martes, 16 de diciembre de 2008

Ds13 Administración de la operación

Administración de la Operación


Objetivo: Asegurar que las funciones importantes de soporte de TI están siendo llevadas a cabo regularmente y de una manera ordenada

Esto se logra a travs de una calendarizacin de actividades de soporte que sea registrada y completada en cuanto al logro de todas las actividades.
Para ello, la gerencia deber establecer y documentar procedimientos para las operaciones de tecnologa de informacin (incluyendo operaciones de red), los cuales debern ser revisados peridicamente para garantizar su eficiencia y cumplimiento.

En AutoDelta dicha calendarización la lleva la Jefe de Sistemas, ella es la encargada de asignar las tareas a cada persona y también de vigilar su cumplimiento.

Ds12 Administración de las instalaciones

Administración de las instalaciones

Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y al personal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallas humanas lo cual se hace posible con la instalación de controles físicos y ambientales adecuados que sean revisados regularmente para su funcionamiento apropiado definiendo procedimientos que provean control de acceso del personal a las instalaciones y contemplen su seguridad física.

AutoDelta es una empresa donde el personal de TI no corre mayores riesgos al momento de realizar su trabajo, sin embargo en el caso de soporte se entrega al personal encargado todo el material necesario para que realice su trabajo con seguridad y sin correr ningún tipo de riesgo.

Ds11 Administración de Datos

Administración de Datos

Objetivo: Asegurar que los datos permanezcan completos, precisos y vlidos durante su entrada, actualización, salida y almacenamiento.

Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI.

Para tal fin, la gerencia deber diseñar formatos de entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la creación de los datos.

Ds10 Administración de Problemas

Administración de Problemas


Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus causas sean investigadas para prevenir que vuelvan a suceder.


Para ello se necesita un sistema de manejo de problemas que registre y dé seguimiento a todos los incidentes, además de un conjunto de procedimientos de escalamiento de problemas para resolver de la manera más eficiente los problemas identificados.
Este sistema de administración de problemas deber también realizar un seguimiento de las causas a partir de un incidente dado.

Ds9 Administración de la configuración

Administración de la configuración


Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia fsica y proporcionar una base para el sano manejo de cambios.


Para ello se realizan controles que identifiquen y registren todos los activos de TI as como su localización física y un programa regular de verificación que confirme su existencia.

Ds8 Apoyo y asistencia a los clientes de TI

Apoyo y asistencia a los clientes de TI

Objetivo: asegurar que cualquier problema experimentado por los usuarios sea atendido apropiadamente
Para ello se realiza un Bur de ayuda que proporcione soporte y asesora de primera lnea y toma en consideración:



* Consultas de usuarios y respuesta a problemas estableciendo un soporte de una función de buró de ayuda

* Monitoreo de consultas y despacho estableciendo procedimientos que aseguren que las preguntas de los clientes que pueden ser resueltas sean reasignadas al nivel adecuado para atenderlas

* Análisis y reporte de tendencias adecuado de las preguntas de los clientes y su solución, de los tiempos de respuesta y la identificación de tendencias

Ds7 Identificación y asignación de costos


Identificación y Asignación de Costos


Objetivo: Asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI

Para ello se realiza un sistema de contabilidad de costos que asegure que éstos sean registrados, calculados y asignados a los niveles de detalle requeridos y toma en consideración:


  • Los elementos sujetos a cargo deben ser recursos identificables, medibles y predecibles para los usuarios

  • Procedimientos y polticas de cargo que fomenten el uso apropiado de los recursos de computo y aseguren el trato justo de los departamentos usuarios y sus necesidades

  • Tarifas definiendo e implementando procedimientos de costeo de prestar servicios, para ser analizados, monitoreados, evaluados asegurando al mismo tiempo la economa

Ds6 Educacin y entrenamiento de usuarios

Educación y Entrenamiento de Usuarios

Objetivo: Asegurar que los usuarios estén haciendo un uso efectivo de la tecnología y estén conscientes de los riesgos y responsabilidades involucrados.

Para ello se realiza un plan completo de entrenamiento y desarrollo y se toma en consideración
  • Curriculum de entrenamiento estableciendo y manteniendo procedimientos para identificar y documentar las necesidades de entrenamiento de todo el personal que haga uso de los servicios de información

  • Campañas de concientización, definiendo los grupos objetivos, identificar y asignar entrenadores y organizar oportunamente las sesiones de entrenamiento

  • Técnicas de concientizacin proporcionando un programa de educación y entrenamiento que incluya conducta tica de la función de servicios de información

Ds5 Garantizar la seguridad de sistemas


Garantizar la seguridad de Sistemas


Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida.


Para ello se realizan controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas esté restringido a usuarios autorizados.


