Implantación Gobierno de TI Cobit

Introduccin

La misin principal de COBIT es investigar, desarrollar, hacer

pblico y promover un marco de control de gobierno TI autorizado,

actualizado, aceptado internacionalmente para la adopcin por

parte de las empresas y el uso diario por parte de gerentes de

negocio, profesionales de TI y profesionales de aseguramiento. La

necesidad de un marco de trabajo de control para el gobierno de TI

define las razones de por qu se necesita el gobierno TI, los

interesados y qu se necesita cumplir en el gobierno de TI.

El presente documento representa la funcionalidad que el gobierno

de TI tiene en una empresa ya que para toda empresa, organizacin,

institucin o negocio de cualquier tamao la informacin es el

recurso ms valioso. Entre ms se automaticen de forma correcta

los procesos que maneja, almacenan y generan informacin se tendr

un mejor control sobre toda actividad que se realice en la

empresa, tomando en cuenta todas las actividades de negocio as

como las actividades propias de TI

Antecedentes

La empresa Petrleo y Combustibles HS es una empresa guatemalteca

fundada en el ao 2005 por una sociedad annima local, su

funcionamiento y operaciones fueron aprobadas y monitoreadas por

el Ministerio de Energa y Minas del Gobierno de Guatemala para la

explotacin, importacin y transformacin de materias primas

locales y extranjeras.

Desde la fundacin Petrleo y Combustibles HS se convirti en un

referente en la regin por su buen funcionamiento, buenos precios

y calidad en sus productos. Hoy da la empresa se encuentra

posicionada en un lugar privilegiado ya que ha podido extenderse

por toda la regin centro americana y panam.

Petrleo y Combustibles HS cree en:

Brindar productos de calidad a todos sus clientes

Generacin de empleo para una gran cantidad personas

Responsabilidad ambiental

Productos seguros y accesibles

Siempre estar a la vanguardia en la tecnologa de sus

productos y en los mtodos para lograr todas sus operaciones

Petrleo y combustibles HS se encuentra entre el top 5 de las

compaas refinadoras de toda amrica latina.

Visin

Nos comprometemos a ser una empresa responsable del medio ambiente

que desarrolla sus operaciones y reservas, eficientemente, sin

derrames ni accidentes, para ir siempre a la vanguardia.

Misin

Producir de manera responsable el recurso petrolero de Guatemala y

la regin Centro Americana en beneficio y armona de los

empleados, las comunidades y el medio ambiente.

PLANTEAMIENTO DEL PROBLEMA

Usted fue contratado por una organizacin para la implementacin de un

gobierno de TI basado en el marco de referencia de COBIT.

La organizacin se dedica a la fabricacin de combustibles y carburantes

para la regin centroamericana.

Los procesos crticos para esta organizacin son:

1. Fabricacin de GLP.

2. Fabricacin de combustibles para automotores.

3. Importacin de materias primas.

4. Distribucin de los productos finales que se realiza de la

siguiente forma:

a. GLP venta en hogares en toda la regin.

b. Combustibles a travs de una red 100 gasolineras en la

regin.

La organizacin actualmente cuenta con sistemas obsoletos que deben ser

reemplazados por tecnologas de ltimas generacin tanto en aplicaciones

de escritorio como tecnologas mviles.

Dentro de los requerimientos del negocio se le solicita la creacin de un

nuevo datacenter y toda la infraestructura tecnolgica necesaria para la

implementacin. Considera lo siguiente:

1. Tecnologas de Oracle para BD.

2. Tecnologas de WebLogic para servidores de aplicaciones.

3. Desarrollos con tecnologa para plataforma Android.

4. Tecnologas Cisco para la red de comunicaciones centro amrica.

5. Los principales sistemas para el control de las operaciones.

6. Volumen estimado de usuarios por pas:

a. Guatemala 400.

b. Resto de C.A. 200 por pas incluyendo Panam.

7. Cantidad de datos a almacenar primer ao 3TB en base de datos y 2

TB en aplicaciones.

8. Debe existir un datacenter alterno al de Guatemala en Costa Rica.

Gobierno de T.I. para empresa que fabrica Combustibles y carburantes.

Marco de Trabajo Cobit 4.1

PO Planear y Organizar

PO1 Definir un Pla estratgico de T.I.

PO1.1 Situacin Actual de la Empresa

PO1.1.1 Caractersticas principales de la Empresa

La empresa Se dedica a la Fabricacin de Combustible para automotores,

carburantes y gas licuado de petrleo en la regin centroamericana, en la

cual distribuye el GLP a los hogares y el combustible en una red de 100

gasolineras en toda la regin.

PO1.1.2 Condiciones Actuales de la empresa

La organizacin actualmente cuenta con sistemas obsoletos que deben ser

reemplazados por tecnologas de ltimas generacin tanto en aplicaciones

de escritorio como tecnologas mviles para mejorar los procesos de

comunicacin y manejo de informacin en todas las reas de la empresa.

PO1.2 Modelo de Negocio

PO1.2.1 Estrategia Organizacional

La Estrategia de la empresa en convertirse en lderes del mercado en la

regin, brindndoles a sus clientes los mejores productos y de la mejor

calidad para satisfacer las necesidades de cada uno de ellos y ayudar al

cuidado y mantenimiento de sus vehculos y su economa.

Para poder cumplir con su estrategia, la empresa desea innovarse cada vez

ms para mantenerse en la cima del mercado y mantener una ventaja amplia

sobre sus competidores.

PO1.2.2 Competencias Fundamentales

Las fortalezas fundamentales de la organizacin son:

Posicionamiento en el mercado

Calidad de sus productos

Amplia cobertura

Precios Accesibles

Materia prima de ptima calidad

Para llegar a esto se utilizara:





PO1.2.3 Estrategia Competitiva

La estrategia competitiva de la organizacin radica en mantener a sus

clientes satisfechos en muchos aspectos tanto en precio y confiabilidad

como en una buena imagen que identifica a la marca.

