Está en la página 1de 39

Control de los Sistemas de Negocios

Sistema de Continuidad

del Negocio

Control de los Sistemas de Negocios Sistema de Continuidad del Negocio D o cen te: Mg.

D o cen te: Mg. Elisa Pau r o Asillo

IMPORTANCIA DE CONTROLAR LOS S.I.

Dado el alto grado de penetración de la informática en la vida

cotidiana doméstica y organizacional, cualquier tipo de fallo en los sistemas de información pueden producir catástrofes importantes.

A los efectos de minimizar el impacto de las amenazas, las empresas necesitan implementar un sistema de control del sistema de información.

Conceptos importantes:

Amenazas

Controles

Riesgo latente, acción que genera temor.

Intervenciones realizadas con el objeto de prevenir

cualquier posible desvío respecto a lo que se pretendía.

Seguridad

Políticas, procedimientos y medidas técnicas que se

aplican para evitar cualquier tipo de fallo, robo, alteración a los S.I.

procedimientos y medidas técnicas que se aplican para evitar cualquier tipo de fallo, robo, alteración a

AMENAZAS A LOS SISTEMAS DE INFORMACIÓN

Amenaza

Descripción de las mismas

ISTEMAS DE I NFORMACIÓN Amenaza Descripción de las mismas Problemas de Telecomunicaciones • Alto Intercambio de

Problemas de

Telecomunicaciones

Alto Intercambio de información que aumenta los canales de acceso a los datos desde diferentes fuentes.

Fallos en establecer y/ó mantener una comunicación. Cortes de comunicación

inesperado.

Falta de señal en redes inalámbricas.

Intrusión

Acceso no autorizado a una red de computadoras. Este acceso puede o no contar con

robo ú alteración al sistema y/ó sus datos.

_Cuando una persona realiza la intrusión: Se las llama genéricamente “Hackers”. Sin embargo, existe una denominación específica de acuerdo al tipo de vandalismo informático, a saber:

Cracker

Phreaker

Hacker Pirata informático Carding Trashing

_Cuando se trata de una intrusión mediante un programa, esto se conoce como

Virus. Existen varios tiposde virus:

Virus mutantes o polimórficos

Virus de archivo

Virus de sobreescritura

Virus de Booteo

Caballo de Troya

Virus residentes

Virus de macros

Gusanos o Worms.

Etc.

 Virus de Booteo  Caballo de Troya  Virus residentes  Virus de macros 

AMENAZAS A LOS SISTEMAS DE INFORMACIÓN (CONT)

Amenaza

Descripción de las mismas

I NFORMACIÓN (C ONT ) Amenaza Descripción de las mismas Robo • Puede ser de información,

Robo

Puede ser de información, datos y/ó de equipos o soportes físicos

Fallos de Hardware

Rotura de equipos

Catástrofes del entorno

Virus

Fallos de Software

Errores en la codificación del Software (Bugs)

Errores producidos en el ingreso de los datos.

Virus

Errores producidos por el volumen (ya sea de usuarios concurrentes, de procesos

activos, etc)

Los errores llevan a una mala calidad de la información y pueden impactar negativamente en la toma de decisiones.

Catástrofes

Incendios

Fallos en el suministro eléctrico

Inundaciones

Sismos

la toma de decisiones. Catástrofes • Incendios • Fallos en el suministro eléctrico • Inundaciones •

AMENAZAS A LOS SISTEMAS DE INFORMACIÓN

(CONT.)

Origen de las amenazas:

Factores técnicos

Factores de organización

Factores del entorno.

Combinados con malas decisiones gerenciales o la falta de decisión.

Virus informático: software que puede

Destruir datos

Perturbar el normal funcionamiento del procesador

Vulnerar la privacidad y confidencialidad de la información

Bloquear y/o congestionar el tráfico en las redes e Internet

Etc.

y confidencialidad de la información • Bloquear y/o congestionar el tráfico en las redes e Internet

ENTORNO DE CONTROL DE LOS SISTEMAS INFORMACIÓN

La implementación de controles minimiza los riesgos a los que están expuestos los S.I.

Los controles son una combinación de medidas manuales y automatizadas que cuidan de la

seguridad de los activos, la exactitud y fiabilidad de los registros contables y el cumplimiento

operativo de las normas gerenciales.

