Datos personales

jueves, 28 de abril de 2016

VIDEO DE CICLO DE DEMING

VIDEO DE CICLO DE DEMING


Publicado por en No hay comentarios:

DISEÑO DE RUBRICAS

DISEÑO DE RUBRICAS



MODELO DE RUBRICA
5
4
3
2
1
TOTAL
%
1)      LA ATENCION AL CLIENTE ES EFICIENTE  Y OPORTUNA

X





2)      EL TRATO  BEINDADO A LOS CLIENTES ES EN IGUAL PROPORCION

X





3)      LOS USUARIOS SE SIENTEN A GUSTO E IDENTIFICADOS CON EL EMPLEADO


X






8
3


11
73.33333333


MODELO DE RUBRICA
5
4
3
2
1
TOTAL
%
1)      EL EMPLEADO DA UN PLUS EN SU TRABAJO?

X





2)      ANTE UNA SITUACION ADVERSA EL EMPLEADO MANTIENE LA CALMA Y ENCUENTRA UNA PRONTASOLUCION?
X






3)      TRABAJA EFICIENTEMENTE EN LOS EQUIPOS DE TRABAJO ASIGNADOS?

X






5
8



13
86.66%
Publicado por en No hay comentarios:

Capítulo II : Fases de la Metodología para el Desarrollo de un Plan de Contingencia de los Sistemas de Información





Debemos de tener presente que mucho dependerá de la infraestructura de la empresa y de los servicios que ésta ofrezca para determinar un modelo de desarrollo de plan, no existe un modelo único para todos, lo que se intenta es dar los puntos más importantes a tener en cuenta.

La metodología empleada para el desarrollo y aplicación del plan de contingencias de los sistemas de información, ha sido desarrollada por el INEI, en base a la experiencia lograda en el desarrollo de planes de contingencia para el problema del año 2000.

La presente metodología se podría resumir en ocho fases de la siguiente manera:

Planificación: preparación y aprobación de esfuerzos y costos.

Identificación de riesgos: funciones y flujos del proceso de la empresa.

Identificación de soluciones: Evaluación de Riesgos de fallas o interrupciones.

Estrategias: Otras opciones, soluciones alternativas, procedimientos manuales.

Documentación del proceso: Creación de un manual del proceso.

Realización de pruebas: selección de casos soluciones que probablemente funcionen.

Implementación: creación de las soluciones requeridas, documentación de los casos.

Monitoreo: Probar nuevas soluciones o validar los casos.

FASE 1 : PLANIFICACION

Diagnóstico

Cada vez que nos encontremos en una actividad que requiere el diseño de una propuesta de solución para un determinado problema, es necesario siempre la revisión exhaustiva de cada uno de los componentes que conforman nuestro sistema, es por esta razón siempre debemos de realizar una etapa de diagnostico para poder asegurar que las acciones de solución propuestas tengan un fundamento realista y no tener que volver a rehacer toda propuesta.

Organización Estructural y Funcional.

En este aspecto se deben describir y analizar las Direcciones, Gerencias o dependencias en las que se divide la empresa o institución haciendo referencia de las funciones más importantes que desempeñan cada una de ellas, priorizando tales funciones en relación al sistema productivo de bienes o servicios que desarrollan.

Estas Entidades tienen Organigramas que se rigen por Manuales de Organización y Funciones.

Servicios y/o Bienes Producidos.

En este punto se hará referencia sobre los bienes y/o servicios que produce a empresa o institución según el orden de importancia por la generación de beneficios. Si la empresa produce más de un bien la prioridad será determinada según el criterio de los Directivos.

Además se debe elaborar un directorio de clientes priorizando de acuerdo a la magnitud de los bienes o servicios que consumen. También se harán un breve análisis del mercado de consumo de los bienes y servicios producidos, identificando las zonas o sectores de mayor consumo.

Servicios y Materiales Utilizados.