PO1.3 Modelo de TI

El modelo de TI de la organizacin se fortalece con la aplicacin y buen

manejo de tecnologa de ltima generacin para mantener controlados los

procesos de negocio, as como brindar una comunicacin efectiva en todas

las sedes y centros de distribucin de la regin centro americana.

Los nuevos sistemas de informacin que se implementaran servirn para

mantener un control de la informacin en las base de datos del data

center principal y creando una copia para el data center de respaldo. Los

trabajadores de la empresa podrn mantenerse en contacto con aplicaciones

desarrolladas para dispositivos mviles. Toda la tecnologa que se

implementara servir para dar el mejor servicio y productos de calidad a

los ms de 2000 usuarios.

PO2 Definir la arquitectura de la informacin

PO2.1 Modelo de Arquitectura de informacin

Procesos

crticos

Fabricacin

de GLP

Fabricacin de

combustible

Importacin

de materia

prima

Distribucin de

los productos

Objetivos de Negocio

Requisitos de

Negocio

Objetivos de

Gobierno

Informacin

de servicios

Informacin de

Criterios de

negocio

Arquitectura de TI

DATACENTER

BD Servidor de

aplicaciones Servidor de

Comunicaciones

PO2.2 Esquema de Clasificacin de Datos

Tipo de

Informacin

Proceso

Fabricacin

de GLP

Fabricacin

de

Combustible

Importacin

de materia

prima

Distribucin

de Productos

Publica X

Secreta X

Confidencial X X

PO2.3 Administracin de Integridad

Para garantizar la integridad de la informacin:

El sistema limitara el acceso a informacin con roles

Solo el DBA te tendr acceso a todas las reas de la informacin

Para la transicin de la informacin se utilizaran algoritmos de

encriptacin

El acceso al sistemas ser por medio de claves encriptada y se

cambiaran constantemente

Para acceder al data center se tomaran medidas de seguridad

biomtrica, tarjetas inteligentes y claves.

El rea de TI es responsable de la seguridad, almacenamiento,

distribucin y comunicacin de la informacin para todas las reas

de la empresa

En TI hay responsabilidades compartidas as como una

responsabilidad especfica para cada miembro del equipo

Nunca se compartir informacin importante va telefnica

Los empleados que tengan acceso a informacin confidencial de la

empresa debern seguir un estricto cdigo de conducta para evitar

percances con ingeniera social

PO3 Determinar la direccin tecnolgica

PO3.1 Planeacin de la direccin tecnolgica

Bajo esta direccin recae la responsabilidad de supervisar y evaluar la

actividad de los tcnicos e integrantes de la empresa, estableciendo los

objetivos y mecanismos necesarios para la consecucin de la evolucin de

nuestros productos y servicios.

Sus principales tareas son:

Registrar y controlar la propiedad de las tecnologas desarrolladas

e implantadas.

Registrar, administrar y controlar los sistemas internos de

control.

Generar la documentacin y metodologa necesaria, que facilite la

rpida adaptacin de los sistemas.

Asegurar, mediante el estudio continuo de los procedimientos y

mecanismos de control, la mayor calidad en la ejecucin de los

proyectos que caigan bajo su espectro funcional, organizando las

prioridades con carcter tecnolgico que se adecuen a la oferta

realizada.

Organizar, controlar, dirigir y supervisar al personal tcnico.

Asegurar la realizacin de tareas de seguimiento continuo para

mantener y mejorar la calidad de los servicios y productos.

Coordinar con la Direccin de Innovacin los planes de implantacin

y adecuacin tecnolgicos.

Asesorar proactivamente a la Direccin en la elaboracin y diseo

de los planes tecnolgicos anuales y plurianuales.

PO3.2 Plan de infraestructura tecnolgica

Dentro de los requerimientos del negocio se le solicita la creacin de un

nuevo datacenter y toda la infraestructura tecnolgica necesaria para la

implementacin. Considera lo siguiente:





5. Los principales sistemas para el control de las operaciones.

6. Volumen estimado de usuarios por pas:

a. Guatemala 400.

b. Resto de C.A. 200 por pas incluyendo Panam.

7. Cantidad de datos a almacenar primer ao 3TB en base de datos y 2 TB

en aplicaciones.

8. Debe existir un datacenter alterno al de Guatemala en Costa Rica.

PO4 Definir los Procesos, Organizacin y Relaciones de TI.

PO4.1 Marco de trabajo de procesos de TI

Trabajo a

realizar

Procesos

Base de

Datos

Aplicaciones Comunicaciones Control de

Distribucin de

productos

Generacin de

informacin

X X X

Almacenamiento

de informacin

X

Control de

trfico de

informacin

X

PO4.2 Polticas que debe cumplir el personal contratado

1- Cumplir fielmente en forma presencial el tiempo estipulado en su

contrato. En caso de presentrsele una situacin especial debe

comunicarlo por escrito.

2- Cumplir las expectativas y resultados esperados.

3- Manejar las informaciones dentro del Canon de absoluta

discrecionalidad.

4- Toda persona que entra al departamento entra en condicin de prueba

de 3 meses; decidiendo su continuidad a partir de los resultados.

5- Todo miembro ha de cumplir fielmente el cronograma de trabajo;

presentando a ms tardar el da 5 de cada mes una memoria de sus

ejecutorias.

6- Todo miembro del equipo ha de respetar los canales y procedimientos

establecidos.

7- Asistir a las reuniones y jornadas a las que se le convoque.

