Documentos de Académico
Documentos de Profesional
Documentos de Cultura
T ESPE 033137 P.PPSX
T ESPE 033137 P.PPSX
Agenda
Planteamiento del Problema
El Departamento de Sistemas ha dejado pasar por
alto la definición de la planificación a mediano o
largo plazo, que le permita tener un claro horizonte
de desarrollo, asegurando así, la asignación de
recursos correspondientes para lograr sus metas.
Agenda
Objetivos Específicos
Analizar los procesos actuales que maneja el Departamento de Sistemas de
FAME.
Determinar la estrategia general de tecnología informática para ser
implementada en la institución.
Determinar el acceso a la información de acuerdo a los niveles de seguridad
y perfiles de usuario.
Elaborar el análisis de riesgos de los sistemas de información de FAME.
Establecer políticas de seguridad física, lógica y comunicaciones de FAME,
dentro del Plan de Seguridad Informática.
Ajustar y optimizar los procesos actuales de tecnología.
Mejorar la eficiencia del Departamento de Sistemas, frente a las diferentes
situaciones y necesidades de la empresa, en el ámbito informático.
Optimizar y explotar el uso de recursos tecnológicos de FAME, para su
máximo provecho.
Agenda
Alcance
El resultado del proyecto será el Plan estratégico del Departamento
de Sistemas y el Plan de Seguridad Informática, los que incluirán:
Agenda
Plan Estratégico Informático
Marco Teórico
Planificación estratégica informática, es el proceso
de estudiar, analizar y decidir las mejores
estrategias de incorporación y uso de los sistemas
informáticos (SI) y de las TIC (tecnologías de la
información y de telecomunicaciones) en una
organización.
Metodología PETI
PETI (Planeación Estratégica de Tecnología de
Información) es una herramienta para ordenar los
esfuerzos de incorporación de TI.
Actividades:
Realizar planificación y proyección de ventas
Gestionar las ventas y licitaciones con clientes
Realizar el cobro y efectivización de las facturas a los clientes para cumplir con los
objetivos de recuperación de cartera.
Promocionar realizar publicidad y pautaje
Garantizar a los clientes y empresa un adecuado manejo de la facturación que se realiza.
Medir la satisfacción de los clientes en relación a los productos y servicios que la
empresa entrega
PETI: Análisis de la Situación
Tecnologías de Información
Las aplicaciones que actualmente forman parte del
portafolio de software:
Sistema Adam V3
PETI: Análisis de la Situación
Infraestructura de Comunicaciones
PETI: Análisis de la Situación
Estructura Organización TI
PETI: Análisis de la Situación
PETI
Análisis Financiero
Descripción Valor ($)
EQUIPO
Computador Personal (Pcs) 6.400
Blade de servidores 3.000
Swtich 1.500
Impresoras 2.800
Repuestos - Herramientas – Accesorios 1.000
Sistema de respaldos 3.000
Dispositivos de almacenamiento 300
TOTAL EQUIPO 18.000
COMUNICACIONES
Enlace de Comunicación: Internet y Datos 1.800
Access point 250
Central Telefonía IP Complejo Holdingdine 2.000
SOFTWARE
Mantenimiento BAAN 2.000
Mantenimiento ADAM V3 1.125
Mantenimiento QlikView 500
Mantenimiento Asinfo
Mantenimiento del Strategylink 500
Mantenimiento del 9000doc
Sistema de Control documental - Correspondencia 2.000
Mantenimiento Citrix
Renovación Software Antivirus 2.400
Renovación de Consola Antivirus 300
Proyecto ITC 30.000
TOTAL SOFTWARE 38.825
TOTAL DE TECNOLOGÍA DE LA INFORMACIÓN 60.875
PETI: Modelo de la Organización
Análisis del Entorno
Análisis Clientes
Interés / requerimiento Problema Percibido
Calidad: durabilidad, comodidad
en el uso, diseños actuales Diseños no actuales, calzado incomodo, no
(moda), tallas y diseño
hay tallas de acuerdo a los estándares,
adecuadas. problemas en moldería.
Precios accesibles Precios altos en algunos productos
Tiempos de entrega muy amplios y falta de
Entrega oportuna cumplimiento de tiempos acordados
Accesibilidad y disponibilidad Falta de canales de distribución y
del producto disponibilidad de productos
Descuentos y facilidades de Restringidos descuentos y facilidades de
pago pagos
PETI: Modelo de la Organización PETI
Misión de FAME
Producir y comercializar vestuario, calzado y equipo de camping, de uso
militar, institucional e industrial, con calidad y precios competitivos, para
satisfacer las necesidades de las Fuerzas Armadas y del mercado
nacional.