Tipos de controles:

Controles Generales

Controles de Aplicación

Controles amplios que monitorean el funcionamiento eficaz de los procedimientos programados en todas las Areas de aplicación.

Controles específicos y exclusivos de cada una de las aplicaciones computarizadas.

todas las Areas de aplicación.  Controles específicos y exclusivos de cada una de las aplicaciones

ENTORNO DE CONTROL DE LOS SISTEMAS INFORMACIÓN (CONT)

Controles Generales

Descripción de los mismos

(C ONT ) Controles Generales Descripción de los mismos Control de Implementación • Audita el proceso

Control de Implementación

Audita el proceso de desarrollo de sistemas para asegurar que siga las pautas de calidad para el desarrollo, conversiones y pruebas.

Control de Software

Monitorea el uso del software de sistemas y evita el acceso no autorizado a los programas de aplicación y al software de sistemas.

Control de Hardware

Cuida que el equipo esté protegido físicamente contra incendios y extremos de temperatura y humedad. Debe garantizar la continuidad operativa ante desastres, implementando respaldos tanto de hardware como de datos.

Control de Operaciones de Computación

Ejercido sobre la labor del centro de cómputos. Garantiza que los procedimientos programados se apliquen de forma congruente y correcta al almacenamiento y procesamiento de datos.

Control de Seguridad de

los datos

Garantiza que los archivos de datos de negocios no sufran accesos no autorizados, alteraciones o destrucción.

Control Administrativo

Normas, reglas, procedimientos y disciplinas de control formalizados. Asegura que los controles generales y de aplicación de la organización se apliquen y cumplan debidamente.

formalizados. Asegura que los controles generales y de aplicación de la organización se apliquen y cumplan

ENTORNO DE CONTROL DE LOS SISTEMAS INFORMACIÓN (CONT)

Controles de Aplicación

Descripción de los mismos

(C ONT ) Controles de Aplicación Descripción de los mismos Control de Entrada • Verifica la

Control de Entrada

Verifica la exactitud e integridad de los datos cuando entran en el sistema.

Son controles para evitar errores en las entradas, conversiones y/ó ediciones de datos. Es posible establecer totales de control.

Control de Procesamiento

Determina si los datos están completos y son exactos durante la actualización. Se pueden establecer totales de control de serie, el cotejo por computadora y verificaciones de edición.

Control de Salida

Monitorea que los resultados del procesamiento sean correctos, estén completos y se distribuyan debidamente

Salida • Monitorea que los resultados del procesamiento sean correctos, estén completos y se distribuyan debidamente

ENTORNO DE CONTROL DE LOS SISTEMAS INFORMACIÓN (CONT)

¿Qué medidas se pueden implementar para las amenazas existentes? (Algunos ejemplos)

Virus

Personas intrusas

Desastres

Fallos de Software

Antivirus, no permitir el uso de disquettes para el traslado de información.

Firewalls, Sistemas de detección de intrusiones.

Resguardos completos y/ó incrementales, Espejado de discos, Planes de Recuperación en caso de desastres.

Controles de entrada, Implementar metodología estandarizada para el desarrollo/mantenimiento de sistemas y efectuar auditorías sobre el uso de la misma, Controles de salida.

Cifrado, Firma Digital, Certificado Digital, Integridad del mensaje.

Seguridad en Transacc. Electrónicas Transmisión Electrónica Inviolable (SET- Tarj. Crédito), E- cash

Problemas de telecomunicación

 Transmisión Electrónica Inviolable ( SET- Tarj. Crédito ), E- cash  Problemas de telecomunicación

AUDITORIA DE SISTEMAS

La Auditoria de Sistemas se ejerce sobre los procesos de control implementados. Las tareas de la Auditoria son:

Analizar exhaustivamente el cumplimiento de todos los controles que rigen sobre los sistemas de

información

Enumerar las deficiencias de control detectadas.

Estimar la probabilidad de ocurrencia de las deficiencias mencionadas

Evaluar el impacto en las finanzas y en la organización de dichas deficiencias

Proponer posibles mejoras en los controles que se efectúan.

Las técnicas posibles de utilizar en la auditoria son:

Entrevistas y revisión de documentación.