8- Presentar todas las sugerencias y propuestas que considere pueden

contribuir al cumplimiento pleno de la misin del departamento.

9- Cultivar el perfil de dinamismo, cooperacin, integracin,

solidaridad, respeto, alegra y desarrollo integral del departamento y

cada uno de sus miembros.

10- Consultar con la instancia superior cualquier inconveniente o

procedimiento no tomado previamente en consideracin.

11- Aplicar el procedimiento general y las tcnicas especficas a

emplearse en la organizacin y ejecucin de la Evaluacin.

PO5 Administrar la inversin en TI

Descripcin conceptos

Excelente Bueno Regular Deficiente

Existencia marco

de trabajo

financiero para

administrar las inversiones y el

costo de los

activos y

servicios de TI

X

Cumplimiento marco de trabajo

financiero para

administrar las

inversiones y el

costo de los

activos y servicios de TI

X

Retroalimentacin

marco de trabajo

financiero para

administrar las

inversiones y el

costo de los

activos y

servicios de TI

X

Existencia implementacin

del proceso de

toma de

decisiones para

dar prioridades a la asignacin de

recursos de TI

X

Cumplimiento

implementacin

X

del proceso de toma de

decisiones para

dar prioridades a

la asignacin de

recursos de TI

Retroalimentacin

implementacin

del proceso de

toma de

decisiones para

dar prioridades a la asignacin de

recursos de TI

X

Existencia

proceso de

administracin y

elaboracin de

los presupuestos

de inversin de

TI

X

Cumplimiento proceso de

administracin y

elaboracin de

los presupuestos

de inversin de

TI

X

Retroalimentacin

proceso de

administracin y

elaboracin de

los presupuestos

de inversin de

TI

X

Existencia

proceso de administracin de

costos que

compare los

costos reales con

los

presupuestados

X

Cumplimiento proceso de

administracin de

costos que

compare los

costos reales con

los presupuestados

X

Retroalimentacin

proceso de

administracin de

costos que compare los

costos reales con

los

presupuestados

X

Existencia

implementacin de

un proceso de

monitoreo de

beneficios

X

Cumplimiento implementacin de

un proceso de

monitoreo de

beneficios

X

Retroalimentacin implementacin de

un proceso de

monitoreo de

beneficios

X

PO6 Comunicar las aspiraciones y la direccin de la Gerencia

El proceso para comunicar las aspiraciones y la direccin son informales e inconsistentes

debido a que no existe comunicacin entre la persona encargada de crearlos y el nivel

gerencial, y las polticas y procedimientos de la direccin gerencial son desorganizados debido

a que el nivel gerencial no ha realizado reuniones formales para poder crearlos.

Estos procesos se van a tecnificar y se har una reestructuracin tecnolgica para que la

comunicacin sea satisfactoria y siempre la informacin est disponible en todas las reas de la

empresa.

PO7 Administrar los Recursos Humanos de TI

Por la entrevista informal realizada a la persona encargada del

Departamento Administrativo y la encuesta realizada al personal de la

empresa, conocemos que la administracin de los recursos humanos de TI y

en general no cuenta con un proceso previamente establecido que siga

prcticas definidas y aprobadas para el reclutamiento, entrenamiento,

evaluacin del desempeo, la promocin y la terminacin de la fuerza de

trabajo.

El proceso para administrar el recurso humano no cuenta con una persona o

grupo de personas asignadas formalmente, no existe conciencia de la

necesidad del proceso en la organizacin.

PO8 Administrar la Calidad


Departamento Administrativo conocemos que la administracin de la calidad

es un proceso inicial en la empresa. A nivel gerencial se preocupa por

obtener certificacin ISO 9001-2000; el personal administra la calidad de

su trabajo indistintamente y sin supervisin.

El proceso para administrar la calidad no tiene una metodologa definida

en la organizacin, la alta gerencia reconoce que es necesario un sistema

de administracin de la calidad pero este no tiene una estructura

documentada para seguir, todo se realiza de manera intuitiva y

desorganizada.

PO9 Descripcin del Proceso


Departamento Administrativo conocemos que la evaluacin y administracin

de los riesgos de TI es un proceso inexistente en la empresa, porque no

cuentan con un marco de trabajo que identifique, analice y evalu

cualquier impacto potencial sobre las metas de la organizacin causada

por algn evento no planeado.

El proceso para evaluar y administrar los riesgos de TI no tiene

conciencia de la importancia de contar con una metodologa que solucione

vulnerabilidades de seguridad e incertidumbres en el desarrollo de

proyectos, evaluando los riesgos en los procesos y en las decisiones del

negocio.

PO10 Administrar Proyectos

Por la entrevista realizada al Vicepresidente Ejecutivo de la empresa, y

la entrevista informal realizada a la persona encargada del Departamento

Administrativo conocemos que la administracin de proyectos de TI es un

proceso inexistente en la empresa porque no cuentan con una metodologa

definida que garantice la coordinacin de los proyectos, por el contrario

cada miembro de la empresa administra sus proyectos independientemente.

El proceso para administrar proyectos de TI no tiene tcnicas especficas

y la organizacin no toma en cuenta los impactos al negocio que ocurren

por la mala administracin de los proyectos.

AI Adquirir e implementar

AI1 Identificar Soluciones Automatizadas




4. Tecnologas Cisco para la red de comunicaciones en toda centro

amrica.

Lista de componentes y equipo para implantar los nuevos sistemas

Cable UTP:

Componente Descripcin

Cable UTP categora 6 Puede transmitir datos

Gigabit Ethernet

Conector RJ-45:


Conector RJ-45 Interfaz fsica para

cable UTP

Patch Panel:


Patch Panel De 19 pulgadas con 48

puerto

Switch:


Switch C2960S-48FPD-L

Ofrecen alta densidad de 10, 40 y 100

Gigabit Ethernet con

la aplicacin de

sensibilizacin y

completo anlisis de

rendimiento para el

centro de datos.

