sábado, 22 de mayo de 2010

Auditoria y Seguridad de La Información

Auditoria: La palabra auditoría viene del latín “auditorius” y de esta proviene la palabra auditor”, que tiene la virtud de oir y revisar cuentas.
El propósito del trabajo de auditoría está enmarcado en uno o más de los siguientes puntos:
1. Cumplimiento de políticas, normas y procedimientos de orden gubernamental e institucional (adquisición, contratación e instalación de servicios para el desarrollo de la función informática).
2. Comprobar el adecuado uso y resguardo de los recursos informáticos de la entidad.
3. Verificar que se efectúa el mantenimiento preventivo y correctivo de los recursos informáticos, para obtener la confiabilidad e integridad de los sistemas.
4. Grado de confiabilidad y privacidad del ambiente informático.
5. Garantizar la seguridad (personas, datos, programas, y los equipos).
6. Verificar controles de seguridad física y ambiental.
7. Evaluar controles establecidos para administrar la infraestructura tecnológica (servidores de datos, aplicaciones, comunicaciones, terminales, impresoras, etc.).
8. Verificar que los sistemas de información correspondan a los objetivos y requerimientos de la entidad.
9. Comprobar la consistencia y confiabilidad de los sistemas.
10. Verificar los controles involucrados en el software y en los procedimientos manuales de las aplicaciones.
11. Verificar que las rutinas de cálculo ejecutadas por las aplicaciones se apliquen correctamente.

Motivos para efectuar una Auditoria de TI


Entre los principales justificativos o motivos de una auditoria, encontramos:

  • Aumento del presupuesto del Departamento de procesamiento de datos.

  • Desconocimiento de la situación informática de la empresa.

  • Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.

  • Descubrimiento de fraudes efectuados con el uso del computador.

  • Falta de una aplicación informática. Falta de visión.

  • Organización que no funciona correctamente, debido a falta de políticas, objetivos, normas, metodología, estándares, delegación de autoridad asignación de tareas y adecuada administración del recurso humano.

  • Descontento general de los usuarios, motivado generalmente, por incumplimiento de plazos y mala calidad de resultados.

  • Falta de documentación incompleta de sistemas.
Seguridad de la Información:
La seguridad de la información protege a ésta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocios.
La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones de software y hardware. Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y negocios de la organización.

La seguridad informática surge como soporte a la necesidad de protección de uno de los activos más valiosos en las empresas: LA INFORMACIÓN.
La disponibilidad, integridad y confidencialidad de ella pueden ser esenciales para mantener su competitividad, flujo de caja, rentabilidad, cumplimiento legal e imagen comercial.
La Seguridad Informática es el conjunto de reglas, planes y acciones que permiten asegurar la información contenida en un sistema de la información.

Áreas que cubre la seguridad informática
               * Políticas de Seguridad
               * Seguridad Física
               * Autentificación
               * Integridad
               * Confidencialidad
               * Control de Acceso
               * Auditoría
¿Por qué es necesaria la seguridad de información?
La información y los procesos que la apoyan, los sistemas y redes son importantes activos de la organización. Definir, realizar, mantener y mejorar la seguridad de información, pueden ser esenciales para mantener la competitividad, flujo de liquidez, rentabilidad, cumplimiento de la legalidad e imagen comercial.

¿Cómo establecer los requisitos de seguridad?


Es esencial que la organización identifique sus requisitos de seguridad. Existen tres fuentes principales.

1. La primera fuente procede de la valoración de los riesgos de la organización, tomando en cuenta los objetivos y estrategias generales del negocio. Con ella se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto.
2. La segunda fuente es el conjunto de requisitos legales, estatutos, regulaciones y contratos que debería satisfacer la organización, sus socios comerciales, los contratistas y los proveedores de servicios.
3. La tercera fuente está formada por los principios, objetivos y requisitos que forman parte del tratamiento de la información que la organización ha desarrollado para apoyar sus operaciones.

Evaluación de los riesgos de seguridad

Los requisitos de seguridad se identifican mediante una evaluación metódica de los riesgos. El gasto en controles debería equilibrarse con el posible impacto económico, resultante de los fallos de seguridad.
Los resultados de ésta evaluación ayudarán a encauzar y determinar una adecuada acción gerencial y las prioridades para gestionar los riesgos de seguridad de la información, y la implantación de los controles seleccionados para protegerse contra dichos riesgos.
Las evaluaciones de riesgos deben repetirse periódicamente para tener en cuenta cualquier cambio que pueda influir en los resultados de la evaluación.
 
