Sistemas de información empresarial

Sistemas de información
empresarial
Febrero 2013
Docente: Mgs. Marco Cevallos, ITIL,
CISA, CCSA, CRMA.

Primera Parte:
Organizaciones, administración y la
empresa en la red

Rol de los SI en los negocios actuales

60´s - 90´s 90´s - 05´s 05´s - 12´s

30 años 15 años 7 años

Qué objetivos estratégicos ayuda a cumplir la
tecnología de la información

Qué objetivos estratégicos ayuda a cumplir la tecnología de
la información.

Excelencia operativa, nuevos productos y servicios, proveedores y clientes

Qué objetivos estratégicos ayuda a cumplir la tecnología de
la información.

Toma de decisiones, ventaja competitiva y servicios, superviviencia

Activos complementarios para obtener valor sobre la
inversión en tecnología de la información

• Inversión en el modelo de negocios: el modelo de
negocios debe tener concordancia con la apertura a la
innovación y optimización operativa.

• Inversión en el modelo administrativo y organizativo:
modelo jerárquico abierto a la participación y
creatividad de los empleados.

• Inversiones sociales: recursos de tecnología de la
información, infraestructura tecnológica, conectividad,
internet.

Procesos de negocio y sistemas de información

Tipos de sistemas de información empresarial
Sistemas de ventas y marketing:
-Facturación en línea.
-Controles de oferta vs. Capacidad.
-Controles de costos de acuerdo a
temporada y campañas.
-Controles de suma de totales y
valores unitarios.
-Movilidad en los sistemas de
marketing
-Conectividad en tiempo real con los
datos centralizados

Sistemas de manufactura y producción:
-Controles de conteo
-Parametrización de características, costos, y cantidad de producción.
-Control de calidad en producción
-Ejecución de casos de pruebas en sistemas de información
-Proyección de errores y producción de unidades.

Sistemas de RRHH:
-Generación de perfiles de empleados
-Centralización de información de empleados
-Acceso distribuido a la información de pagos, vacaciones, etc.
-Programas de crecimiento y capacitación
-Cálculo de desempeño en base a objetivos y entregables.
-Proyecciones de producción y desempeño.

Sistemas financieros y contables:
•Control de inventario
•Control de ingresos y egresos
•Facturación en línea
•Pagos con tarjeta de crédito
•Contabilización

Sistemas de información en línea
Movilidad: reuniones vía video conferencia, toma de decisiones de manera
remota, tele trabajo.

Casos de éxito: Webex de Cisco,
QlickView, Skype, Team
Foundation Server, Banca en línea
segura.

Sistemas de información en línea
Seguridad: transacciones bancarías en banca móvil

Transacciones en tiempo real,
movilidad, seguridad, consulta de
saldos, etc.

Empresa y tecnología de la información

• Para sacar provecho de la tecnología de la información
en la empresa es necesario conocer las fortalezas y
debilidades del giro de negocio y potenciar los
elementos que maximicen la rentabilidad así como
controlar aquellos que pueden afectar al cumplimiento
de objetivos del negocio.
• El conocimiento detallado de las operaciones es
esencial para aplicar la tecnología como un activo
estratégico que a nivel competitivo implique una
ventaja.

En el siguiente escenario, cómo explotar la tecnología
agregando valor al giro de negocio?

En el siguiente escenario, cómo explotar la tecnología
agregando valor al giro de negocio?

Procesos de vigilancia:
-Sistemas estadísticos y de registros históricos
transaccionales.
-Sistemas de gestión de riesgos asociados al fraude.
-Sistemas de archivo y colaboración de información con
terceros.

La tecnología no aportará valor a un nivel estratégico si no permite tomar decisiones,
para esto es necesario información a tiempo, precisa, integra y que mantenga la
confidencialidad del caso. Esto es, reportes automatizados.

En el siguiente escenario, cómo explotar la tecnología agregando
valor al giro de negocio?

