguridad ligada a los recursos humanos Seguridad física y del entorno -OGTI Gestión de comunicaciones y operaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de incidentes de seguridad de la información Gestión de la continuidad del negocio Cumplimiento regulatorio 1 2 1 2 4 No cumple normativa Cumple parcialmente las normativas Estado óptimo No aplica Responsable OGTI Responsable DGPI Ambos responsables No aplica Activos Comunicaciones y operaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas de información Seguridad física y del entorno: OGTI Cumplimiento regulatorio Seguridad de la información Política Organización RRHH Continuidad del negocio 1 0 Limitado y/o reactivo 11 dominios evaluados 4 CRÍTICOS 2 PARCIALES 4 NO APLICAN 1 OGTI
  • 13. 15 Características generales 98 Características específicas 15 CARACTERÍSTICAS GENERALES DE APLICACIÓN EVALUADA Obsolescencia de servidores Administración de redes Operaciones diarias Bases de datos Monitorización Control Seguridad de datos y sistemas, controles de seguridad Contingencia Seguridad del área Capacitación Acuerdos de nivel de servicio Costo total de propiedad Protección del medio ambiente Gestión Planeamiento de capacidad e infraestructura 56 5 1 36 41 53 0 4 No cumple Cumplimiento parcial Estado óptimo No aplica No cumple Cumplimiento parcial Estado óptimo No aplica DGPIOGTI 90% 8% 2% 0% 44% 56% 0% 0% No cumple Cumplimiento parcial Estado óptimo No aplica No cumple Cumplimiento parcial Estado óptimo No aplica DGPIOGTI Cumplimiento de 98 características específicas % de cumplimiento de las características que aplican Tecnología vigente
  • 14. COMPONENTE MADUREZ CARACTERÍSTICAS ENCONTRADAS RESPONSABLE CALIFICACIÓN Servidores (configuración lógica, soporte técnico de software base y software aplicativo) Nivel 0-1 Existe reactividad Existe desorganización de funciones La solución de problemas se realiza mediante un enfoque ad hoc aplicado de manera individual o caso por caso Existe dependencia en personas Se actúa como “bombero” DGPI No adecuado Servidores (instalación física, soporte técnico de infraestructura y de hardware) Nivel 1 Existencia de algunos procedimientos, no documentados, no detallados Existe alguna evidencia de aproximación a, y algún logro del atributo definido en el proceso evaluado Existe alto grado de dependencia en personas Se actúa como “bombero” OGTI En desarrollo medio Nivel de madurez alcanzado en los servidores donde operan los Sistemas de Información del SNIP
  • 15. COMPONENTE MADUREZ CARACTERÍSTICAS ENCONTRADAS RESPONSABLE CALIFICACIÓN Equipos de comunicación Nivel 1 Existencia de algunos procedimientos, no documentados, no detallados Existe alguna evidencia de aproximación a, y algún logro del atributo definido en el proceso evaluado Existe alto grado de dependencia en personas Se actúa como “bombero” OGTI En desarrollo medio Nivel de madurez alcanzado en los equipos de comunicaciones con los que operan los Sistemas de Información del SNIP
  • 16. 161 El no contar con procesos establecidos y sus procedimientos documentados para garantizar la disponibilidad de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación refuerza negativamente la reactividad, el estar siempre resolviendo urgencias, a la carencia de previsión, a los re-trabajos, lo que incidiría en una pérdida de eficiencia en el servicio y de confianza en la gestión del servicio. Organización 0.9 0.6 0.54 Alto 2 El no contar con procesos establecidos y sus procedimientos documentados de operación y mantenimiento de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría facilitar un número creciente de interrupciones no programadas del servicio, lo que incidiría en un incremento en las quejas de los usuarios a nivel nacional por la no disponibilidad del servicio. Técnico 0.7 0.8 0.56 Alto 3 El no