Los objetivos de una auditoría de seguridad de los sistemas de información son:

• Revisar la seguridad de los entornos y sistemas.
• Verificar el cumplimiento de la normativa y legislación vigentes
• Elaborar un informe independiente.
• Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS

La metodología para una auditoría de sistemas de información establece su ejecución por fases:
1. Definir el alcance de la Auditoría: Análisis Inicial y Plan de Auditoría
2. Recopilación de información, identificación y realización de Pruebas de Auditoría, incluyendo, si se acuerda, acciones de Hacking Ético o análisis de vulnerabilidad de aplicaciones.
3. Análisis de las Evidencias, documentación de los resultados obtenidos y conclusiones.
4. Informe de Auditoría en el que se recogen las acciones realizadas a lo largo de la auditoría y las deficiencias detectadas. El informe contiene un resumen ejecutivo en el que se resaltan los apartados más importantes de la auditoría.
5. Plan de Mejora con el análisis y las recomendaciones propuestas para subsanar las incidencias de seguridad encontradas y mantener en el futuro una situación estable y segura de los Sistemas de Información.

Dominios NTP ISO 17799 – 2007



Normas:

La ISO 17799, por ejemplo, es una guía de recomendaciones de buenas prácticas para la gestión de seguridad informática. Cubre no sólo la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcando todas las funcionalidades de una organización en cuanto a que puedan afectar la seguridad informática.




Information Systems and Audit Control Association – ISACA: COBIT
El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que la TI de la empresa sostiene y extiende las estrategias y objetivos organizacionales.
Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien.


NTP17799:2007
EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información.La presente Norma Técnica Peruana ha sido elaborada por el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), mediante el Sistema 1 u Adopción, durante los meses de junio del 2006, utilizando como antecedente a la Norma ISO/IEC 17799:2005 Information Technology Code Of Practice For Information Security Management. Fue oficializada cono Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI. Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, 2ª Edición, el 22 de enero del 2007.

ISO/IEC 27001 es una norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.





Consultoras Peruanas:

Noles MonteBlanco & Asociados.
http://www.noles.com.pe/auditoria.php
MBTECH Analistas y Consultores de Seguridad de TI.
http://www.mbtechperu.com/
Solucionesonline E.I.R.L.
http://www.solucionesonline.org/index.php
Innova – TI Innovación en Tecnología de Información.
 http://www.innovati.com.pe/
AE Group SAC.
http://www.aegroupsac.com/index.php
Uptime Business Consulting SAC.
http://www.uptime.com.pe/index.html
NCA Consultores.
 http://www.ncaconsultores.com/
CASTACOM S.A.
http://www.castacom.com/

Videos
Seguridad Informática y Anti-Hacking de Sistemas





Seguridad Informática

Publicado por en No hay comentarios:

viernes, 7 de mayo de 2010

Balance Scorecard en el Perú

Balance Scorecard en el Perú

El modelo del Balanced Scorecard (La traducción más común al español es “Tablero Integral de Mando”) fue desarrollado por dos personas; Robert Kaplan, profesor de Liderazgo en Harvard Business School, y David Norton, presidente de la empresa Renaissance Solutions Inc. y consultor en el área de Boston. En 1990, ellos lideraron un equipo que investigaba nuevas metodologías de medición de desempeño en decenas de empresas en los Estados Unidos. El estudio era impulsado por una creciente sospecha que los indicadores financieros de rendimiento organizacional resultaban inefectivos para las empresas actuales.

Video


El Balanced Scorecard (BSC) sirve para reorientar el sistema gerencial y enlazar efectivamente el corto plazo con la estrategia a largo plazo, vinculando de manera interdependiente cuatro procesos o perspectivas: Financiera, Clientes, Procesos Internos y Aprendizaje Organizacional. Los resultados deben traducirse finalmente en logros financieros que conlleven a la maximización del valor creado por la corporación para sus accionistas.

ROLES DEL BALANCED SCORECARD EN UNA ORGANIZACIÓN

La filosofía en la que se basa el Balanced Scorecard como sistema de gestión puede fácilmente ser descrita mediante dos afirmaciones claves aplicables a todo proceso u organización:

1. No puede administrar algo que no puede medir

2. No puede medir algo que no puede describir

El significado de estas afirmaciones define el reto fundamental que enfrentan las empresas al ejecutar su estrategia sin contar con algún medio para traducirla en términos tangibles a nivel operativo. El Balanced Scorecard justamente se ha diseñado para darle a una organización las herramientas y competencias necesarias para responder a ese reto. A continuación veremos en detalle la manera de lograrlo. (Kaplan, 2004).