Router:


Router Cisco ASR 1013

Servicios escalables

integradas en el

procesador de QuantumFlow Cisco a

velocidades de cable

de 2,5 Gbps a 100 Gbps

Servidores:


Servidor Un servidor es un nodo que,

formando parte de una red, provee servicios a otros nodos denominados

clientes.

Rack:


Rack Un rack es un soporte metlico

destinado a alojar equipamiento electrnico, informtico y de

comunicaciones. Las medidas para la

anchura estn normalizadas para que

sean compatibles con equipamiento

de cualquier fabricante. Tambin

son llamados bastidores, cabinas,

cabinets o armarios.

Tecnologia Web logic :

Componente Descripcion

Oracle Weblogic Oracle WebLogic Server 12c es el servidor

de aplicaciones nmero uno en los entornos

convencionales y de nube. Es la piedra

angular de la base de la aplicacin de nube

de Oracle, la plataforma ms completa y de

mayor nivel del sector para el desarrollo

de aplicaciones de nube.

Telfono IP


Cisco Unified 9971 El Cisco Unified IP Phone 9971

ofrece una alta calidad, las

comunicaciones multimedia

interactivas avanzadas en un diseo

que es a la vez usuario y

respetuoso del medio ambiente.

AI2 Adquirir y mantener software

La adquisicin de software se realizara bajo licenciamiento de fabricante

y las aplicaciones sern desarrolladas por el personal del departamento

de TI.

El departamento de TI desarrollara y mantendr el sistema que haya sido

creado e implantado en los equipos, desarrollara aplicaciones para

dispositivos mviles que cuenten con el sistema operativo Android.

El desarrollo de aplicaciones y sistemas de la empresa para terminales no

mviles se realizara en lenguajes de programacin orientada a objetos

(Java, .Net, etc.) as tambin como las pginas web propias de la empresa

en la que se brindara informacin acerca de los productos y servicios de

la empresa. Para el desarrollo de aplicaciones mviles se usaran SDK

especiales que permitan desarrollar de la mejor manera posible las

aplicaciones.

AI3 Adquirir y Mantener Infraestructura Tecnolgica

El mantenimiento de la estructura de TI ser realizado por el personal

del departamento de TI y si fuera necesario se contratara a un tercero

para brindar dicho mantenimiento bajo la supervisin del personal de la

empresa.

La adquisicin del equipo ser evaluada para distintos proveedores y se

escoger la que mejor se acople al presupuesto destinado a la inversin

de automatizacin de los procesos de la empresa y controlar los mismos

(fabricacin de GLP, Combustibles, la adquisicin de las materias primas

y la distribucin de los productos finales). Los equipos que sern

adquiridos son los que se ajustan a las necesidades de la empresa y se

deber realizar el doble de la compra ya que se contar con un sistema de

respaldo en un datacenter privado en Costa Rica.

AI4 Facilitar la operacin y el uso

Para facilitar la operacin de los sistemas y el uso de las aplicaciones

nuevas para realizar los nuevos procesos de la empresa se requerir:

Documentacin de todos los procesos que se realizan

Creacin de diagramas de los procesos

Documentacin apropiada en cada proyecto de desarrollo

o Manuales de programacin

o Manuales de usuario

Creacin de archivos digitales que contengan toda la informacin de

los proyectos

Creacin de Manuales de polticas de uso, compromiso y

responsabilidad de los usuarios

AI5 Adquirir recursos de TI

Precio de componentes tecnolgicos que sern adquiridos o que podran ser

adquiridos para realizar una reestructuracin en el gobierno de TI en la

empresa:

Producto Precio unidad

UTP CAT6 Q. 6.25 p/m

RJ45 Q. 14.60

Patch panel $ 229.00

Switch $ 3,118.00

Router $ 12,732.00

Servidor $ 10,919.00

Rack $ 150.00

Web Logic $ 600.00

Base de datos Oracle $ 700.00

Telfonos IP Cisco $ 514.66

Windows 7 Ultimate $ 250.00

Microsoft Office 13 $ 367.00

Microsoft Server 2012 R2 $ 600.00

VmWare Virtual Center $ 6,000.00

Backup Exec $ 500.00

AI6 Administrar Cambios

Las aplicaciones, sistemas, bases de datos, servidores, telefona Ip y

pstn sern integrados en la nueva red empresarial. Despus de la ceracin

de la nueva red sern automatizados los procesos de la empresa a travs

de las aplicaciones que sern instaladas y brindadas a los equipos

terminales a travs de los servidores de aplicaciones con Weblogic de

Oracle que se adquirieron.

Se realizaran pruebas de funcionamiento previas al completo lanzamiento

de los nuevos sistemas que cubrirn la regin centro americana y panam

AI7 Instalar y acreditar soluciones y cambios

Despus de realizar las pruebas de funcionamiento de los sistemas a nivel

local y a nivel regional:

Se proceder a la instalacin automtica de las aplicaciones a

travs del directorio activo de la red

Se asignaran usuarios y respectivas contraseas a los empleados

Se brindara capacitacin para entrenar al personal y saber dar

solucin a los problemas que se presenten

Cambiar el mtodo tradicionalmente utilizado para realizar los

procesos para automatizarlos a travs de los nuevos sistemas

DS Entregar y Dar Soporte

DS1 Definir y Administrar los Niveles de Servicio

Se conoce que la definicin y administracin de los niveles de servicio

es un proceso inexistente en la empresa porque no cuentan con una

documentacin de acuerdos de niveles de servicio de TI con respecto a los

servicios requeridos, que refuerce la comunicacin entre la gerencia de

TI y el personal de la empresa.