contar con procesos establecidos y sus procedimientos documentados de funcionamiento y operación de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría conducir a una actuación tardía frente a degradación imprevista del servicio, lo que incidiría en un incremento en las reclamaciones de los usuarios, sobre todo del interior del país. Técnico 0.5 0.8 0.40 Alto 4 El no contar con procesos establecidos y sus procedimientos documentados de operación y seguridad de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría facilitar un número creciente de interrupciones no autorizadas del servicio, lo que incidiría en un incremento en las quejas de los usuarios a nivel nacional por la no disponibilidad del servicio y pérdida de confianza en la seguridad de la información registrada. Técnico 0.5 0.8 0.40 Alto 5 El no contar con procesos establecidos y sus procedimientos documentados para el soporte y operación de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría facilitar la inestabilidad de la operación, lo que incidiría en una pérdida de confianza en la gestión del servicio. Organización 0.5 0.8 0.40 Alto 6 El no contar con procesos establecidos y sus procedimientos documentados de control y seguridad de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría facilitar la extracción no autorizada de datos incurriéndose en un incidente de seguridad de la información con implicancias de carácter legal que podrían afectar negativamente la imagen institucional. Organización 0.3 0.8 0.24 Moderado 7 El no contar con procesos establecidos y sus procedimientos documentados para garantizar la continuidad operativa de los servidores y equipos de comunicación que brindan servicio a los Sistemas de Información del SNIP actualmente en operación podría hacer impredecible el tiempo de recuperación ante incidentes, lo que incidiría en una pérdida de confianza en la planificación y gestión del servicio. Organización 0.3 0.8 0.24 Moderado Total Categoría Organización 4 5 Porcentaje de responsabilidad 57% Porcentaje de responsabilidad 71% Total Categoría Técnico 3 Nivel de riesgo Moderado 2 Porcentaje de participación 43% Porcentaje de participación 29% Nivel de riesgoRESUMEN Nivel de riesgo Alto N° Riesgo Categoría Probabilidad Impacto Severidad RIESGO ALTO
  • 17. 17 CONCLUSIÓN Se debe y se tiene amplio margen para mejorar en cuanto a la gestión de los servicios de TI y a la gestión de la seguridad de la información de los Sistemas de Información del SNIP N° CONCLUSIONES SOBRE LA RED DE COMUNICACIONES 1 LA RED DE COMUNICACIONES QUE PRESTA SERVICIO A LOS SISTEMAS DE INFORMACIÓN DEL SNIP ESTÁN SUJETOS A LOS PROCEDIMIENTOS BÁSICOS DE OGTI 2 LA OGTI DEBE MEJORAR Y TIENE AMPLIO MARGEN PARA HACERLO 3 LA ORGANIZACIÓN DEBE REALIZAR UN ANÁLISIS EXHAUSTIVO DE RIESGOS DE TI N° CONCLUSIONES SOBRE LA PLATAFORMA DE SERVIDORES 1 LA DGPI NO CONSIDERA PRIORITARIA LA APLICACIÓN DE MEJORES PRÁCTICAS EN LA INDUSTRIA. LOS SISTEMAS DE INFORMACIÓN DEL SNIP NO OBTIENEN LOS BENEFICIOS DE ADOPTAR LAS MEJORES PRÁCTICAS EN LA INDUSTRIA 2 LA DGPI NO ABORDA CON PRIORIDAD NI ADECUADAMENTE EL CUMPLIMIENTO DE LA NORMA TÉCNICA PERUANA “NTP ISO/IEC 20000- 2:2008. TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DEL SERVICIO. PARTE 2: CÓDIGO DE BUENAS PRÁCTICAS”. LOS SISTEMAS DE INFORMACIÓN DEL SNIP NO SE ENCUENTRAN ADECUADAMENTE GESTIONADOS 3 LA DGPI NO ABORDA CON PRIORIDAD NI ADECUADAMENTE EL CUMPLIMIENTO DE LA NORMA TÉCNICA PERUANA “NTP ISO/IEC 17799:2007 EDI. TECNOLOGÍA DE LA INFORMACIÓN. CÓDIGO DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. 