PETI: Modelo de la Organización
Estrategia de Negocios
Objetivos Fame
Estrategia de Negocios
Estrategias Fame
Modelo Operativo
PETI: Modelo de la Organización
PETI
Estructura de la Organización
PETI: Modelo de la Organización
PETI
Arquitectura de la Información
RESPONSABLE ACTIVIDAD
Recepción de documentos de Respaldo
Cotización emitida al cliente por parte del asesor comercial.
Documento de compra emitido por el cliente (orden de compra, contrato,
cotización aprobada, solicitud vía mail, oficio).
Acta de entrega y recepción con sus respectivas firmas.
Técnico en Facturación Ingresar información al sistema e imprimir factura.
Generar las órdenes de venta de las cuales inician el proceso hasta finalizar
en la facturación
Impresión de Factura
Legalizar las facturas con firmas de: facturado por, Vendedor, jefe de
comercialización y recibí conforme del cliente.
Entregar Factura al Vendedor para la firma de recibí conforme del cliente.
Entrega de factura al cliente para legalización de firma de recibí
conforme en el caso de que el cliente se encuentre dentro de la
provincia.
Envío (transporte, correo, vía fax) de factura original al cliente para la
Asesor Comercial legalización de firma de recibí conforme en el caso de que el cliente se
encuentre fuera de la provincia.
Recopilar copias de factura con la firma de recibí conforme.
Se entrega las facturas: Original al cliente, copia 1 para ventas, copia 2
para finanzas, copia 3 y 4 bodega calzado y vestuario.
PETI: Modelo PETI
PETI
Estrategia de TI
- Implementación de un sistema que permita la Comercialización
Electrónica (Venta, Compra y Facturación), permitirá a Fame,
tener una ventaja competitiva con respecto a la competencia.
•La aplicación debe ser desarrollada en tres capas, con arquitectura orientada a servicios.
•Arquitectura
PETI: Modelo PETI
Arquitectura Sistemas de Información
Sistema Control y Mantenimiento
•Arquitectura
PETI: Modelo PETI
PETI
•Arquitectura
PETI: Modelo PETI
Arquitectura Tecnologías de Información
•Arquitectura
Estructura Organizacional TI
Solución de
Problemas Internos 1 1 1 1 0 0 0.5 4.5 18%
Total 25.5
PETI: Modelo de Planeación PETI
Prioridades de Implantación
Valoración de los Factores en los Sistemas. 1=Bajo 5=Alto
Solución
Apoyo a la de
Automatizació Ampliación Tiempo de Transacciones Estrategia de Problemas
n de Procesos de Mercado Costo Desarrollo en línea Negocios Internos
Sistema Comercio
Electrónico 3 5 5 5 5 5 2
Sistema
Mantenimiento 5 2 3 3 1 2 4
Conectividad entre
Baan y QlikView 2 1 2 2 1 2 5
Apoyo a la Solución de
Automatización Ampliación de Tiempo de Transacciones Estrategia de Problemas
de Procesos Mercado Costo Desarrollo en línea Negocios Internos Suma
Sistema Comercio
Electrónico 0.41 1.27 0.49 0.29 0.29 1.08 0.35 4.20
Sistema Mantenimiento 0.69 0.51 0.29 0.18 0.06 0.43 0.71 2.86
Plan de Implantación
Semanas
Proyecto 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 33 34 35 36 37
Generador de Facturas
Validador
Portal de Proveedores
Planificación Mantenimientos
Retorno de la Inversión
Agenda 46
CONTENIDOS
Definiciones diferentes DIAPOSITIVA
Definición de seguridad de la DIAPOSITIVA
información
Conceptos: Riesgos, amenazas, DIAPOSITIVA
salvaguardas, Disponibilidad,
Integridad, Confidencialidad,
Autenticidad, Trazabilidad
Metodología DIAPOSITIVA
Situación Actual DIAPOSITIVA
Resultados de Pilar DIAPOSITIVA
Plan de seguridad informática DIAPOSITIVA
47
Conceptos diferentes
Seguridad de la Información: Responsabilidad de la alta gerencia, detección
de riesgos, valoración de activos, detección de amenazas, definición de
salvaguardas.
Volver 48
Definición
La seguridad de la información tiene como fin la protección de la información
y de los sistemas de información.
Volver 49
Conceptos varios: A-R-S
Amenazas: Es todo aquello que pone en riesgo de pérdida, alteración,
daño, a la información y a los ordenadores de una organización así como
también cualquier elemento que comprometa a los sistemas.
Volver 50
Conceptos varios: D-I-C
Disponibilidad: Disposición de los servicios a ser usados cuando sea
necesario. La disponibilidad afecta directamente a la productividad de las
organizaciones.
Volver 51
Conceptos varios: A
Autenticidad: Que no haya duda de quién se hace responsable de una información o prestación
de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los
incumplimientos o errores.