Para definir el proceso y administrar los niveles de servicio la gerencia

no tiene contemplado el gran nmero de beneficios de tener un sistema

responsable que controle y documente la administracin de acuerdos de

niveles de servicio en la empresa por ello se llevara a cabo una lista de

beneficios que la empresa tendr al contar con un sistema que ayude a

automatizar sus procesos:

Priorizacin de los procesos

Optimizacin de costos de TI

Incremento en la productividad del personal al utilizar el sistema

Mayor control del estado actual de los procesos

Confidencialidad de informacin

Integridad de los Activos de la empresa

Disponibilidad de informacin en todo momento

Niveles de Servicios:

Rapidez y confiabilidad en la bsqueda de datos

Clasificacin de la informacin en niveles de privacidad

Soporte de los servicios en caso de algn problema

Soporte y mantenimiento de hardware

DS2 Administrar los Servicios de Terceros

En caso de necesitar el servicio de terceros, la poltica de la empresa

establece reglas que se deben seguir para que la empresa o persona que

brinde el servicio se apegue directamente a las polticas y

especificaciones con las que trabaja nuestro departamento de TI, de esta

manera se asegurara que todo est bajo control y se mantendr la

funcionalidad libre de errores. Las polticas con las que se

administraran a terceros son:

La informacin permanecer nica y exclusivamente restringida para

miembros de la organizacin

Solo tendrn acceso si as se necesitara bajo supervisin de

personal autorizado del rea de TI

El personal de TI es responsable de verificar el trabajo que

realizan los terceros

El acceso a los datacenter solo ser posible si son acompaados de

personal autorizado que supervise el trabajo

Los terceros son responsables del equipo en que trabajan

Daos y percances causados por personal de empresas terceras sern

responsabilidad de la empresa a la que se contrata

Se podr utilizar la misma empresa para los distintos servicios que

se necesiten si se llenan las expectativas

No existir un contrato con empresas terceras para dar servicio a

los equipos

Se contratara a empresas terceras solo si el personal del rea de

TI propio lo necesitan

Nuca se realizaran pagos en efectivo a los trabajadores, solo se

realizara por transaccin bancaria

Los acuerdos de trabajo se realizaran con directivos de las empresas

DS3 Administrar el Desempeo y la Capacidad

Para poder cumplir con los requerimientos de tiempo de respuesta de los

acuerdos de niveles de servicio, minimizando el tiempo sin servicio y

haciendo mejoras continuas de desempeo y capacidad de TI a travs del

monitoreo y la medicin se establecern pasos a seguir y revisiones

peridicas para confirmar que se cumplen los objetivos.

Proceso de administracin del buen desempeo y la capacidad de la

empresa a travs de los procesos que se automatizarn

Fabricacin

de GLP Fabricacin

de

combustible

Adquirir

Materia

prima

Vender y

distribuir

Para medir que tan bien estn las ventas,

es necesario no solo medir las ganancias

obtenidas si no tambin que tanto hemos

satisfecho las necesidades de los clientes,

si su precio es razonable y si nos permite

competir en el mercado, rea que se cubre

con cada punto de distribucin

Las materias primas para la fabricacin de los

productos de la empresa son adquiridas de los

mejores proveedores nacionales y extranjeros

para garantizar la confiabilidad de los

productos que fabricamos, vendemos y

distribuimos

El control de este proceso ser llevado a cabo durante

su fabricacin midiendo la calidad de los productos

utilizados y haciendo pruebas para medir si cumple con

los requisitos necesarios para dejar la lnea de

fabricacin

El control de este proceso ser llevado a cabo durante su

fabricacin midiendo la calidad de los productos utilizados y

haciendo pruebas para medir si cumple con los requisitos

necesarios para dejar la lnea de fabricacin

DS4 Garantizar la Continuidad del Servicio

La necesidad de brindar continuidad en los servicios de TI requiere

desarrollar, mantener y probar planes de continuidad de TI, almacenar

respaldos fuera de las instalaciones y entrenar de forma peridica sobre

los planes de continuidad. El desarrollo de resistencia en las soluciones

automatizadas y desarrollando, manteniendo y probando los planes de

continuidad de TI.

Los planes para la continuidad del servicio sern con la definicin de

medidas que garanticen la integridad en todo momento de la informacin,

los equipos que la contiene y que prestan servicios a las aplicaciones

con las que interactan los usuarios y los clientes de la empresa para

mantener una mejor comunicacin.

Las medidas que se tomaran para realizar lo anterior dicho ser:

SAP. Sistemas de Anlisis y Desarrollo de Programas

ERP. Planificacin de Recursos Empresariales

Data Loss Prevention (DLP):

Backup Exec

DRP. Plan de recuperacin ante desastres

BCP. Plan de continuidad del negocio

Backup de Base de Datos

o Backups incrementales

o Backups diferenciales

DS5 Garantizar la Seguridad de los Sistemas

La necesidad de mantener la integridad de la informacin y de proteger

los activos de TI, requiere de un proceso de administracin de la

seguridad. La definicin de polticas, procedimientos y estndares de

seguridad de TI y en el monitoreo, deteccin, reporte y resolucin de las

vulnerabilidades e incidentes de seguridad.

Para garantizar la seguridad de los sistemas se tomara en cuenta:

Polticas de Seguridad

Data Center

El DataCenter deber:

Tener una puerta de acceso de vidrio templado transparente, para

favorecer el control del uso de los recursos de cmputo.

Ser un rea restringida. Tener un sistema de control de acceso que

garantice la entrada solo al personal autorizado por la gerencia de

Tecnologa.

Recibir limpieza al menos una vez por semana, que permita

mantenerse libre de polvo.