Con relación a los servicios utilizados se debe elaborar un directorio de empresas o instituciones que abastecen de energía, comunicación, transporte, agua, salud y otros servicios resaltando la importancia de ellos en el sistema de producción de la entidad y verificando la seguridad de los servicios sin problemas de afectación por algún tipo de problema.

También debe hacerse un directorio de todas las entidades abastecedoras de materias primas o insumos para la producción de información.

Inventario de Recursos Informáticos.

El inventario de recursos informáticos se realizará por dependencias y en forma clasificada:

Computadoras: 386, 486 y las Pentium, impresoras, scanners, etc.

Programas: De sistemas operativos, procesadores de textos, hojas de cálculo, lenguajes de programación, software de base.

Aplicativos Informáticos: Del sistema de Contabilidad, de Trámite Documentario, Planillas, Almacén, Ventas, Presupuesto, Personal.

Equipos Empotrados: De Industrias: Hornos y envasadoras. De Banca y Seguros, Cajeros automáticos y bóvedas. De Oficinas, Centrales telefónicas.

Estos inventarios deberán hacerse a través de formularios sistemáticamente elaborados.

El procesamiento de este inventario puede ser de dos tipos:

Proceso Automatizado.- Utilizando herramientas informáticas de diferente nivel, grado de detalle y costo, que pueden acelerar el tiempo de la toma del inventario, procesamiento de datos y emisión de resultados.

Proceso Manual.- Utilizando formatos de recopilación de información. El conocimiento del Inventario de estos recursos nos permitirá hacer una evaluación de los riesgos de la operatividad de los sistemas de información. Cada formato consta de dos partes:

Datos componentes: Donde se registran los datos básicos de ubicación, identificación y características primarias, así como también su importancia, compatibilidad y adaptabilidad.
Análisis del proceso de adaptación del componente:
Incluye datos de costos, fecha de culminación, medios utilizados y medidas de contingencia.
Planificación

La fase de planificación es la etapa donde se define y prepara el esfuerzo de planificación de contingencia/continuidad. Las actividades durante esta fase incluyen:

Definición explícita del alcance, indicando qué es lo que se queda y lo que se elimina, y efectuando un seguimiento de las ambigüedades. Una declaración típica podría ser, “La continuidad de los negocios no cubre los planes de recuperación de desastres que ya fueron emitidos.”
Definición de las fases del plan de eventos (por ejemplo, los períodos preevento, evento, y post-evento) y los aspectos sobresalientes de cada fase.
Definición de una estrategia de planificación de la continuidad del negocio de alto nivel.
Identificación y asignación de los grupos de trabajo iniciales; definición de los
roles y responsabilidades.
Definición de las partes más importantes de un cronograma maestro y su patrón principal.
Identificación de las fuentes de financiamiento y beneficios del negocio; revisión del impacto sobre los negocios.
Duración del enfoque y comunicación de las metas y objetivos, incluyendo los objetivos de la empresa.
Definición de estrategias para la integración, consolidación, rendición de informes y arranque.
Definición de los términos clave (contingencia, continuidad de los negocios, etc.)
Desarrollo de un plan de alto nivel, incluyendo los recursos asignados.
Obtención de la aprobación y respaldo de la empresa y del personal gerencial de mayor jerarquía. Provisión de las primeras estimaciones del esfuerzo.
El plan debe ser ejecutado independientemente de las operaciones y procedimientos operativos normales.
Las pruebas para el plan serán parte de (o mantenidas en conjunción con) los ejercicios normalmente programados para la recuperación de desastres, las pruebas específicas del plan de contingencia de los sistemas de información y la realización de pruebas a nivel de todos los clientes.
No habrá un plan de respaldo, y tampoco se dará una reversión ni se podrá frenar el avance del plan de contingencia.
Si ocurre un desastre, una interrupción, o un desfase de gran magnitud en los negocios de la empresa durante el período del calendario de eventos, se pondrán en práctica los planes de continuidad de los negocios o de contingencia.
Si la organización ha puesto en moratoria los cambios al sistema, se deben permitir las excepciones a dicha moratoria solamente para los cambios de tipo regulador o para los problemas más importantes que afecten la producción o las operaciones de la empresa, y solamente después de haber obtenido la aprobación del nivel ejecutivo.
FASE 2 :

IDENTIFICACION DE RIESGOS

La Fase de Identificación de Riesgos, busca minimizar las fallas generadas por cualquier caso en contra del normal desempeño de los sistemas de información a partir del análisis de los proyectos en desarrollo, los cuales no van a ser implementados a tiempo.