Control del flujo completo de transacciones.

Utilización de herramientas de auditoria automatizadas.

• Control del flujo completo de transacciones. • Utilización de herramientas de auditoria automatizadas.

ASEGURAMIENTO DE LA CALIDAD DEL SOFTWARE

Definiciones Importantes:

Calidad, Calidad del Software

Aseguramiento de la Calidad

Soluciones a los principales problemas de calidad del Software:

Uso de metodologías apropiadas

Asignación de los recursos necesarios durante el desarrollo

Implementación de métricas de software

Desarrollo de pruebas exhaustivas

Utilización de herramientas de calidad.

Actualmente existen estándares internacionales que detallan los elementos necesarios y los pasos a seguir para asegurar la calidad del proceso de desarrollo/implementación de Sistemas.

ISO 9000-3

CMM

pasos a seguir para asegurar la calidad del proceso de desarrollo/implementación de Sistemas. • ISO 9000-3

Administración Inteligente

No se puede administrar lo que no se puede ver.

La capacidad de ver

toda la empresa es el aspecto

más importante de la

administración inteligente.

que no se puede ver. La capacidad de ver toda la empresa es el aspecto más

Administración Inteligente

Los sistemas tienen que ser

flexibles y adaptables a cambios en el proceso y modelo de los negocios, así como también a

nuevas tecnologías.

de los negocios, así como también a nuevas tecnologías. “Si la administración de sistemas no es
de los negocios, así como también a nuevas tecnologías. “Si la administración de sistemas no es

“Si la administración de sistemas no es económica, no es viable.”

así como también a nuevas tecnologías. “Si la administración de sistemas no es económica, no es

Negocios y Tecnología

Los negocios interactúan con

clientes, socios, y empleados a la

perfección, de manera inteligente y consistente, e implementan políticas, roles y procesos que aseguran y posibilitan el negocio

La tecnología se controla a sí

misma, se diagnostica a sí misma, y se recupera por sí misma

se diagnostica a sí misma, y se recupera por sí misma Los negocios tienen una visión

Los negocios tienen una visión

global e integrada de todos los procesos del negocio, lo que posibilita la toma de decisiones oportunas y bien fundadas

IT se adapta con flexibilidad a los cambios en las demandas y modelos de negocios.

decisiones oportunas y bien fundadas IT se adapta con flexibilidad a los cambios en las demandas

Negocios y Tecnología

la integración de personas, procesos e información, en todos lados, en cualquier momento y desde
la integración de personas, procesos e
información, en todos lados, en cualquier
momento y desde cualquier dispositivo.
separación de la capa de aplicaciones de negocios del entorno físico subyacente compuesto de redes,
separación de la capa de aplicaciones de
negocios del entorno físico subyacente
compuesto de redes, servidores y sistemas
de almacenamiento, de modo que las
aplicaciones puedan instalarse con mayor
flexibilidad
automatización (y reducción de la complejidad) del entorno operativo de acuerdo con las políticas y
automatización (y reducción de la
complejidad) del entorno operativo de acuerdo
con las políticas y objetivos de negocios
definidos

Integración:

Virtualización

Automatización:

operativo de acuerdo con las políticas y objetivos de negocios definidos Integración: Virtualización Automatización:

La sociedad del

Conocimiento

Su Clave será el conocimiento:

La sociedad del Conocimiento Su Clave será el conocimiento: • Ausencia de fronteras, porque el conocimiento

Ausencia de fronteras, porque el conocimiento viaja aun con

menos esfuerzo que el dinero

Movilidad ascendente, disponible para todos en virtud de

educación formal fácil de adquirir.

Potencial de fracaso tanto como de éxito. Cualquiera puede adquirir los “medios de Producción”, pero no todos triunfan.

de fracaso tanto como de éxito. Cualquiera puede adquirir los “medios de Producción”, pero no todos

La sociedad del

Conocimiento

Su Clave será el conocimiento:

La sociedad del Conocimiento Su Clave será el conocimiento: • La mayoría de los empleados no

La mayoría de los empleados no serán de tiempo completo en

la organización ni trabajaran hasta la jubilación.

Desigualdad de ingresos y de riquezas, la aparición de

superricos como Bill Gates.