Volver 52
Dependencia
La disponibilidad se
convierte en el primer
requisito de seguridad,
cuando esta existe, se
puede disponer de
confidencialidad, que es
imprescindible para
conseguir integridad, y
solo mediante esta se
obtiene autenticación y
por último el no repudio
solo se obtiene si se
produce previamente la
autenticación.
Volver 53
Metodología
Para el desarrollo del análisis de riegos se ha seguido:
Volver 54
Desarrollo
Volver 55
Desarrollo
Las fases de MAGERIT que se siguió fueron:
Recopilación de información.
Identificación de los activos relevantes.
Valoración de los activos.
Determinación de las amenazas potenciales sobre cada activo.
Identificación del grado de vulnerabilidad de cada activo a las amenazas que
le afectan.
Estimación del impacto sobre el activo de la materialización de la amenaza.
Medida del riesgo, analizando la frecuencia de ocurrencia de la amenaza.
Volver 56
Situación actual
El informe de evaluación o situación actual fue elaborado por el personal
de la Empresa Textil Fabril Fame SA, este informe tiene como resultados
la información provista por el personal ya nombrado y por las
observaciones dadas al momento de realizar las visitas y entrevistas por
nuestra parte.
Volver 57
Situación actual
Política de seguridad
Organización de la seguridad de la información
Gestión de activos
Seguridad relacionada con el personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de acceso
Adquisición, desarrollo y mantenimiento de los sistemas de la
información
Gestión de los incidentes de seguridad de la información
Gestión de la continuidad del negocio
Cumplimiento
Volver 58
Objetivo de control: Política de seguridad de la información
Control: Documento de política de seguridad de la información
Observación No 1
Riesgo: Carencia de conocimiento por parte del personal en el tema de seguridad de la información poniendo en
riesgo la misma y dificultando su implantación y ejecución.
Causa: No existe una política para que sea publicada y aplicada con el fin de que el personal pueda cumplirla,
tanto la dirección como el personal han puesto de lado y no han tomado en cuenta la posibilidad de generar el
documento necesario.
Recomendaciones: La dirección de FAME debería elaborar una política de seguridad con sus objetivos y
alcances generales explicando los requisitos de cumplimiento en materia de seguridad. Además el nivel gerencial
debe ser el responsable de apoyar y difundir los objetivos y principios de la seguridad de la información.
Volver 59
Objetivo de control: Protección contra código malicioso y descargable
Control: Controles contra el código malicioso
Observación No 21
Norma: Se deberían implantar controles de detección, prevención y recuperación contra el software malicioso,
junto a procedimientos adecuados para la concienciación de los usuarios.
Condición: La empresa cuenta con restricciones y controles en cuanto a la instalación de código malicioso y
prevención contra el mismo en ejecución, pero lo que no se tiene es concientización por parte de los usuarios
para contrarrestar por completo esta amenaza.
Causa: Desconocimiento por parte de los usuarios en cuanto a lo que es y lo que puede causar la instalación
de software malicioso, así como también desconocimiento para saber diferenciar que es y que no es software
potencialmente peligroso.
Recomendaciones: Es recomendable entrenar al personal para que sepan diferenciar si una aplicación puede
ser una amenaza así como también hacer entender el problema y la gravedad de la existencia de virus y
software malicioso instalado en los sistemas de la empresa.
Volver 60
Objetivo de control: Seguridad de los ficheros del sistema.
Control: Protección de los datos de prueba del sistema.
Observación No 37
Título: Falta de control sobre la base de información sobre la cual se realizan las pruebas de los sistemas.
Norma: Se deberían seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas.
Condición: La empresa tiene la infraestructura para realizar pruebas totalmente apartado del ambiente de
producción, pero cuando se ingresa o se trabaja con el ambiente de pruebas, la información que es usada
son bases de datos de la empresa, a la cual se tiene acceso por parte de externos.
Causa: No se toma como una amenaza el estar en ambiente de pruebas con personal externo a la
organización y trabajar con la información real de la empresa.
Recomendaciones: Es necesario que para ambientes de pruebas, las bases de datos utilizadas, no sean
las que al momento se encuentran en producción en la organización, o al menos la parametrización, junto
con la información transaccional sean eliminadas.
Volver 61
Resultados del AGR
Volver 62
AGR según norma 27002
Volver 63
Plan de seguridad informática
Debido a la falta de procedimientos y el interés en mejorar el tema de
Seguridad de la Información por parte del Complejo Fabril FAME, se ha
definido un plan de seguridad en el cual se dará las recomendaciones
necesarias para no poner en riesgo y/o eliminar las amenazas actuales.