El objetivo principal de la Fase de Reducción de Riesgo, es el de realizar un análisis de impacto económico y legal, determinar el efecto de fallas de los principales sistemas de información y producción de la institución o empresa.

Análisis y Evaluación de Riesgos

Es necesario reconocer y reducir de riesgos potenciales que afecten a los productos y servicios; es por ello que se considera dentro de un Plan de Contingencia, como primer paso la Reducción de Riesgos, para favorecer el cumplimiento de los objetivos institucionales.

El análisis y evaluación de riesgos se desarrolla en 2 situaciones



1-    Para entidades que desarrollan Planes de Contingencias su plan de adaptación y no tienen soluciones adecuadas.

Para aquellas entidades que están realizando Planes de Contingencia, el análisis y evaluación de riesgos consta de:

Evaluar el impacto de los procesos críticos.
Valorar la certificación de los proveedores
Privilegiar proyectos, eliminando aquellos que resultan extemporáneos.
Detectar deficiencias ante cambios en los sistemas afectados.
Guardar copias de información empresarial mediante convenios de soporte.
2-    Entidades que a la fecha no han tomado previsión.

Para aquellas entidades que no están realizando Planes de Contingencia, el análisis y evaluación de riesgos consta de:

Realización un diagnóstico integral del Sistema de Información.
Elaborar una lista de Servicios afectados evaluando su importancia, magnitud del impacto, cuantificar con niveles A, B, C u otro.
Identificar todos los procesos de los servicios afectados.
Analizar sólo los procesos críticos de los servicios.


Identificar los Procesos Críticos

Al igual que las situaciones de falla, las alternativas pueden ser infinitas. Por ende,  se deben identificar muchas para ser capaces de seleccionar las mejores opciones de contingencia. Comience por los riesgos ya identificados como prioridades máximas porque causarían el mayor impacto negativo en los servicios y en las funciones críticas de su organización.

Análisis de las Operaciones Actuales

El análisis de operación del método actual de trabajo (es decir, cómo y en qué orden su organización obtiene funciones comerciales) puede revelar las oportunidades para reducir, eliminar o simplificar ciertas operaciones o procesos. Algunas funciones probablemente pueden ser realizadas por terceros sin pérdida de control. Probablemente pueden reducirse algunas operaciones en términos de pasos e interfaces que ellos requieren. Un almacén parcialmente automatizado puede requerir 24 acciones manuales separadas para llenar una orden grande. Si la organización puede cortar esto en 33 por ciento, a 16 acciones manuales, la eficiencia incrementada puede liberar algunos recursos que pueden usarse en otra parte. Por supuesto, tales acciones van de la mano con la capacitación. Desde el punto de vista de los sistemas de información, tales consideraciones pueden ser cruciales porque puede haber una necesidad de revertir a las operaciones manuales y en ciertos casos sostener las operaciones existentes.

Si consideramos que “No existe producto y/o servicio sin un proceso. De la misma manera, que no existe proceso sin un producto o servicio”. Aunque no todos los procesos generan un producto o servicio útil (creando valor agregado) para la institución. Por lo que es necesario realizar un análisis de las operaciones y los procesos que involucran.