- Sistemas de inteligencia de negocio alimentados de
información de:
- Sistemas de administración financiera (ejecución
presupuestaria, cumplimiento de deadlines, etc.)
- Sistemas de RRHH, cumplimiento de objetivos.
- Sistemas de core de negocio: atención al cliente, sistemas de
producción, facturación, etc.



Procesos auxiliares:
-Sistemas de producción, medición, indicadores y pruebas
automatizadas.
-Gestión de RRHH
-Sistema de gestión de servicios de TI
-Sistema financiero y de inventario



Procesos auxiliares:
-Gestión de trámites, workflow de peticiones y aprobaciones.
-Sistema de cálculo y gestión de impuestos en base a
ingresos.
-Aplicativos de notificación: sms, correo, oficios, etc.


Sistemas de información estratégicos

• Deben soportar la gestión de la estrategia empresarial y
agregar valor en las operaciones del negocio:
• Objetivo estratégico: masificar el uso de transacciones en
línea remplazando los canales tradicionales.
• Indicadores de proceso.
• Sistemas de medición e indicadores de logro del proceso
de banca móvil.
• Sistemas de inteligencia de negocio que permitan tomar
decisiones al negocio como: abrir nuevas agencias en
lugares con carencias de acceso digital, potenciar el uso
mediante programas de recompensas en empresas,
descuentos, promociones.

• Deben facilitar la materialización o viabilidad de los objetivos
estratégicos.
• Sistemas móviles de banca.
• Seguridad en la transaccionalidad de banca móvil: asegurar
ejecución sin riesgos, mantener la disponibilidad del servicio
24/7, masificar el servicio, concientizar sobre la importancia
del uso responsable.
• Sistemas de seguridad: sistemas que garanticen la
inviolabilidad de los sistemas por parte de atacantes y virus.
• Sistemas de monitoreo transaccional de los clientes: envío de
alertar y notifiaciones en caso de detectar comportamientos
erraticos de los clientes. Ej.: transacciones de 10.000 usd,
envío de dinero a cuentas extrañas, sobregiros, retiros ATM,
etc.
• Deben presentar y reportar indicadores de estrategia.

• Deben presentar y reportar indicadores de estrategia:
• Indicadores de cumplimiento de las metas y objetivos:
Cantidad de clientes que utilizan el canal electrónico
vs. Clientes que usan el canal tradicional.
• Indicadores de crecimiento de objetivos: crecimiento
porcentual del universo de clientes en el canal
electrónico.
• Indicadores de disminución de afluencia en agencias
de canales tradicionales.
• Indicadores de transaccionalidad periódica, clasificada
por el canal.
• Cantidad de fraudes ejecutados en el canal de banca
en línea.

Segunda Parte:
Infraestructura y procesos de
tecnología de la información

Infraestructura de tecnología de la información
Todo ambiente de tecnología de la información, en cualquier estructura que éste mantenga tiene 4
áreas y varios procesos que lo componen:

Ambiente controlado de tecnología de la información
Los objetivos estratégicos empresariales se verán seriamente afectados en cuanto a
cumplimiento en caso de no mantener un ambiente controlado que permita mantener:
control interno, cumplimiento de regulaciones, controles anti fraude, etc.

Arquitectura empresarial en tecnología de la información
La arquitectura empresarial permite definir líneas de crecimiento para satisfacer de
manera óptima el crecimiento y la inversión de TI en el tiempo.

Los pilares del gobierno de tecnología de la información
para alinearse con la estrategia empresarial

Estrategia, Entrega de Valor, Gestión de Recursos, Gestión de Riesgos y Gestión
del Desempeño

Proceso: Asegurar la Seguridad de la Información

Estructura de indicadores
Procesos de negocio

Indicadores de tecnología de la información proyectados a los procesos de negocio

Procesos y controles
EVALUACIÓN Y GESTIÓN DE RIESGOS DE TI (PO9)