Nacimiento de nuevas instituciones y nuevas teorías, ideologías y problemas.

de superricos como Bill Gates. • Nacimiento de nuevas instituciones y nuevas teorías, ideologías y problemas.

SISTEMAS DE INFORMACIÓN PARA EJECUTIVOS

Definición

Características de un EIS

Factores del éxito de un EIS

El proceso para desarrollar un EIS

Implantación exitosa de un EIS

Efecto del EIS sobre el proceso de planeación y

control de la organización

Software comercial para el desarrollo de EIS

Caso METALSA

Tendencias futuras

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

de EIS  Caso METALSA  Tendencias futuras Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

SISTEMAS DE INFORMACIÓN PARA EJECUTIVOS

Los EIS son sistemas computacionales que proveen al ejecutivo fácil acceso a información interna y externa al negocio con el fin de dar seguimiento a los factores críticos del éxito.

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

de dar seguimiento a los factores críticos del éxito. Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de

CARACTERÍSTICAS DE UN EIS (SISTEMA DE INFORMACIÓN

PARA EJECUTIVOS)

Orientados a las necesidades específicas y particulares de la alta administración de la empresa.

Extraen, filtran, comprimen y dan seguimiento a información

crítica del negocio.

Interacción directa de los ejecutivos sin apoyo de los intermediarios.

Altos estándares en sus interfaces hombre-máquina.

Acceso a información en línea.

Soportado por elementos especializados de hardware.

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

 Soportado por elementos especializados de hardware. Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

FACTORES CRÍTICOS DEL ÉXITO DE UN EIS

Que se vea bien

Que sea relevante

Que sea rápido

Que la información esté disponible y actualizada

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

 Que la información esté disponible y actualizada Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

PROCESO DE DESARROLLO DE UN EIS

P ROCESO DE DESARROLLO DE UN EIS Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

IMPLANTACIÓN EXITOSA DE UN EIS

Ejecutivo comprometido e informado con el proyecto.

“Socio operativo”.

Personal adecuado en el departamento de informática.

Tecnología apropiada.

Administración de los datos.

Relación clara con los objetivos del negocio.

Manejo de la resistencia al cambio.

Administración adecuada de la evolución y expansión del

sistema.

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

adecuada de la evolución y expansión del sistema. Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

EFECTO DEL EIS EN EL PROCESO DE PLANEACIÓN Y CONTROL

Mejora en los sistemas actuales de reportes corporativos o divisionales.

Rediseño de los sistemas actuales de reportes.

Cambios en los procesos de planeación y pronóstico.

Habilidad de realizar análisis específicos utilizando información contenida en las bases de datos.

Permiten las ligas de comunicación entre el personal.

Mejora la capacidad de administración de programas en empresas con orientación a proyectos.

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

de programas en empresas con orientación a proyectos. Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

SOFTWARE PARA EL DESARROLLO DE EIS

Producto de software

Commander EIS

Command Center

Executive Decisions

Executive Edge

Vendedor

Comshare

Pilot

IBM

EXECUCOM

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

Vendedor  Comshare  Pilot  IBM  EXECUCOM Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de

ADMINISTRACIÓN DEL DESARROLLO DE SISTEMAS

Ciclo de vida de los sistemas de información

Efectos de la calidad sobre el proceso de desarrollo de sistemas

Métodos alternos para adquisición de sistemas

Método tradicional

Compra de paquetes

Cómputo del usuario final

Outsourcing

Caso AASA

Tendencias futuras

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

 Outsourcing  Caso AASA  Tendencias futuras Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

RELACIÓN ENTRE LOS COSTOS DEL HARDWARE Y SOFTWARE

R ELACIÓN ENTRE LOS COSTOS DEL HARDWARE Y SOFTWARE Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

CICLO DE VIDA DE LOS SI

C ICLO DE VIDA DE LOS SI Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

CALIDAD EN EL PROCESO

CALIDAD Especificaciones de Usuario Recursos Personal TIEMPO y Dinero
CALIDAD
Especificaciones
de Usuario
Recursos
Personal
TIEMPO
y Dinero

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

DETECCIÓN DE ERRORES

D ETECCIÓN DE ERRORES Sistema de Información para los negocios. Un enfoque de toma de decisiones.