Organización. Cualquier grupo, empresa, corporación, planta, oficina de ventas, etc.
Función. Un grupo dentro de la organización funcional. Funciones características serían ventas y mercadeo, contabilidad, ingeniería de desarrollo, compras y garantía de calidad.
Proceso. Cualquier actividad o grupo de actividades que emplee un insumo, le agregue valor a éste y suministre un producto a un cliente externo o interno. Los procesos utilizan los recursos de una organización para suministrar resultados definitivos.
Proceso de producción. Cualquier proceso que entre en contacto físico con el hardware o software que se entrega a un cliente externo, hasta aquel punto en el cual el producto se empaca (por ejemplo, fabricación de computadoras, preparación de alimentos para el consumo masivo de los clientes, refinación de petróleo, transformación de hierro en acero). Esto no incluye los procesos de embarque y distribución.
Proceso de la empresa. Todos los procesos de servicios y los que respaldan a los de producción (por ejemplo, de pedidos, proceso de cambio en ingeniería, de planilla, diseño del proceso de manufactura). Un proceso de la empresa consiste en un grupo de tareas lógicamente relacionadas que emplean los recursos de la organización para dar resultados definidos en apoyo de los objetivos de la organización.
Al emplear estas definiciones, se puede observar que casi todo lo que hacemos es un proceso y que los procesos de la empresa desempeñan un papel importante en la supervivencia económica de nuestras organizaciones.
En todas las organizaciones existen, literalmente, centenares de procesos que se realizan diariamente. Más del 80% de éstos son repetitivos, cosas que hacemos una y otra vez. Estos procesos repetitivos (áreas administrativas, manufactureras e intermedias) pueden y deben controlarse, en gran parte, tal como se vigilan los de manufactura. Se manejan muchos procesos de las instituciones y empresas que son tan complejos como el proceso de manufactura.


Uso de la Técnica de Análisis de Procesos

Consideremos para el uso de la técnica de análisis de procesos:

El ciclo de vida empieza con la descripción de un proceso basado en las metas del proyecto, mientras se utilizan los recursos descritos del proceso.
El proceso se fija al asignar los recursos.
El proceso puede instalarse en una máquina o pueden ser procedimientos a seguir por un grupo de personas.
El proceso es supervisado y medido durante su uso.
Los datos obtenidos de esta medida se evalúan durante todo el tiempo que se desenvuelva el proceso. Una descripción del proceso existente puede empezar con un informe actual, obtenido de la supervisión y documentación del proceso.


El Proceso de Dirección del Ciclo de Vida en la Figura muestra la descripción de los componentes del proceso y la producción de los principales insumos de trabajo. La descripción del proceso funcionalmente se descompone en él:

1. Análisis del Proceso

2. Plan del Proceso

3. Aplicación del Proceso.

El Análisis del proceso involucra identificación, mientras se analiza el proceso, y los requisitos del proceso. El Plan del proceso involucra el modela miento de la arquitectura y la descomposición funcional del proceso. La Aplicación del proceso involucra llevar a cabo el plan del proceso para crear tareas a realizarse y proporcionar la capacitación necesaria para las personas que realicen dichas tareas. También la aplicación del proceso involucra la preparación del proceso para su actuación en la empresa o institución, el proceso consiste en los detalles específicos del proyecto y fijar los recursos necesarios.



Diagrama del Proceso Descompuesto

A continuación presentamos una lista de procesos típicos de las empresas definidos por IBM. Esto ayudará a definir los procesos de la empresa.

Manejo de índices.
Diseño de sistemas de control.
Desarrollo de comunicaciones avanzadas
Diseño de componentes de cable
Prueba de diseño
Revisión de diseño y materiales
Revisión de documentos
Especificación de diseño a alto nivel
Coordinación entre divisiones
Diseño lógico y verificación
Calificación de componentes
Diseño del sistema de energía
Divulgación del producto
Confiabilidad y utilidad del sistema
Requerimiento del sistema
Diseño interactivo de sistemas para el usuario
Análisis de la competencia
Apoyo de los sistemas de diseño
Desarrollo de la información
Instrumentos de diseño físico
Diseño de sistemas
Gerencia de cambio en ingeniería
Es el procedimiento por el cual se estudian los procesos dentro de una secuencia (Línea de producción) de producción o provisión de servicios, que a continuación son presentados, teniendo en consideración:

Las Funciones Institucionales.
Los procesos derivados.
Los subprocesos.
Un proyecto de plan de contingencia no sirve si se queda en plan o papel. Un plan de contingencias debe contemplar todos los procesos institucionales sean estos manuales y/o automatizados, evaluando el volumen de información o materiales afectados, a fin de definir la complejidad de los sistemas.