El BSC se circunscribe fundamentalmente hacia aquellos valores que generan valor a largo plazo y su configuración se basa en cuatro perspectivas:

1. Perspectiva financiera, tiene como objetivo el responder a las expectativas de los accionistas. Esta perspectiva está particularmente centrada en la creación de valor para el accionista, con altos índices de rendimiento y garantía de crecimiento y mantenimiento del negocio. Esto requerirá definir objetivos e indicadores que permitan responder a las expectativas del accionista en cuanto a los parámetros financieros de: Crecimiento, beneficios, retorno de capital, uso de capital.

2. Perspectiva de clientes, tiene como objetivo responder a las expectativas de los clientes. Del logro de los objetivos que se plantean en esta perspectiva dependerá en gran medida la generación de ingresos, y por ende la “generación de valor” ya reflejada en la perspectiva financiera.

La satisfacción de clientes estará supeditada a la propuesta de valor que la organización o empresa les plantee. Esta propuesta de valor cubre básicamente, el espectro de expectativas compuesto por: Calidad, precio, relaciones, imagen que reflejen en su conjunto la transferencia de valor del proveedor (usted) al cliente.

Los objetivos e indicadores estarán en concordancia con la propuesta de la cadena de valor ofrecida.

3. Perspectiva de procesos internos, aquí se identifican los objetivos e indicadores estratégicos asociados a los procesos clave de la organización o empresa, de cuyo éxito depende la satisfacción de las expectativas de clientes y accionistas.

Usualmente, esta perspectiva se desarrolla luego que se han definido los objetivos e indicadores de las perspectivas financiera y de clientes.

Es recomendable que, como punto de partida del despliegue de esta perspectiva, se desarrolle la cadena de valor o modelo del negocio asociado a la organización, o la empresa. Luego se establecerán los objetivos, indicadores, palancas de valor e iniciativas relacionados. Los objetivos, indicadores e iniciativas serán un reflejo firme de estrategias explícitas de excelencia en los procesos, que permitan asegurar la satisfacción de las expectativas de accionistas, clientes y socios.

4. Perspectiva de aprendizaje organizacional, se refiere a los objetivos e indicadores que sirven como plataforma o motor del desempeño futuro de la empresa, y reflejan su capacidad para adaptarse a nuevas realidades, cambiar y mejorar.

Estas capacidades están fundamentadas en las competencias medulares del negocio, que incluyen las competencias de su gente, el uso de la tecnología como impulsor de valor, la disponibilidad de información estratégica que asegure la oportuna toma de decisiones y la creación de un clima cultural propio para afianzar las acciones transformadoras del negocio.





BENEFICIOS

Los beneficios de una implementación del Balanced Scorecard dependen en gran medida del uso que se pretende darle al sistema. Simplemente el tener el sistema implementado no es suficiente. Para satisfacer las expectativas el sistema debe ser utilizado correctamente. Muchas organizaciones usan el Balanced Scorecard en diferentes formatos, pero todas se pueden clasificar en dos enfoques primarios y distintivos de utilización:

1. Control Operativo y

2. Gestión Estratégica.

Nivel de la Organización – Control Operativo

El uso del Balanced Scorecard para control operativo consiste en responder a las siguientes preguntas:

• ¿Qué procesos queremos medir?

• ¿Qué aspectos son los más críticos dentro de cada proceso?

• ¿Cuáles son las mejores prácticas conocidas para cada proceso?

El propósito de una implementación del Balanced Scorecard para ser usada con fines de control operativo, es permitir a la dirección de la empresa monitorear y controlar el rendimiento de los procesos predefinidos, con miras a alcanzar algún tipo de estándar.

Sin el Balanced Scorecard, las empresas típicamente se dedican a seguir muchas medidas con información fácil de obtener, no las más críticas. El uso del Balanced Scorecard obliga a la organización a priorizar e identificar un conjunto reducido de medidas claves para cada una de las perspectivas, lo que le da mayor equilibrio al sistema de control que típicamente se encuentra fuertemente sesgado por medidas operativas o financieras. Los beneficios esperados de una óptima implementación usada para el control operativo son:

• Obtención de un único reporte conciso y consolidado con todas las medidas significativas en las distintas perspectivas ofreciendo una visión general de la de la situación de la organización.