Sistema de Información para los negocios. Un enfoque de toma de decisiones. Cohen / Asín

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

DESARROLLO DE SOFTWARE

Para lograr un modelo de desarrollo de software óptimo es necesario considerar en el proceso los siguientes aspectos:

Aseguramiento de calidad total

Técnicas de diseño y documentación

Pruebas del sistema

Mantenimiento

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

 Pruebas del sistema  Mantenimiento Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

OUTSOURCING

Outsourcing consiste en contratar en forma externa algunos o todos los servicios que proporciona un departamento de sistemas de información.

Este concepto se basa en dos aspectos:

Una empresa debe concentrar sus esfuerzos en aquellas actividades que sabe hacer, y

Una empresa debe utilizar las ventajas de las economías de

escala y de las economías de expertise o experiencia que

tienen las empresas que se dedican exclusivamente a proporcionar servicios de sistemas de información.

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

a proporcionar servicios de sistemas de información. Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

VENTAJAS Y DESVENTAJAS DEL OUTSOURCING

Ventajas:

Ahorros en costos mediante economías de escala y

consolidaciones.

Una mayor liquidez al deshacerse de equipo computacional que ya no es necesario para el desarrollo de sistemas.

Un decremento de los gastos por depreciación de equipo.

Acceso a los avances tecnológicos sin inversión de capital.

Descentralización de actividades en la empresa.

Acceso a utilerías para recuperar y respaldar sistemas.

Convertir al departamento de sistemas de la empresa en un centro

de utilidades.

Desventajas:

Pérdida de control sobre desarrollos de sistemas.

Costos por cambio o conversión a nuevas tecnologías.

Cambios organizacionales.

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

a nuevas tecnologías.  Cambios organizacionales. Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

PROCESO DE INNOVACIÓN TECNOLÓGICA

P ROCESO DE INNOVACIÓN TECNOLÓGICA Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

PROCESO DE INNOVACIÓN TECNOLÓGICA

Las causas para hacer un cambio de equipo incluyen:

Problemas de servicio con el proveedor actual.

Obsolescencia del equipo computacional actual.

Saturación y falta de capacidad del equipo computacional.

Necesidad de incorporar nuevos sistemas de aplicación a la organización.

En ocasiones por haber tomado una decisión equivocada durante

el proceso de selección del equipo actual.

Cuando se tienen requerimientos de competitividad que no pueden ser alcanzados con la tecnología actual.

Cuando existe la necesidad de cambiar la filosofía de operación de los sistemas actuales.

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

la filosofía de operación de los sistemas actuales. Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

EVALUACIÓN TÉCNICA DE LAS PROPUESTAS

Actividades previas Elaborar el RFP Abrir concurso de proveedores y recibir propuestas Descartar propuestas
Actividades previas
Elaborar el RFP
Abrir concurso de proveedores
y recibir propuestas
Descartar propuestas

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

FACTORES A EVALUAR

Hardware:

Están constituidos por todas las características relacionadas con los componentes físicos de la computadora y sus indicadores más

representativos tienen que ver con las capacidades y velocidades de los

diferentes componentes.

Software:

Se refiere al software interno o software de sistemas, el cual se compone de programas de control, incluyendo el sistema operativo, software de

comunicaciones y administrador de bases de datos.

Proveedor:

Generalidades del proyecto.

Apoyo en la capacitación.

Mantenimiento de hardware y software.

Equipos de respaldo.

Apoyo en la conversión de aplicaciones.

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

respaldo.  Apoyo en la conversión de aplicaciones. Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

LOS SI Y LA SOCIEDAD

La ética

La ley y la ética

Códigos de ética

Derechos de propiedad intelectual y los sistemas de

información

Piratas, hackers y crackers

Modelo de toma de decisión ética

Caso de aplicación

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

de toma de decisión ética  Caso de aplicación Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de

LOS SI Y LA SOCIEDAD

Los sistemas de información se han desarrollado de tal manera que en la mayoría de los ámbitos del ser humano juegan un papel importante, ya que están relacionados con múltiples actividades de la vida diaria:

en lo educativo

en lo económico

en lo político

en lo social

Copyright ©2001 McGraw-Hill Interamericana Editores S.A. de C.V

en lo económico  en lo político  en lo social Copyright ©2001 McGraw-Hill Interamericana Editores