La magnitud, de un plan de contingencia será proporcional a la complejidad, importancia, costo del servicio al cual está destinado a proteger y el riesgo asociado a la misma. El esquema general del plan de contingencias de los sistemas de información, está constituido por 3 grandes fases:

1. Fase de Reducción de Riesgos

2. Fase de Recuperación de Contingencia

3. Fase de Organización de un Sistema de Alerta contra Fallas

Se debe tener en cuenta al determinar los objetivos, en qué parámetros generales se va a basar, para poner en operación el plan de contingencias.

En cualquier caso, sus planes deben identificar dependencias e impactos y, al mismo tiempo, los recursos necesarios para implementar cada alternativa de contingencia. Se deben buscar alternativas “creativas”, que logren el efecto de mitigar el impacto en caso de una falla. En la siguiente tabla se muestra la matriz del plan de contingencia y algunos ejemplos.

Matriz de planificación de contingencia y ejemplos





Capítulo I : Definiciones y Alcances
Publicado: marzo 5, 2013 en GUIA PARA ELABORAR UN PLAN DE CONTINGENCIA INFORMATICO         
0
Introducción

 Durante varias décadas, los japoneses han desarrollado diversos programas para enfrentar los terremotos que permanentemente tienen lugar en su país. Su trabajo de preparación y contingencias no sólo ha consistido en construir infraestructura capaz de resistir los movimientos telúricos, sino que también ha contemplado un amplio proceso de educación a la población. Este es un ejemplo destacable de cómo un programa para enfrentar emergencias puede ayudar a salvar muchas vidas y a reducir los daños causados por un desastre natural.

Qué son los Sistemas de Información?

 Un Sistema Informático utiliza ordenadores para almacenar los datos de una organización y ponerlos a disposición de su personal. Pueden ser tan simples como en el que una persona tiene una computadora y le introduce datos, los datos pueden ser registros simples como ventas diarias, se produce una entrada por cada venta.

Sin embargo la mayor parte de los sistemas son mas complejos que el enunciando anteriormente. Normalmente una organización tiene más de un sistema de computadoras para soportar las diferentes funciones de la organización, ya sean de ventas, recursos humanos, contabilidad, producción, inventario, etc.

Los sistemas de información tienen muchas cosas en común. La mayoría de ellos están formados por personas, equipos y procedimientos. Al conjugar una serie de elementos como hombres y computadoras se hace imprescindible tomar medidas que nos permitan una continuidad en la operatividad de los sistemas para no ver afectados los objetivos de las mismas y no perder la inversión de costos y tiempo.

¿Qué es un Plan de Contingencia?

Podríamos definir a un plan de contingencias como una estrategia planificada con una serie de procedimientos que nos faciliten o nos orienten a tener una solución alternativa que nos permita restituir rápidamente los servicios de la organización ante la eventualidad de todo lo que lo pueda paralizar, ya sea de forma parcial o total.

El plan de contingencia es una herramienta que le ayudará a que los procesos críticos de su empresa u organización continúen funcionando a pesar de una posible falla en los sistemas computarizados. Es decir, un plan que le permite a su negocio u organización, seguir operando aunque sea al mínimo.

Objetivos del Plan de Contingencia

Garantizar la continuidad de las operaciones de los elementos considerados críticos que componen los Sistemas de Información.
Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen un Sistema de Información.
Aspectos Generales de la Seguridad de la Información.