Continuidad Seguridad Cumplimiento de
del servicio de TI (DS4) de los sistemas (DS5) requerimientos externos TI ( ME3)
Lineamientos y normas para los Lineamientos y normas para los Lineamientos y normas para los
Procesos de: Procesos de: Procesos de:
1 2 3 4 5 13 1 2 3 4 5 7 8 9 10 11 12 5 6 7

Planes de Identificación Gestión de Cumplimiento de
Plan Estratégico
continuida de Recursos seguridad requisitos regulatorios de
Seguridad de TI
d de TI E críticos E TI E E TI E
Pruebas del Entrenamiento y Pruebas de Incidentes
Gestión de la
plan de distribución del Seguridad y de
criptografía
continuidadO plan O monitoreo O seguridad O O

Respaldos Mantenimient Prevenciòn y
Intercambio de
de o de planes de detecciòn de soft.
información
informaciónO continuidad O malicioso O E
Gestión de Gestión de
Recuperación de Seguridad
accesos Identifica-
servicios de TI en la Red
O lógicos O ciones O O

Aplicaciones BDD Servidores (S.O) Infraestructura Servicios

EVALUACIÓN Y GESTIÓN DE RIESGOS DE TI (PO9)

Adquirir y mantener Implementación Y
Rendimiento y Infraestructura Adquirir y mantener Gestión de cambios Monitoreo de control acreditación de
capacidad de TI (DS3) tecnológica (AI3) software (AI6) de TI (AI6) Interno de TI (ME1) tecnología (AI7)
Lineamientos y normas Lineamientos y normas Lineamientos y normas Lineamientos y normas Lineamientos y normas
Lineamientos y normas
de seguridad para los de seguridad para los de seguridad para los de seguridad para los de seguridad para los de seguridad para los
procesos de: procesos de: procesos de: procesos de: procesos de: procesos de:

2 7 10 13 7 2 4 9 11 2 3 4 7 9 10 13 2 4 13

Estandarización Estandarizar la disponibilidad Estándares y Monitoreo de Plan de
Controles de sistema
de capacidad e integridad de la procedimientos de cumplimiento de implementación de
E y auditabilidad
infraestructura E O cambios en produccE políticas E soluciones
tecnológicas E
Estandarización Definición de posibles
Seguridad en Cambios de
de desempeño acciones de Integridad de los
E aplicaciones emergencia
O E remediación O datos en la
Disponibilidad de conversión o
Aseguramiento de Evaluación de migración
recursos de TI O
E calidad SWF impacto y prioridad
E E
Monitoreo de la Configuración e Cierre y Aceptación final de
capacidad de TI implementación de documentación de la solución
O aplicaciones cambios
E E E

Aplicaciones BDD Servidores (S.O) Infraestructura Servicios

Indicadores implicados (ejemplo)

1. Número de horas por usuario por mes
perdidas por caídas de x sistema.
Continuidad
del servicio de TI (DS4)
Lineamientos y normas para los
Procesos de:

1 2 3 4 5 13

1. Porcentaje de cumplimiento de los SLA’s acordados.
Planes de 2. Cantidad de procesos críticos del banco que no están
continuida cubiertos por el plan de continuidad.
d de TI E
3. Porcentaje de pruebas de contingencia que cumplen
Pruebas del Mantenimient
con los tiempos objetivos de recuperación.
plan de 4. Frecuencia de interrupción (semana) de sistemas
o de planes de
continuidadO
continuidad O críticos.
Respaldos
de Recuperación de
informaciónO servicios de TI
O
Identificación
de Recursos
1. Tiempo transcurrido entre pruebas de recuperación de
críticos E
elementos de TI relacionados a un servicio crítico X de negocio.
Entrenamiento y 2. Cantidad de horas de capacitación en el plan de continuidad o
distribución del contingencia al personal relacionado.
plan O 3. Porcentaje de infraestructura crítica que posee monitoreo
automático y continuo.
4. Frecuencia de revisiones del plan de continuidad de TI.
5. Porcentaje promedio de pruebas exitosas realizadas en la
recuperación de componentes específicos de TI.