En Autodelta se encuentra activado el firewall y adicionalmente se mantiene un proxy para conexiones a Internet. Adicionalmente se mantiene un constante manejo y administración de incidentes.


Otra consideración que se tiene en cuenta es: Prevencin y deteccin de virus tales como Caballos de Troya, estableciendo adecuadas medidas de control preventivas, detectivas y correctivas.

Ds4 Asegurar el Servicio Continuo

Aseguramiento de Servicio Continuo


Objetivo: mantener el servicio disponible de acuerdo con los requerimientos y continuar su provisión en caso de interrupciones.


Para ello se tiene un plan de continuidad probado y funcional, que est alineado con el plan de continuidad del negocio y relacionado con los requerimientos de negocio y toma en consideración:

  • Planificación de Severidad

  • Plan Documentado

  • Procedimientos Alternativos

  • Respaldo y Recuperación


  • Pruebas y entrenamiento sistemtico y singulares

Ds3 Administración de desempeño y capacidad


Administración y Desempeño de capacidad


Objetivo: Asegurar que la capacidad adecuada esté disponible y que se esté haciendo el mejor uso de ella para alcanzar el desempeño deseado.


Aplicados a AUTODELTA, es necesario evaluar la disponibilidad de los recursos (TI) y la utilización que se les da a los mismos, especialmente aquellos que son de vital importancia para el desarrollo de las actividades en AUTODELTA.


Hemos identificado como el recuro más importante a la aplicación DMS, la cual maneja los procesos ms importantes de la empresa (Ventas, inventario, Recursos Humanos, contabilidad, etc.).


Para ello se realizan controles de manejo de capacidad y desempeo que recopilen datos y reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo y demanda de recursos

Ds2 Administracin de servicios prestados por terceros



Administración de Servicios Prestados



Objetivo: Asegurar que las tareas y responsabilidades de las terceras partes están claramente definidas, que cumplan y continen satisfaciendo los requerimientos.
Aplicados a AUTODELTA, es necesario evaluar el cumplimento de las responsabilidades que han sido delegadas a otras empresas para brindar el servicio en AUTODELTA. Estos servicios son, entre otros:



  • Interconexin entre sucursales (VPN)
  • Servicio de internet.
  • Soporte técnico en el ERP de la empresa (DMS)

Ds1 Definicin de niveles de servicio

Niveles de Servicio

Objetivo: Establecer una comprensin comn del nivel de servicio requerido.

Aplicados a AUTODELTA, es necesario evaluar las necesidades de los usuarios (TI), los recursos disponibles, hasta donde se puede cubrir las necesidades con los recursos y la conformidad de los usuarios.Para ello se establecen convenios de niveles de servicio que formalicen los criterios de desempeo contra los cuales se medir la cantidad y la calidad del servicio.

Aplicacion del dominio en AUTODELTA

AUTODELTA CIA. LTDA.
Para aplicar nuestro caso de estudio, hemos decidido utilizar la apresa AUTODELTA CIA. LTDA., esta empresa est dedicada a la comercializacin y servicio tcnico de vehculos.
Hemos seleccionado esta empresa, debido a que uno de los integrantes de este grupo tiene acceso al mismo y AUTODELTA nos dar las facilidades necesarias para llevar a cabo nuestro trabajo.

Dominio de Entrega y Soporte

Descripción
A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales sobre aspectos de seguridad y continuidad hasta el entrenamiento. Para brindar servicios deben instalarse los procesos de soporte necesarios. Este Dominio incluye el procesamiento real de los datos por los sistemas de aplicacin, a menudo clasificados como controles de las aplicaciones.
Tópicos
  • Entrega de los servicios requeridos
  • Establecer los procesos de Soporte
  • Procesamiento por los sistemas aplicativos

Preguntas

  • Están siendo los servicios de TI entregados en lnea con las prioridades de la entidad?
  • Son los costos de TI optimizados?
  • Es capaz la fuerza de trabajo de usar los sistemas productivamente y seguramente?
  • Es adecuada la seguridad, integridad y disponibilidad?

Introduccion COBIT

COBIT
COBIT 4.0 (Control OBjectives for Information and related Technology Objetivos de Control para tecnología de la información y relacionada)
Es el modelo para el Gobierno de la TI desarrollado por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).
Tiene 34 objetivos nivel altos que cubren 215 objetivos de control clasificados en cuatro dominios:
  • El plan y Organiza
  • Adquiere y Pone en práctica
  • Entrega y Apoya
  • Supervisa y Evalúa

Enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de TI, apoya el alineamiento con el negocio y simplifica la implantación del COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que mejora el trabajo hecho.

Es un marco de gobernación TI que permite a gerentes acortar el hueco entre exigencias de control, cuestiones técnicas y riesgos de negocio. COBIT permite el desarrollo claro de política y la práctica buena para el control de TI en todas partes de organizaciones.