La Seguridad Física

La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales de

un sistema de información de datos. Si se entiende la contingencia o proximidad de un daño como la definición de Riesgo de Fallo, local o general, tres serían las medidas a preparar para ser utilizadas en relación a la cronología del fallo.

Antes

El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo o, en su caso, aminorar las consecuencias que de él se puedan derivar.

Es un concepto aplicable a cualquier actividad, no sólo a la informática, en la que las personas hagan uso particular o profesional de entornos físicos.

Ubicación del edificio.
Ubicación del Centro de Procesamiento de Datos dentro del edificio.
Compartimentación.
Elementos de la construcción.
Potencia eléctrica.
Sistemas contra Incendios.
Control de accesos.
Selección de personal.
Seguridad de los medios.
Medidas de protección.
Duplicación de medios.
Durante

 Se debe de ejecutar un plan de contingencia adecuado. En general, cualquier desastre es cualquier evento que, cuando ocurre, tiene la capacidad de interrumpir el normal proceso de una empresa. La probabilidad de que ocurra un desastre es muy baja, aunque se diera, el impacto podría ser tan grande que resultaría fatal para la organización. Por otra parte, no es corriente que un negocio responda por sí mismo ante un acontecimiento como el que se comenta, se deduce la necesidad de contar con los medios necesarios para afrontarlo. Estos medios quedan definidos en el Plan de Recuperación de Desastres que junto con el Centro Alternativo de Proceso de Datos, constituye el plan de contingencia que coordina las necesidades del negocio y las operaciones de recuperación del mismo.

Son puntos imprescindibles del plan de contingencia:

Realizar un análisis de riesgos de sistemas críticos que determine la tolerancia de los sistemas
Establecer un periodo crítico de recuperación, en la cual los procesos debe de ser reanudados antes de sufrir pérdidas significativas o irrecuperables.
Realizar un Análisis de Aplicaciones Críticas por que se establecerán las prioridades del proceso.
Determinar las prioridades del proceso, por días del año, que indiquen cuales son las aplicaciones y sistemas críticos en el momento de ocurrir el desastre y el orden de proceso correcto.
Establecer objetivos de recuperación que determinen el período de tiempo (horas, días, semanas) entre la declaración de desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
Designar entre los distintos tipos existentes, un Centro Alternativo de Proceso de Datos.
Asegurar la capacidad de las comunicaciones.
Asegurar la capacidad de los servidores back-up.
Después

Los contratos de seguros vienen a compensar, en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar para el centro de proceso de datos una vez detectado y corregido el fallo. De la gama de seguros existentes, se pueden indicar los siguientes:

Centros de proceso y equipamiento: se contrata la cobertura sobre el daño físico en el CPD (Centro de Procesamiento de Datos) y el equipo contenido en el.

Reconstrucción de medios de software: cubre el daño producido sobre medios software tanto los que son de propiedad del tomador de seguro como aquellos que constituyen su responsabilidad.

Gastos extra: cubre los gastos extra que derivan de la continuidad de las operaciones tras un desastre o daño en el centro de proceso de datos. Es suficiente para compensar los costos de ejecución del plan de contingencia.

Interrupción del negocio: cubre las pérdidas de beneficios netos causadas por las caídas de los medios informáticos o por la suspensión de las operaciones.

Documentos y registros valiosos: Se contrata para obtener una compensación en el valor metálico real por la pérdida o daño físico sobre documentos y registros valiosos no amparados por el seguro de reconstrucción de medios software.

Errores y omisiones: proporciona protección legal ante la responsabilidad en que pudiera incurrir un profesional que cometiera un acto, error u omisión que ocasione una perdida financiera a un cliente.

Cobertura de fidelidad: cubre las pérdidas derivadas de actos deshonestos o fraudulentos cometidos por empleados.

Transporte de medios: proporciona cobertura ante pérdidas o daños a los medios transportados.