5.2 Ámbitos implicados en el modelo. (ISO27001)

Políticas de seguridad
de la información
2 E
Administrar la seguridad de inf. en la parte 2 5
Organización de la interna del BP
E
seguridad de la inf. Administrar la seguridad de la inf. con externos 3
y proveed.

Responsabilidad por los activos 5 E
Gestión de activos de la
información Clasificación de la información 7

Roles, responsabilidades 2
Seguridad del Recurso E
humano Concientización terminación 3

Seguridad física y amb. Áreas Seguras (DC) Seg. de equipos 2 8 E O

Operación de TI y control de cambios 2 4 5 8 E O
Entrega de servicios de TI con terceros 2 6 8 13 E O
Planificación y aceptación de los sistemas 9 11 13 O
Gestión de las
comunicaciones y Protección contra código malicioso 3 4 9 11 12 E O
operaciones 2 3 4 5 8 9
Seguridad en la Red Monitoreo E O
Intercambio de información 2 8 E O
Comercio Electrónico 2 3 4 5 7 9 11 12 13 E O
Información Red datos Aplicaciones

Controles de acceso Responsabilidades Comp. portátil 2 3 4 6 8 10 13 E O
Administración de accesos de usuario

5.2 Ámbitos implicados en el modelo . (ISO27001)

Requerimientos de seguridad para los
sistemas
2 4
Adquisición, Correcto procesamiento de las aplicaciones
desarrollo y 6 7 E
Controles Criptográficos
mantenimiento de
sistemas de Seguridad en archivos de sistemas 9 13 O
información
Seguridad en los procesos de desarrollo 11 12
Administración de vulnerabilidades técnicas

Reporte de eventos y debilidades de seg. 2 4 E
Incidentes de seguridad
de la información Administración de incidentes 10 13 O
Requisitos de seguridad en continuidad 2 3 7
Administración de E
continuidad de Riesgos en continuidad 4 5 13
negocio O
Pruebas de contingencia 10
Cumplimiento de requerimientos legales de TI
Cumplimiento de 5 7 E
Cumplimiento de políticas y estándares de seg
normas y regulaciones
Consideraciones en auditoría a los sistemas
6 13 O

Nota: Todos los ámbitos son normados y monitoreados por Riesgo Tecnológico; y
ejecutados por los departamentos de seguridad y de tecnología de la información.

Ámbito ISO 27001
Proceso

•Proceso de clasificación de la
información
E
Lineamientos normativos
5
Responsabilidad
7 por los activos •Necesidades del negocio en cuanto a clasificación;
•Convenciones para clasificación y reclasificación;
•Periodicidad de las revisiones de clasificación de los dueños de la información.
•Niveles de clasificación; Criterios para definir la categoría de clasificación.
•Niveles de protección de la información; Periodos de retención de la información.
Gestión de
•Periodos de tiempo que debe mantenerse en cada categoría de información antes de
activos de la
que pueda cambiar (ej. Información interna luego de 7 años procederá a ser pública);
información
•Definir las regulaciones que deben ser consideradas; Etiquetado de información;
Etiquetado de medios para información en tránsito.

Clasificación de Instrumentos normativos
la información

•Política de clasificación de la información.
•Procedimiento de clasificación de la información.
•Estándar para la categorización de información.

Ámbito ISO 27001 Objetivos de control ISO Indicadores

E •Los activos de información deben estar • (%)Áreas de negocio con
inventariados o clasificados. información clasificada / áreas de
5 •Los activos de información críticos deben negocio.
Responsabilidad estar protegidos por controles de seguridad. • (%)Tipo de información clasificada /
7 por los activos •Definir los dueños y responsables de los tipos de información existente.
activos de información • (%)Tipo de información con dueños
•Definir normas de uso aceptable de los y responsables asignados / Tipos de
activos de información. información existente.
Gestión de
•# de medios de almacenamiento y
activos de la
transporte de información
información
clasificados para etiquetado.
•# de estándares de clasificación de
•Definir lineamientos y estándares de la información.
clasificación de la información del banco. • Definición de dueños de la
Clasificación de
• Definir estándares de etiquetado de la información.
la información
información y de los medios que contienen • Estándares para definir criticidad de
información. la información.

