606 954 593

Dirección y gobierno TI

26 Mar Dirección y gobierno TI

Publicado el 09:06h en Blog, Director de Sistemas, Dirigido a gerentes y directivos por

Formación en gobierno TI

Actualmente me encuentro certificándome en ITIL v3 Foundation

Desarrollada a finales de 1980, la Librería de Infraestructura de TI (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de Servicios* Informáticos. Comenzando como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC (Oficina de Comercio del Gobierno Británico), pero es de libre utilización.

ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfaga los requisitos y las expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.

Anteriormente

En el año 2006 realizo el enfocado «Los sistemas de información en la empresa actual» en la mundialmente conocida escuela de negocios IESE. En este enfocado se desarrollan conceptos sobre alineación TI con la empresa y gobierno TI entre otros.

En el año 2009 realizo la certificación como Lead Auditor ISO 27001 en seguridad informática.

Además de esta formación cabe destacar Ingeniería Informática por la Universidad de Valencia así como Ingeniería técnica en Telecomunicaciones.

Experiencia

Con más de 14 años de experiencia asociada a los sistemas TI cabe destacar la siguiente:

  • CIO en importante empresa de distribución de España con más de 150M de euros de facturación anual. Desarrollo de plan director TI y miembro del comité del plan estratégico.
  • Interim manager para diferentes empresas de la Comunidad Valenciana, dirigiendo proyectos de integración y ERP.
  • Auditorias de rendimiento para diferentes empresas.
  • Auditorias ISO 27001 para consultoras TI e importante empresa química de la Comunidad Valenciana.

Planteamiento de auditoría TI

Los pasos que se realizarán en la auditoría informática para cubrir dos de las necesidades planteadas por el cliente:

  • Seguridad, fiabilidad y prestaciones de la tecnología de información y de las comunicaciones utilizadas.
  1. ISO 27001
  2. ISO 20000
  3. CMMI
  4. Tecnicas de dirección de desarrollo software, UML, Cobit, CMMI,…
  • Capacidad y grado de utilización de los recursos disponibles.
  • Estudio de los servicios que actualmente se ofrecen y se consumen.
  • Cumplimiento del marco legal.
  • Estudio de presupuestos del departamento TI.

Por un lado se pretende cubrir las anteriores necesidades, pero además alinear la estrategia de negocio con las TIC.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. También permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

Generalmente la consultoría de implantación de la norma ISO 27001 (cuatro normas y 133 puntos de control) me proporciona una visión global del papel que las TI juegan en una empresa, pudiendo afinar más en la realización del plan director TI o bien en el documento de riesgos y mejoras.

Los objetivos de la auditoría Informática son:

  • El control de la función informática
  • El análisis de la eficiencia de los Sistemas Informáticos
  • La verificación del cumplimiento de la Normativa en este ámbito
  • La revisión de la eficaz gestión de los recursos informáticos.
  • La auditoría informática sirve para mejorar ciertas características en la empresa como:
  • Eficiencia
  • Eficacia
  • Rentabilidad
  • Seguridad

Se puede desarrollar en alguna o combinación de las siguientes áreas:

  • Gobierno corporativo
  • Administración del Ciclo de vida de los sistemas
  • Servicios de Entrega y Soporte
  • Protección y Seguridad
  • Planes de continuidad y Recuperación de desastres

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT e ITIL.

Auditoria de seguridad y continuidad de negocio.

Se realizará auditoría de seguridad en los siguientes ámbitos.:

  • Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
  • Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
  • Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.

Entre otras medidas se comprobará y se documentará asociado a la seguridad:

  • Medidas de actualización de contraseñas.
  • Antivirus.
  • Seguridad perimetral.
  • Puertos abiertos.
  • Sistemas anti-spam.
  • Conexiones VPN-SSL.
  • Documentos de seguridad LOPD.
  • Fiabilidad del CPD.
  • Seguridad en Exchange.

Asociado a la continuidad del negocio:

  • Protocolos de contingencia ante desastres.
  • Tiempos máximos de caída de sistemas.
  • Inventariado de sistemas críticos.
  • Detección de puntos críticos y vulnerabilidades.
  • Falta de redundancia en sistemas críticos.
  • Sistemas de copias y restauración de la información.

Auditoria de prestaciones.

Dentro de la auditoría de prestación de los sistemas de información se analizarán y generará la siguiente información:

  • Mapa de aplicaciones.
  • Mapa de redes y servidores.
  • Mapa de SGBD (Sistemas de gestión de bases de datos)
  • A partir de estos mapas, detectar las aplicaciones críticas y realizar un análisis de las bases de datos, documentando:
  • Arquitectura y sistema de ficheros.
  • Planes de optimización.
  • Restructuración de índices.
  • Optimización de consultas.
  • Truncado de log.
  • Detección de información obsoleta.
  • Clasificación de los datos, estudio de las aplicaciones y análisis de los flujo gramas.
  • Controles de acceso, de actualización, de integridad y calidad de los datos.

Auditoria de capacidad y grado de utilización de recursos disponibles.

En la realización de una auditoría informática de capacidad y grado de utilización de recursos se debe de medir y documentar:

  • Espacio por unidades de disco.
  • Tamaño de log.
  • Porcentaje medio utilizado de CPU y memoria por servidor (Mediante la recolección de información).
  • Análisis de documentos no accedidos recientemente, tamaño y ubicación.
  • Ancho de banda utilizado en LAN y WAN.
  • Capacidad y obsolescencia de los sistemas.

Herramientas utilizadas.

Se realizan pruebas de dos tipos:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.

Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informático son:

  • Observación
  • Realización de cuestionarios
  • Entrevistas a auditados y no auditados
  • Muestreo estadístico mediante analizadores, visores de sucesos, visores de rendimiento, …
  • Flujo gramas
  • Listas de chequeo
  • Mapas conceptuales

Documento de conclusiones y aportación de mejoras. Plan director TI

El objetivo de la auditoria asociada al gobierno TI tiene como objeto proporcionar a la empresa por un lado un documento con los riesgos y actuaciones para la mejora y alineamiento de las TI con el negocio. Por otro lado, en muchas ocasiones, desembocar en un Plan Director TI 3-5 años que alineen las TI con el negocio, reduciendo costes, aumentando la productividad y disponibilidad de los sistemas informáticos, así como la obsolescencia de la infraestructura TI y negociación de los servicios con los proveedores.

Etiquetas:
, ,
Print page