Contratos con proveedores y de mantenimiento: proveedores o fabricantes que aseguren la existencia de repuestos y consumibles, así como garantías de fabricación.

Conceptos Generales

 Privacidad

Se define como el derecho que tienen los individuos y organizaciones para determinar, ellos mismos, a quién, cuándo y qué información referente a ellos serán difundidas o transmitidas a otros.

Seguridad

Se refiere a las medidas tomadas con la finalidad de preservar los datos o información que en forma no autorizada, sea accidental o intencionalmente, puedan ser modificados, destruidos o simplemente divulgados.

En el caso de los datos de una organización, la privacidad y la seguridad guardan estrecha relación, aunque la diferencia entre ambas radica en que la primera se refiere a la distribución autorizada de información, mientras que la segunda, al acceso no autorizado de los datos.

El acceso a los datos queda restringido mediante el uso de palabras claves, de forma que los usuarios no autorizados no puedan ver o actualizar la información de una base de datos o a subconjuntos de ellos.

Integridad

Se refiere a que los valores de los datos se mantengan tal como fueron puestos intencionalmente en un sistema. Las técnicas de integridad sirven para prevenir que existan valores errados en los datos provocados por el software de la base de datos, por fallas de programas, del sistema, hardware o errores humanos.

El concepto de integridad abarca la precisión y la fiabilidad de los datos, así como la discreción que se debe tener con ellos.

 Datos

Los datos son hechos y cifras que al ser procesados constituyen una información, sin embargo, muchas veces datos e información se utilizan como sinónimos.

En su forma más amplia los datos pueden ser cualquier forma de información: campos de datos, registros, archivos y bases de datos, texto (colección de palabras), hojas de cálculo (datos en forma matricial), imágenes (lista de vectores o cuadros de bits), vídeo (secuencia de tramas), etc.

 Base de Datos

Una base de datos es un conjunto de datos organizados, entre los cuales existe una correlación y que además, están almacenados con criterios independientes de los programas que los utilizan.

También puede definirse, como un conjunto de archivos interrelacionados que es creado y manejado por un Sistema de Gestión o de Administración de Base de Datos (Data Base Management System – DBMS).

Las características que presenta un DBMS son las siguientes:

Brinda seguridad e integridad a los datos.
Provee lenguajes de consulta (interactivo).
Provee una manera de introducir y editar datos en forma interactiva.
Existe independencia de los datos, es decir, que los detalles de la organización de los datos no necesitan incorporarse a cada programa de aplicación.
Acceso

Es la recuperación o grabación de datos que han sido almacenados en un sistema de computación. Cuando se consulta a una base de datos, los datos son primeramente recuperados hacia la computadora y luego transmitidos a la pantalla del terminal.

Ataque

Término general usado para cualquier acción o evento que intente interferir con el funcionamiento adecuado de un sistema informático, o intento de obtener de modo no autorizado la información confiada a una computadora.

Ataque Activo

Acción iniciada por una persona que amenaza con interferir el funcionamiento adecuado de una computadora, o hace que se difunda de modo no autorizado información confiada a una computadora personal. Ejemplo: El borrado intencional de archivos, la copia no autorizada de datos o la introducción de un virus diseñado para interferir el funcionamiento de la computadora.

 Ataque Pasivo

Intento de obtener información o recursos de una computadora personal sin interferir con su funcionamiento, como espionaje electrónico, telefónico o la intercepción de una red. Todo esto puede dar información importante sobre el sistema, así como permitir la aproximación de los datos que contiene.

Amenaza

Cualquier cosa que pueda interferir con el funcionamiento adecuado de una computadora personal, o causar la difusión no autorizada de información confiada a una computadora. Ejemplo: Fallas de suministro eléctrico, virus, saboteadores o usuarios descuidados.

Incidente

Cuando se produce un ataque o se materializa una amenaza, tenemos un incidente, como por ejemplo las fallas de suministro eléctrico o un intento de borrado de un archivo protegido

Golpe (Breach)

Es una violación con éxito de las medidas de seguridad, como el robo de información, el borrado de archivos de datos valiosos, el robo de equipos, PC, etc.