2ª EDICIÓN”. LA SEGURIDAD DE LA INFORMACIÓN DE LOS SISTEMAS DE INFORMACIÓN DEL SNIP NO SE ENCUENTRA ADECUADAMENTE GESTIONADA 4 EL NIVEL DE MADUREZ ALCANZADO CON REFERENCIA A LOS SISTEMAS DE INFORMACIÓN DEL SNIP ESTÁ ENTRE 0 (NO SE RECONOCEN PROCESOS) Y 1 (RESULTADOS IMPREDECIBLES Y POBREMENTE CONTROLADOS) 5 SE REQUIERE EL DESARROLLO DE UN ANÁLISIS DE BRECHA PARA ESTABLECER ACCIONES DE REMEDIACIÓN URGENTES, DE CORTO, MEDIANO Y LARGO PLAZO, Y LOGRAR EL OBJETIVO ESPECÍFICO DE CUMPLIMIENTO REQUERIDO EN CADA CASO CON LA POSTERIOR IMPLEMENTACIÓN DE LAS RECOMENDACIONES ATENDIENDO AL CRONOGRAMA QUE ESTE ANÁLISIS PROPONGA 6 LA DGPI DEBE MEJORAR Y TIENE AMPLIO MARGEN PARA HACERLO 7 LOS SISTEMAS DE INFORMACIÓN DEL SNIP ESTÁN EXPUESTOS A RIESGOS ALTOS 8 LA ORGANIZACIÓN DEBE REALIZAR UN ANÁLISIS EXHAUSTIVO DE RIESGOS DE TI EN LOS SISTEMAS DE INFORMACIÓN DEL SNIP 9 LA RESISTENCIA A PROPORCIONAR INFORMACIÓN O A HACERLA TANGIBLE EN LOS PROCEDIMIENTOS DOCUMENTADOS CORRESPONDIENTES AMERITA UNA EVALUACIÓN EXHAUSTIVA Y LAS MEDIDAS CORRECTIVAS URGENTES Y NECESARIAS YA QUE SON FUENTE DE RIESGOS N° CONCLUSIONES DE CONSULTORÍAS PREVIAS 1 EL MATERIAL DE CONSULTORÍAS PREVIAS NO APLICA PARA LA PRESENTE CONSULTORÍA DE SERVIDORES Y COMUNICACIONES RELACIONADAS CON EL APLICATIVO SNIP 2 LIMITADO ENFOQUE EN SERVIDORES
  • 18. 18 Recomendaciones  Se sugiere que las recomendaciones vertidas sean sinceradas por la DGPI en cuanto a su disponibilidad de recursos, tanto de personal interno como externo y económicos o financieros, y de necesidades particulares como inicio, duración, alcance, necesidades de servicio, aspectos políticos.  Las siguientes recomendaciones se proporcionan siguiendo un modelo de gestión para la sostenibilidad de los servicios de TI.  Un modelo de gestión es un modelo de referencia para la organización y gestión de una empresa que permite establecer un enfoque y un marco de referencia objetivo, riguroso y estructurado para el diagnóstico de la organización, así como determinar las líneas de mejora continua hacia las cuales deben orientarse los esfuerzos de la organización. Es, por tanto, un referente estratégico que identifica las áreas sobre las que hay que actuar y evaluar para alcanzar la excelencia dentro de una organización.
  • 19. 19 Proceso Persona Tecnología 1 Desarrollar capacidad de reacción X 2 Desarrollar sentido y orientación a la proactividad X 3 Estrategia Acuerdos de nivel de servicio X 4 Estrategia Costo total de propiedad X 5 Estrategia Calidad y mejora continua X 6 Gestión de activos X 7 Gestión de ayuda X 8 Gestión de cambios X 9 Gestión de comunicaciones y operaciones X 10 Gestión de incidentes X 11 Gestión de incidentes de seguridad de la información X 12 Gestión de la adquisición, desarrollo y mantenimiento de sistemas de información X 13 Gestión de la configuración X 14 Gestión de la continuidad del servicio X 15 Gestión de la disponibilidad X 16 Gestión de problemas X 17 Gestión de servicios X 18 Gestión de versiones X 19 Implementar monitoreo, control y soporte proactivo X 20 Interiorizar el uso de normas técnicas, estándares internacionales y mejores prácticas de la industria X 21 Planificación de capacidades X 22 Sistema aprobado y probado para el control de accesos X 23 Trazabilidad de las operaciones o acciones realizadas X Sub total de pilares de gestión considerados 17 3 3 Porcentaje de contribución de los pilares de gestión 73.9% 13.0% 13.0% Pilar de gestión considerado N° Recomendaciones de implementación (orden alfabético) Resumen Recomendaciones de acciones a tomar sobre la situación actual, en el inmediato a corto plazo, considerando la condición de RIESGO ALTO en que se encuentran los Sistemas de Información del SNIP