Estar libre de contactos e instalaciones elctricas en mal estado

Aire acondicionado. Mantener la temperatura a 21 grados

centgrados.

Asignar un tcnico para que realice un control diario temperatura y

aires acondicionados y llevar un registro de estos controles.

Respaldo de energa redundante.

Seguir los estndares de proteccin elctrica vigentes para

minimizar el riesgo de daos fsicos de los equipos de

telecomunicaciones y servidores.

Los sistemas de tierra fsica, sistemas de proteccin e

instalaciones elctricas debern recibir mantenimiento anual con el

fin de determinar la efectividad del sistema.

Contar con algn esquema que asegure la continuidad del servicio.

Control de humedad

Prevencin y/o deteccin de incendios

Sistemas de extincin.

Contar por lo menos con dos extintores de incendio adecuado y

cercano al DataCenter.

La instalacin del equipo de cmputo, quedar sujeta a los siguientes

lineamientos:

Los equipos para uso interno se instalarn en lugares adecuados,

lejos de polvo y trfico de personas.

El rea de Tecnologa, as como las reas operativas debern contar

con un plano actualizado de las instalaciones elctricas y de

comunicaciones del equipo de cmputo en red.

Las instalaciones elctricas y de comunicaciones, estarn

preferiblemente fijas o en su defecto resguardadas del paso de

personas o materiales, y libres de cualquier interferencia

elctrica o magntica.

Las instalaciones se apegarn estrictamente a los requerimientos de

los equipos, cuidando las especificaciones del cableado y de los

circuitos de proteccin necesarios.

En ningn caso se permitirn instalaciones improvisadas o

sobrecargadas.

La supervisin y control de las instalaciones se llevar a cabo en

los plazos y mediante los mecanismos que establezca el Comit.

Configuracin e instalacin

TI tiene la responsabilidad de verificar la instalacin, configuracin e

implementacin de seguridad, en los servidores conectados a la Red.

La instalacin y/o configuracin de todo servidor conectado a la

Red ser responsabilidad de TI.

Durante la configuracin de los servidores TI deben genera las

normas para el uso de los recursos del sistema y de la red,

principalmente la restriccin de directorios, permisos y programas

a ser ejecutados por los usuarios.

Los servidores que proporcionen servicios a travs de la red e

Internet debern:

o Funcionar 24 horas del da los 365 das del ao.

o Recibir mantenimiento preventivo mnimo dos veces al ao

o Recibir mantenimiento semestral que incluya depuracin de

logs.

o Recibir mantenimiento anual que incluya la revisin de su

configuracin.

o Ser monitoreados por TI.

La informacin de los servidores deber ser respaldada de acuerdo

con los siguientes criterios, como mnimo:

o Diariamente, informacin crtica.

o Semanalmente, los documentos web.

o Mensualmente, configuracin del servidor y logs.

Los servicios hacia Internet slo podrn proveerse a travs de los

servidores autorizados por TI.}

DS6 Identificar y Asignar Costos

Planning

Riesgos

El riesgo que se corre en este negocio es alto, ya que un ataque al

sistema o un trabajo de ingeniera social puede revelar la informacin personal de los clientes asegurados. La informacin que se puede filtrar

pueden ser datos personales de los trabajadores, informacin de sus

proveedores, procesos confidenciales, frmulas de fabricacin, etc.

Amenazas

A. Robo de informacin

B. Modificacin de informacin

C. Prdida total o parcial de informacin

Prioridad, costo de proteccin y nivel de amenaza

Tipo de Riesgo A B C

1 Costo de si sucede el

ataque

$800,000.00 $1,000,000.00 $4,000,000.00

2 Probabilidad de que

ocurra

65% 45% 75%

3 Severidad de la amenaza $600,000.00 $950,000.00 $2,787,500.00

4 Costo de Proteccin $300,000.00 $800,000.00 $1,000,000.00

5 Viabilidad Si Si Si

6 Prioridad 2 3 1

Acciones de las polticas de seguridad

Las polticas de seguridad para esta empresa sern de un carcter

personal de la empresa, estas polticas muestran que hacer para prevenir

un ataque, que hacer durante un ataque y despus del mismo, as como

evitar que suceda otra vez. Entre las polticas de seguridad est

definido el uso del equipo y la informacin, los niveles de acceso a informacin, el comportamiento de los empleados dentro y fuera de la

institucin, hbitos que deben tener y evitar, etc.

Control de acceso

El control de acceso a la informacin, estar acotada por los roles de

cada uno de los empleados de la empresa. El fin de dar permisos por roles es limitar la cantidad de informacin a la que cada nivel de la empresa

tiene acceso y as tener un control del flujo de informacin en la

empresa para evitar la filtracin hacia afuera de la empresa.

Arquitecturas tcnicas de seguridad.

Herramientas para comprender seguridad

A. FireWalls

B. Everest corporte edition

C. Ocs inventory next generation

Advertencias y procesos de entrenamiento

Las advertencias y procesos de entrenamiento para el personal con el que

cuenta la empresa son definidos en las polticas de seguridad en los que

se definen y se advierte a los empleados de las consecuencias de sus

hbitos y acciones que pueden realizar dentro y fuera de la empresa.

El proceso de entrenamiento abarca desde la forma de comportamiento y el

uso adecuado de la tecnologa y la informacin.

Castigos

Los castigos al incurrir en faltas a las polticas de la empresa pueden

ser:

A. Sanciones econmicas

B. Advertencias

C. Despidos

D. Persecucin judicial

Otros costos:

Mantenimiento de Sistemas

Mantenimiento de Hardware

Mantenimiento de cableado estructurado

Cambio de equipos

Actualizacin de sistemas

DS7 Educar y Entrenar a los Usuarios

Para una educacin efectiva de todos los usuarios de sistemas de TI,

incluyendo aquellos dentro de TI, se requieren identificar las

necesidades de entrenamiento de cada grupo de usuarios. Un claro

entendimiento de las necesidades de entrenamiento de los usuarios de TI,

la ejecucin de una efectiva estrategia de entrenamiento y la medicin de

resultados.