Seguridad Integral de la Información

La función del procesamiento de datos es un servicio de toda la institución, que apoya no sólo a los sistemas de información administrativa sino también a las operaciones funcionales. La Seguridad un aspecto de mucha importancia en la correcta Administración Informática, lo es también de toda la Institución.

Las medidas de seguridad están basadas en la definición de controles físicos, funciones, procedimientos y programas que conlleven no sólo a la protección de la integridad de los datos, sino también a la seguridad física de los equipos y de los ambientes en que éstos se encuentren.

En relación a la seguridad misma de la información, estas medidas han de tenerse en cuenta para evitar la pérdida o modificación de los datos, información o software inclusive, por personas no autorizadas, para lo cual se deben tomar en cuenta una serie de medidas, entre las cuales figurarán el asignar números de identificación y contraseñas a los usuarios.


Publicado por en No hay comentarios:

lunes, 25 de abril de 2016

COBIT

COBIT

1. Introducción
El siguiente trabajo tiene la finalidad de exponer las Normas COBIT de manera simple y comprensible. Para ello, además de realizar un desarrollo teórico de las mismas, incluimos un análisis de la situación actual del Departamento de Recursos Humanos de la organización INEXEI SCHOOL, explicamos si sus procedimientos respetan o no la norma, e indicamos qué debería hacerse para que aplique y cumpla con un determinado proceso de la norma.
El cuerpo del trabajo esta dividido en dos partes principales las cuales reflejan las Características y Estructura de COBIT y el Relevamiento y Aplicación de las Normas COBIT en la Escuela. Además, incluimos dos Apéndices: en el apéndice I indicamos los componentes de COBIT como Producto y en el apéndice II incorporamos la lista completa de Dominios, Procesos y Objetivos de Control.
Para Finalizar, adjuntamos con esta monografía un disquette que contiene el Resumen Ejecutivo (2ª Edición) de la norma y las Guías de Auditoría de la misma, las cuales pueden ser utilizadas por nuestros compañeros si desean profundizar más en el estudio de COBIT, y que en este trabajo son desarrolladas brevemente para no hacer tediosa la explicación de la norma y por razones de espacio obvias.
2. COBIT (Objetivos de Control para Tecnología de Información y Tecnologías relacionadas)
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnología informática y prácticas de control, COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Esta basado en la filosofía de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
Misión: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnología de información que sea de uso cotidiano para gerentes y auditores

Usuarios:
  • La Gerencia: para apoyar sus decisiones de inversión en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control.
  • Los Usuarios Finales: quienes obtienen una garantía sobre la seguridad y el control de los productos que adquieren interna y externamente.
  • Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organización y determinar el control mínimo requerido.
  • Los Responsables de TI: para identificar los controles que requieren en sus áreas.
También puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de información del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas.
Características:
  • Orientado al negocio
  • Alineado con estándares y regulaciones "de facto"
  • Basado en una revisión crítica y analítica de las tareas y actividades en TI
  • Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA)
Principios:
El enfoque del control en TI se lleva a cabo visualizando la información necesaria para dar soporte a los procesos de negocio y considerando a la información como el resultado de la aplicación combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI.

  • Requerimientos de la información del negocio
Para alcanzar los requerimientos de negocio, la información necesita satisfacer ciertos criterios:
Requerimientos de Calidad: Calidad, Costo y Entrega.
Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones.

  • Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable.
  • Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica).
  • Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades.
  • Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa.
Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
  • Confidencialidad: Protección de la información sensible contra divulgación no autorizada
  • Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa.
  • Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma.
  • Recursos de TI
En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio:
  • Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, etc.
  • Aplicaciones: entendido como los sistemas de información, que integran procedimientos manuales y sistematizados.
  • Tecnología: incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc.
  • Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.
  • Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información.
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)