• Enlaces causales entre medidas que permiten optimizar la toma de decisiones, resaltando las relaciones entre las diversas actividades de la organización.

• Presencia de medidas de las perspectivas de los clientes e innovación y desarrollo agregan equilibrio entre el corto y largo plazo.

• El proceso de desarrollo e implementación del Balanced Scorecard crea entre los miembros del equipo gerencial un mejor entendimiento y conciencia de los factores críticos para el éxito de la organización.



Nivel de Organización – Gestión Estratégica

El uso del Balanced Scorecard como un sistema de gestión estratégica ofrece beneficios adicionales, complementarios a los que se generan cuando se usa el sistema sólo para fines de control operativo. En este caso, se responde a las siguientes preguntas primarias:

• ¿Qué estamos tratando de lograr como organización? 􀃆 Formulación del propósito

• ¿Qué debe ocurrir para que lo logremos? 􀃆 Comunicación

• ¿Lo estamos alcanzando? 􀃆 Control

• ¿Estamos tomando buenas decisiones? 􀃆 Eficacia y Eficiencia

Este es el caso donde el Balanced Scorecard se usa plenamente y cumple sus tres roles principales. Equipos gerenciales que usan el sistema de esta forma lo aplican principalmente para identificar iniciativas y oportunidades de intervención, con el fin de contribuir al logro de las metas estratégicas de la organización. Los objetivos principales que surgen del uso pleno del Balanced Scorecard son:

1. La articulación de un conjunto de objetivos cuantificables alineados con la visión organizacional.

2. El establecimiento de un lenguaje común para desarrollar, definir y comunicar los objetivos, planes y decisiones estratégicas dentro de la organización en todos sus niveles.

3. El entendimiento global de la contribución de todos a la visión común gracias a las relaciones de causa efecto que atraviesan y conectan a la organización. Aparece un entendimiento compartido de la contribución de las actividades particulares a los objetivos generales.

4. El incentivo para establecer un diálogo interno en la organización acerca de la definición de las metas estratégicas y expectativas de rendimiento.

Adicionalmente, se genera un conjunto de beneficios intangibles que se ilustran de la mejor manera con las siguientes reacciones de gerentes participantes y usuarios de implementaciones exitosas de Balanced Scorecard (Kaplan, 2004):

• Las organizaciones asumen una visión a largo plazo y a la vez se aclaran los objetivos a corto plazo.

• Hay más énfasis en los intereses globales de la empresa (menos pensamiento a nivel local, de área o de departamento).

• La dirección que asume la corporación es más clara

• Se logra mejor comunicación interna y el trabajo en equipo se vuelve más productivo.

• El enfoque ya no es sólo en finanzas de corto plazo, se piensa más en los aspectos intangibles del negocio.

• Las responsabilidades individuales aparecen más claras y más fáciles de asumir.

• Las fortalezas y debilidades internas se vuelven más fáciles de identificar.

Otros Beneficios

 

 Comunicación efectiva de las estrategias, los objetivos y las metas.

 Alineación de los objetivos individuales con los organizacionales.

 Integración y balance entre indicadores financieros y no financieros derivados de la visión y la estrategia.

 Apoyo a la implantación de las estrategias, a través de un sistema coherente de evaluación del desempeño en función de los resultados.

 Refleja el equilibrio entre el corto y largo plazo, examina las medidas financieras y no financieras y obtiene indicadores históricos (“Lag Indicators”) y previsionales (“Lead Indicators”).

 Enlaza la planeación, los presupuestos y los resultados.

 Refleja un compromiso organizacional frente al servicio al cliente.

 Centra la gestión sobre indicadores claves de éxito, lo que es importante.

 
 
Algunas Soluciones de BSC en el Mercado



CORVU BSC Solutions:http://www.corvu.com

Panorama PBVIEWS: http://www.pbviews.com

Visión Consultores: http:www.vision-software.com

Oracle BSC: www.oracle.com (antes Dynacard)

Gentia:www.gentia.com

Comshare: http://www.comshare.com/index.html

SAP: http://www.sap.com/sem

QPR ScoreC ard: http://www.qpr-tools.com/index.html

SAS Institute: CFO Vision Software, www.sas.com

Alacrity: Alacrity Results Manager, www.alacrity.com


VIDEOS SOBRE BLANCE SCORECARD






EMPRESAS QUE IMPLANTARON BALANCE SCORECARD

Scotiabank-Canadá


El Scotiabank, fundado en 1832 en Nueva Escocia, es el banco canadiense con mayor presencia internacional y una de las principales instituciones financieras de Norteamérica. Brinda además servicios a más de 10 millones de clientes en unos 50 países situados en América, el Caribe, Europa y Asia.