Los mtodos para dar educacin y entrenamiento a los usuarios acerca de

los nuevos sistemas sern:

Capacitaciones

Charlas

Talleres

DS8 Administrar la Mesa de Servicio y los Incidentes

El personal o recurso humano encargado de prestar servicio de help desk

debe poseer conocimientos de software, hardware y telecomunicaciones,

todo relacionado con el rea, adems de las polticas de la organizacin,

as como tambin tener capacidades comunicacionales idneas, tales como

escuchar y comprender la informacin, y las ideas expuestas en forma

oral, a problemas especficos, para as lograr respuestas coherentes.

Lo ms importante es dejar al usuario satisfecho con las gestiones del

analista, ms all si el analista entrega o no una solucin.

El Service Desk incluir:

Una gua de posibles problemas con respuestas a problemas comunes

que los usuarios podrn resolver por s solos

Envi de mensajes de reporte de problemas mayores para solicitar

ayuda tcnica

Informacin para que el personal de servicio tenga una gua con

especificaciones de los problemas.

DS9 Administrar la Configuracin

Garantizar la integridad de las configuraciones de hardware y software

requiere establecer y mantener un repositorio de configuraciones completo

y preciso. Establecer y mantener un repositorio completo y preciso de

atributos de la configuracin de los activos y de lneas base y

compararlos contra la configuracin actual.

DS10 Administracin de Problemas

Identificacin y clasificacin de los problemas

Identificacin de problemas. Los problemas son alteraciones al

funcionamiento correcto de las cosas y pueden ser:

Problemas de Software

Sistemas Operativos

Errores en registros de base de datos

Dao en las aplicaciones

Problemas de Hardware

Dao en equipos

Fallo en componentes

Problemas de escritura en disco

Problemas causados por el personal

Acceso no autorizado a equipos e informacin

Los problemas de tipo tecnolgico sern tratados y resueltos por el rea

de TI de la empresa y se reportaran a la direccin para llevar un control

de cada incidente que sucede.

Los problemas que el personal causa a los sistemas son tratados por el

rea de TI y el departamento de recursos humanos para que se encarguen de

las acciones pertinentes, todo lo que suceda y se decida ser reportado a

la direccin de la empresa para llevar un control especfico de todos los

procesos de castigo, correccin y solucin.

DS11 Administracin de Datos

Una efectiva administracin de datos requiere de la identificacin de

requerimientos de datos. Mantener la integridad, exactitud,

disponibilidad y proteccin de los datos.

DS12 Administracin del Ambiente Fsico

El ambiente fsico para los equipos que tendrn en funcionamiento los

sistemas estn definidos:

Tier III

Caractersticas:

Permite planificar actividades de mantenimiento sin afectar al

servicio de computacin, pero eventos no planeados pueden causar

paradas no planificadas.

Componentes redundantes (N+1)

Conectados mltiples lneas de distribucin elctrica y de

refrigeracin, pero nicamente con una activa.

Suficiente capacidad y distribucin para poder llevar a cabo tareas

de mantenimiento en una lnea mientras se da servicio por otras.

Mltiples enlaces de salida

varios enlaces de salida

DS13 Administracin de Operaciones

Un procesamiento de informacin completo y apropiado requiere de una

efectiva administracin del procesamiento de datos y del mantenimiento

del hardware. Cumplir con los niveles operativos de servicio para

procesamiento de datos programado, proteccin de datos de salida

sensitivos y monitoreo y mantenimiento de la infraestructura.

ME MONITOREAR Y EVALUAR

ME1 Monitorear y Evaluar el Desempeo de TI

Una efectiva administracin del desempeo de TI requiere un proceso de

monitoreo. Monitorear y reportar las mtricas del proceso e identificar e

implementar acciones de mejoramiento del desempeo.

Cmo monitorear el desempeo?

Etapa 1: Conformacin del equipo de trabajo

Personal capacitado para determinar si el trabajo se est realizando como

debera.

Etapa 2: Caracterizacin general de la organizacin objeto de estudio

Caractersticas de la empresa.

Etapa 3: Anlisis de los recursos de TI y su alineacin a los objetivos

de negocio de la organizacin

Recursos de TI con los que se cuenta y su participacin en los objetivos

de negocio.

Etapa 4: Anlisis de los riesgos de TI y su administracin

Riesgo a los que el equipo de cmputo y sus administradores corren.

Etapa 5: Caracterizacin del grado de satisfaccin de los trabajadores

con los recursos y servicios de TI

Evaluacin de las opiniones que tienes los usuarios de los equipos y

sistemas para determinar si es adecuado o no.

Etapa 6: Realizacin del diagnstico de madurez de los objetivos de

control de TI

Diagnstico de que tan tiles son los sistemas y equipos.

Etapa 7: Evaluacin de la gestin de TI en la organizacin

Investigacin acerca de cmo se gestiona, como se optimiza, como se

solucionan problemas de TI en la organizacin.

Etapa 8: Elaboracin del informe de evaluacin

Informe detallado de las investigaciones y los resultados encontrados

acerca del funcionamiento de TI y su gestin, tambin se reporta quien

realizo la evaluacin.

ME2 Monitorear y Evaluar el Control Interno

El control interno informtico controla diariamente que todas las

actividades de los sistemas de informacin sean realizadas cumpliendo

los procedimientos, estndares y normas fijados por la direccin de la

organizacin y/o direccin de informtica, as como los requerimientos

legales.