  • 20. 20 N° Recomendaciones de acciones a tomar sobre un nuevo sistema de información del SNIP (orden alfabético) Pilar de gestión considerado Proceso Persona Tecnología 1 Control de la calidad de los servicios X 2 Control de la confidencialidad para el acceso y uso de los servicios X 3 Control de la disponibilidad de los equipos de comunicaciones que permiten la operación de los servicios X 4 Control de la disponibilidad del hardware y software de servidores que permiten la operación de los servicios X 5 Control de la integridad de las bases de datos X 6 Control del rendimiento de los servicios X 7 Dar cumplimiento a la Norma Técnica Peruana "NTP ISO 9000:2007 SISTEMAS DE GESTION DE LA CALIDAD. Fundamentos y vocabulario. 5a. ed.", o norma vigente X 8 Dar cumplimiento a la Norma Técnica Peruana "NTP ISO/IEC 27001:2008 EDI Tecnología de Información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la Información" o norma vigente X 9 Dar cumplimiento a la Norma Técnica Peruana “NTP ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2ª Edición”, o norma vigente X 10 Dar cumplimiento a la Norma Técnica Peruana “NTP ISO/IEC 20000-2:2008. Tecnología de la información. Gestión del servicio. Parte 2: Código de buenas prácticas”, o norma vigente X 11 Desarrollar Acuerdos de Nivel Operacional (entre áreas de la organización relacionadas con el servicio) X 12 Desarrollar una base de datos de gestión de configuraciones X 13 Establecer Requisitos de nivel de servicio (para el ciudadano) X 14 Establecer una estrategia Costo total de propiedad X 15 Evaluación de mejores prácticas en la industria que deberán ser adoptadas por la organización y el proveedor de servicios externos complementarios X 16 Evaluación de otras normas técnicas peruanas relevantes a las que deberá dar cumplimiento la organización y el proveedor de servicios externos complementarios X 17 Evaluación de otros estándares internacionales relevantes que deberán ser aplicados por la organización y el proveedor de servicios externos complementarios X 18 Gestión de cambios X 19 Gestión de configuraciones X 20 Gestión de la capacidad del servicio X 21 Gestión de la continuidad del servicio X 22 Gestión de la seguridad de la información X 23 Gestión del soporte tercerizado (servicios externos complementarios) X 24 Gestionar la mejora continua del servicio en todo nivel X 25 Gestionar los niveles de calidad del servicio (entre las áreas involucradas con el servicio y el recibido por el ciudadano) X 26 Implementar Acuerdos de nivel de servicio (transparentes y útiles para el ciudadano) X 27 Monitoreo de la confidencialidad para el acceso y uso de los servicios X 28 Monitoreo de la disponibilidad de los equipos de comunicaciones que permiten la operación de los servicios X 29 Monitoreo de la disponibilidad del hardware y software de servidores que permiten la operación de los servicios X 30 Monitoreo de la integridad de las bases de datos X 31 Monitoreo del rendimiento de los servicios X Resumen Sub total de pilares de gestión considerados 15 9 7 Porcentaje de contribución de los pilares de gestión 48.4% 29.0% 22.6%
  • 21. 21 Lecciones aprendidas  Identificar con la debida anticipación las diferentes unidades de la organización interesadas e involucradas con el desarrollo de la consultoría.  En todo proyecto la gestión de los interesados y la gestión de las comunicaciones son puntos de vital importancia y máximo cuidado.  Identificar en estos interesados sus esquemas de seguridad o procedimientos propios para la provisión o entrega de información necesaria y oportuna.  En todo proyecto el tratamiento de requisitos es una actividad exigida.  Abordar la reticencia por parte de aquellos que directamente controlan la información para proveerla, escudándose erróneamente en aspectos de seguridad o confidencialidad.  La organización es dueña y responsable de los datos y de todas las formas que haya establecido para su tratamiento o transformación, no las personas.  Asegurar que la información necesaria se encuentre disponible por un número de medios diferentes (documento impreso, documento digital, entre otros), y accesible.  Con anticipación.