Desarrollo del Modelo Estratégico de BSC e Implementación del Software Oracle Balanced Scorecard.

Alcance: BSC Global y de todas las unidades de negocio y áreas de apoyo (15 Scorecards)


Principal Accionista: Grupo INTESA

El Banco es el resultado de la integración de los bancos Wiese Ltdo. y Lima Sudameris, entidades de larga y destacada trayectoria en el mercado peruano. Cuenta con el respaldo internacional de su principal accionista, el grupo financiero líder de Italia y uno de los diez primeros de Europa: INTESA.

Desarrollo del Modelo Estratégico de BSC e Implementación del Software Oracle Balanced Scorecard.

Alcance: BSC Estratégico Global


Principal Accionista: Grupo CITIBANK y CERVESUR.

Empresa que pertenece a un reconocido Grupo Empresarial de sólido prestigio, comprometida con la eficiente administración de los fondos de pensiones de más de 800,000 afiliados en el Perú.

Desarrollo del Modelo Estratégico de BSC e Implementación del Software Oracle Balanced Scorecard.

Alcance: BSC Estratégico Global y unidades de negocios (5)



Grupo AIG-USA

Pacífico es una compañía sólida y de gran trayectoria en el mercado asegurador peruano, perteneciente a dos grandes socios: Credicorp y AMERICAN INTERNATIONAL GROUP, AIG, el más importante consorcio asegurador norteamericano con presencia en más de 130 países

Desarrollo del Modelo Estratégico de BSC e Implementación del Software Oracle Balanced Scorecard.

Alcance: BSC Estratégico Global


Petrolera Perú

Es la empresa estatal de derecho privado, encargada de promover la inversión en actividades de exploración y explotación de hidrocarburos en el Perú.

En representación del Estado peruano, negocia, celebra y supervisa los contratos en materia hidrocarburífera, así como los Convenios de Evaluación Técnica. Asimismo, comercializa, a través de terceros y bajo los principios del libre mercado, los hidrocarburos provenientes de las áreas bajo contrato, en la modalidad de servicios.

Desarrollo del Modelo Estratégico de BSC e Implementación del Software Oracle Balanced Scorecard.

Alcance: BSC Estratégico Global



Industrias AlEn – México / USA

Industrias AlEn es una empresa 100% mexicana que tiene la misión de mejorar la calidad de vida de las familias con productos de clase mundial que satisfagan sus necesidades de limpieza e higiene en el hogar y el cuidado personal; dueños de las famosas marcas Cloralex, Pinol, Flash, entre otras, cuenta con cinco plantas de producción y 11 centros de distribución en la República Mexicana, uno en los Estados Unidos y otro en Centroamérica; laborando un total de alrededor de 3,100 empleados.

Desarrollo del Modelo Estratégico de BSC e Implementación del Software Corvu.

Alcance: BSC Estratégico Global y 5 Direcciones



Votorantim Metais

Refinería de Zinc, dedicada a la fabricación de productos primarios de metales preciosos y metales no ferrosos. Perteneció al Grupo TekCominco-Canadá hasta el año 2004, luego del cual fue comprada por la empresa brasilera “Votoratim Metais”.

Desarrollo del Modelo Estratégico de BSC e Implementación del Software Oracle Balanced Scorecard.

Alcance: BSC Estratégico Global


Grupo Garza Ponce

Constructora Garza Ponce fue pionera en la estructuración profesional de proyectos constructivos tanto en obra pública como en obra privada.

El éxito de Constructora Garza Ponce basado en la excelencia en calidad y costo llevaron a la compañía hace 20 años a diversificarse hacía los negocios de desarrollos inmobiliarios en donde ha participado en proyectos industriales, residenciales, y comerciales.

Alcance: Mapa Global - División Construcción Viviendas



Grupo Protexa

Grupo Protexa está conformado por un conjunto de empresas que han sido ejemplo vanguardista de lucha y tesón. Gracias al éxito y magnitud de sus proyectos Grupo Protexa es hoy, parte fundamental de la columna productiva de México y se sitúa entre las empresas más importantes dentro del amplio concepto de la globalización.

Desarrollo del Modelo Estratégico de BSC e Implementación del Software Strategos.

Alcance: BSC Estratégico Global , Unidades de Negocio Direcciones y servicios corporativos (15 mapas estratégicos).
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)