Ámbito ISO Objetivos de control
27001 ISO Procesos de seguridad

Definición de estándares de seguridad en Implementación de estándares de
E Requerimientos sistemas de información seguridad en sistemas de información
de seguridad
O para los sistemas
Evaluación y análisis de vulnerabilidades Seguridad en los procesos de desarrollo
2 en diseño de software de software

6 Correcto
procesamiento de
9 las aplicaciones Lineamientos normativos

11 •Lineamientos de seguridad para el desarrollo de software
•Consideraciones de control para certificación de una aplicación
Seguridad en los
4 procesos de •Consideraciones de seguridad en la planificación y análisis de software
desarrollo y • Consideraciones de seguridad en la arquitectura de software
Adquisición, • Prácticas de seguridad en la codificación de software
7 soporte
desarrollo y • Controles de seguridad para asegurar la integridad en el procesamiento de
13 mantenimie información en los sistemas.
nto de • Políticas de gestión de los archivos de sistemas para mantener la
sistemas de Seguridad en
12 confidencialidad, integridad y disponibilidad de los mismos.
información archivos de
• Procedimientos para la gestión de vulnerabilidades
sistemas
Instrumentos normativos

Administración •Política de seguridad para el desarrollo, adquisición e implementación de
de software.
vulnerabilidades •Política para implementación y de controles criptográficos.
técnicas •Política de gestión de vulnerabilidades técnicas.
•Estándar de requerimientos de seguridad para los sistemas de información.
•Estándar de seguridad para las configuraciones de infraestructura.
•Estándar de manejo de errores en producción.
Controles •Estándar de algoritmos y controles criptográficos.
Criptográficos

Ámbito Objetivos de control Procesos de seguridad
ISO 27001 ISO
Gestión de perfiles de Gestión de usuarios y Gestión de acceso a
E usuario contraseñas recursos tecnológicos
Administració
O n de accesos
de usuario
2

6 Lineamientos normativos
9
•Definir las necesidades del BP en cuanto al acceso y restricciones de información.
11 •Definir la estrategia que se aplicará para la entrega y consumo de información con el
Responsabilid
personal interno, proveedores y terceros.
ades de los
4 •Definir la importancia, periodicidad y alcance de las revisiones y monitoreo sobre el
usuarios
uso de la información institucional.
7 •Definir la estrategia y normas generales en las actividades relacionadas a la gestión de
Controles contraseñas de los recursos tecnológicos.
13 de acceso •Estandarizar la nomenclatura, definición y alcance de todos los perfiles del BP
considerando las políticas relacionadas al acceso a la información.
12 •Normar el tránsito y almacenamiento de información confidencial o crítica.
•Normar las responsabilidades que tienen los empleados, proveedores y terceros al
Sistemas de
acceder a la información institucional.
Aplicación

Instrumentos normativos
•Política de gestión de acceso a recursos de información, que defina los lineamientos y
estrategia del negocio para otorgar y monitorear el acceso a recursos de información.
•Procedimiento para la administración, definición y custodia de contraseñas.
•Procedimiento de revisión de perfiles de usuario.
Red de datos •Estándar de perfiles de usuario.
y sistema
•Estándar de seguridad para definición y administración de cuentas de usuario
operativo
(nomenclatura de cuentas, sesiones, contraseñas, etc.).
•Política de escritorios limpios
•Política de responsabilidad de uso de la información.

FIN

Julio 2012
Mgs. Marco Cevallos, ITIL, CISA, CCSA, CRMA.

Sistemas de información empresarial

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Sistemas de información empresarial

Similar a Sistemas de información empresarial (20)

Más de Videoconferencias UTPL

Más de Videoconferencias UTPL (20)

Sistemas de información empresarial