Objetivos del control interno de TI:

Establecer como prioridad la seguridad y proteccin de la

informacin del sistema computacional y de los recursos

informticos de la empresa.

Promover la confiabilidad, oportunidad y veracidad de la captacin

de datos, su procesamiento en el sistema y la emisin de informes

en la empresa.

Implementar los mtodos, tcnicas y procedimientos necesarios para

coadyuvar al eficiente desarrollo de las funciones, actividades y

tareas de los servicios computacionales, para satisfacer los

requerimientos de sistemas en la empresa.

Instaurar y hacer cumplir las normas, polticas y procedimientos

que regulen las actividades de sistematizacin de la empresa.

Establecer las acciones necesarias para el adecuado diseo e

implementacin de sistemas computarizados, a fin de que permitan

proporcionar eficientemente los servicios de procesamiento de

informacin en la empresa.

Elementos fundamentales del control interno informtico

Controles internos sobre la organizacin del rea de TI

Controles internos sobre el anlisis, desarrollo e implementacin

de sistemas

Controles internos sobre operacin del sistema

Controles internos sobre los procedimientos de entrada de datos, el

procesamiento de informacin y la emisin de resultados.

Controles internos sobre la seguridad del rea de sistemas

Controles internos sobre la organizacin del rea de TI

Direccin

Divisin del trabajo Asignacin de responsabilidad y autoridad

Establecimiento de estndares y mtodos Perfiles de puestos Controles internos sobre el anlisis, desarrollo e implementacin de

sistemas

Estandarizacin de metodologas para el desarrollo de proyectos

Asegurar que el beneficio de los sistemas sea optimo

Elaborar estudios de factibilidad del sistema Garantizar la eficiencia y eficacia en el anlisis y diseo de

sistemas Vigilar la efectividad y eficiencia en la implementacin y

mantenimiento del sistema

Optimizar el uso del sistema por medio de su documentacin

Controles internos sobre operacin del sistema

Prevenir y corregir los errores de operacin Prevenir y evitar la manipulacin fraudulenta de la informacin Implementar y mantener la seguridad en la operacin Mantener la confiabilidad, oportunidad, veracidad y suficiencia en

el procesamiento de la informacin de la institucin Controles internos sobre los procedimientos de entrada de datos, el

procesamiento de informacin y la emisin de resultados.

Verificar la existencia y funcionamiento de los procedimientos de captura de datos

Comprobar que todos los datos sean debidamente procesados Verificar la confiabilidad, veracidad y exactitud del

procesamiento de datos.

Comprobar la oportunidad, confiabilidad y veracidad en la emisin de los resultados del procesamiento de informacin.

Controles internos sobre la seguridad del rea de TI

Controles para prevenir y evitar las amenazas, riesgos y contingencias que inciden en las reas de sistematizacin.

Controles sobre la seguridad fsica del rea de sistemas Controles sobre la seguridad lgica de los sistemas.

Controles sobre la seguridad de las bases de datos

Controles sobre la operacin de los sistemas computacionales Controles sobre seguridad del personal de informtica Controles sobre la seguridad de la telecomunicacin de datos

Controles sobre la seguridad de redes y sistemas multiusuarios

ME3 Garantizar el Cumplimiento con Requerimientos Externos

Una supervisin efectiva del cumplimiento requiere del establecimiento de

un proceso de revisin para garantizar el cumplimiento de las leyes,

regulaciones y requerimientos contractuales. La identificacin de todas

las leyes y regulaciones aplicables y el nivel correspondiente de

cumplimiento de TI y la optimizacin de los procesos de TI para reducir

el riesgo de no cumplimiento.

ME4 Proporcionar Gobierno de TI

El establecimiento de un marco de trabajo de gobierno efectivo, incluye

la definicin de estructuras, procesos, liderazgo, roles y

responsabilidades organizacionales para garantizar as que las

inversiones empresariales en TI estn alineadas y de acuerdo con las

estrategias y objetivos empresariales. La elaboracin de informes para el

consejo directivo sobre la estrategia, el desempeo y los riesgos de TI y

responder a los requerimientos de gobierno de acuerdo a las directrices

del consejo directivo.

reas del Gobierno TI:

1. Alineamiento estratgico, se centra en:

Asegurar la conexin e integracin del negocio con los planes de

TI.

Definir, mantener y validar las propuestas de valor de TI.

Alinear las operaciones de TI con las de la empresa.

Obtener mejor alineacin que la competencia.

2. Entrega de valor: se refiere a ejecutar las propuestas de valor

durante el ciclo de entrega, asegurando que TI entrega los

beneficios relacionados con la estrategia del negocio,

concentrndose en optimizar costes y proporcionar el valor

intrnseco a la TI.

3. Gestin del Riesgo requiere:

Concienciacin por parte de la alta direccin.

Comprender la necesidad del cumplimiento con los requisitos.

Transparencia en el tratamiento de los riesgos ms significativos.

Integrar las responsabilidades de la gestin de riesgos en la

organizacin.

Clara comprensin de la apetencia de riesgo de la organizacin.

4. Gestin de Recursos, se centra en:

Organizar de manera ptima los recursos de TI de forma que los servicios

que los requieran los obtengan en el lugar y momento necesarios.

Alinear y priorizar servicios y productos existentes de TI que se

requieren para apoyar las operaciones del negocio.

Controlar y monitorizar los servicios TI propios y de terceros.

5. Medicin del Rendimiento, sigue y controla:

La estrategia de la implantacin.

La estrategia de los proyectos.

El uso de los recursos.

El rendimiento de los procesos.

La entrega de los servicios.

Documents

Implantación Gobierno de TI Cobit