Volver 64
Guía de buenas prácticas
Volver 65
Política de Seguridad
Política de Seguridad de la Información
Documento de política de seguridad de la información
El Gerente General de FAME deberá realizar una revisión de las normas de seguridad vigentes, aprobarlas e implementar este
documento de políticas de seguridad de la información, el cual tratara de contrarrestar las falencias presentadas al momento. El
mismo deberá ser adoptado de manera inmediata y obligatoria; además de difundido a todo el personal de la empresa.
Definición, metas y objetivos de la seguridad de la información. El tema de Seguridad de Información y su importancia dentro de
la institución.
Compromiso de la dirección de FAME para apoyar la gestión de seguridad de la información, siguiendo las estrategias del
negocio.
Definición de los objetivos de control y controles, y la gestión de riesgo.
Planteamiento y explicación de las normas y políticas de la seguridad de la información.
Nombramiento del personal encargado de la gestión de seguridad de la información.
Documentación que respalde a la política de seguridad establecida.
Se deberá notificar a los encargados de cada departamento de FAME la política de seguridad de la información, para un
posterior cumplimiento de cada uno de los controles establecidos.
De igual forma, esta política deberá ser comunicada al Departamento de Tecnología de la Información de Holding Dine para
sugerir su análisis e implementación en el grupo de empresas que lo conforman, como herramienta para optimizar la seguridad
de la información.
Volver 66
Gestión de comunicaciones y operaciones
Protección contra Códigos Malicioso y Descargable
Es indispensable adoptar las medidas apropiadas para proteger a los sistemas y la información
de cualquier código malicioso, como por ejemplo virus, gusanos de red, códigos troyanos, que
puedan afectar a los servidores y los equipos de todos los usuarios.
Establecer una política formal que prohíba el uso de software no licenciado y no probado, sea
descargado a través de redes externes o cualquier otro medio
Llevar a cabo revisiones regulares del software y del contenido de datos de los sistemas que dan
soporte a los procesos críticos del negocio.
Instalación y actualización regular del software de detección y reparación de códigos maliciosos
para explorar los computadores y los medios, como control preventivo o deforma rutinaria.
Volver 67
Objetivo de control: Seguridad de los ficheros del sistema.
Protección de los datos de prueba del sistema
Agenda
68
CONCLUSIONES Y
RECOMENDACIONES
Agenda 69
Conclusiones
La metodología PETI mediante el análisis administrativo, ha permitido identificar y comprender la Estrategia de
Negocio de la Empresa Fame S.A., puntal fundamental para el desarrollo la Estrategia de Tecnologías de
Información.
La empresa Fame S.A., no cuenta con un departamento de Tecnología e Información propio. El departamento
actual brinda soporte a todas las empresas del Complejo Industrial, esto lleva, a que el análisis de los
requerimientos de Tecnologías de Información se lo realice de manera estandarizada, y al tener cada empresa un
giro de negocio diferente, dicho análisis puede no tomar en consideración requerimientos puntuales originados
por el giro de negocio mismo.
El Departamento de Tecnología e Información, no cuenta con procedimientos escritos, se deja libre al
conocimiento y paso de información entre integrantes del equipo; lo cual pone fácilmente en riesgo la seguridad
de la información.
El tema de Seguridad de la Información dentro del Complejo tiene muchas falencias, ya que no se ha dado la
importancia que amerita. Para muchas empresas al igual que lo que se ha visto en la evaluación realizada a
FAME, la Seguridad de la Información está ligada a realizar respaldos de la información y mantenerlos seguros;
sin darse cuenta que en realidad existen muchos puntos adicionales los cuales necesitan ser revisados ya que
generan infinidad de riesgos y pueden llegar a ocasionar problemas graves para la organización sino se
implementan los respectivos controles.
Agenda 70
Recomendaciones
Aplicar y difundir la metodología PETI para el desarrollo y seguimiento de los proyectos de Sistemas de
Información planteados en el Plan Estratégico de Tecnologías de Información y proyectos futuros.
La Gerencia General junto a cada uno de los directores de Departamento del Complejo, de manera
urgente deberían realizar reuniones en las cuales puedan determinar que procesos y que
procedimientos dentro de la Organización, no han sido documentados formalmente. Para nuestro
estudio se ha detectado algunos procedimientos que solo existen por conocimiento general, los mismos
permiten que se vayan presentando mas y mas riesgos, por ende amenazas a la Seguridad de la
Información.
Implementar las recomendaciones y buenas prácticas definidas en este documento guiados por la ISO
27002 para poder mantener una gestión de Seguridad de Información adecuada, correctamente
monitoreada, evaluada y corregida en caso de ser necesario dando así cumplimiento a la norma de
control gubernamental de tecnologías de la información.
Agenda 71
GRACIAS POR SU ATENCIÓN
72