Autor: ikaro1970

¿Qué es un ciberataque?

images.jpgLos ciberataques son actos en los cuales se cometen agravios, daños o perjuicios en contra de las personas o grupos de ellas, entidades o instituciones y que por lo general son ejecutados por medio de computadoras y a través de la Internet. No necesariamente pueden ser cometidos totalmente por estos medios, sino también a partir de los mismos.

Un ciberataque puede estar dirigido a los equipos y sistemas de computación que se encuentran operando en la red a nivel mundial, o puede ser orientado hacia la información y los datos que son almacenados en bases de datos. Al dirigirse a los equipos y sistemas, pueden buscar la anulación del servicio que éstos prestan, en forma temporal o permanente, introduciendo algún tipo de elementos extraños en dichos sistemas que dificulten su operación normal. Los ataques contra los datos, por su parte, pueden ir desde el robo de los mismos con propósitos militares o comerciales.

¿Qué paso ahora con la información del gobierno de los Estados Unidos?

Un grupo de hackers pudo haber obtenido datos personales de unos cuatro millones de funcionarios estadounidenses, informó este jueves de la semana pasada la Oficina de Administración de Personal (OPM, por sus siglas en inglés). El ataque ha podido dejar al descubierto los datos de cuatro millones de empleados, exempleados y contratistas, según la Administración.

La incursión de los hackers o piratas informáticos se produjo en diciembre, aunque no se conoció hasta abril. En mayo se determinó que afectaba a millones de datos personales. La OPM, una especie de agencia de recursos humanos del Gobierno federal de los Estados Unidos, avisará a los empleados cuyos datos pudieran estar en riesgo. Entre las tareas de la OPM figura verificar los antecedentes de los funcionarios antes de contratarlos, el pago de las pensiones y la formación continua de los empleados.

Después de lo ocurrido la pregunta más importante es:

¿Está su organización preparada para enfrentar un ciberataque?

Cristian E. Rodriguez Granada
Estudiante Ing. De Sistemas Y Computación
Universidad De Caldas

0

Caso Universidad Tradicional

Antes de empezar nos gustaría nombra las ventajas y desventajas encontradas en la centralización de información y no se dé esto si no de la magnitud del cambio que esto significa. La centralización es tan buena o mala como se quiera ver, de hecho, su calificación depende de cómo, para qué, en qué circunstancias y en qué grado se utiliza.

  1. Ventajas
    • Menos costo de personal. El personal necesario para manejar un sistema informático centralizado es menor al necesario para manejar dos puntos de trabajo independientes, más aún si lo que se quiere es adquirir un software de calidad adaptado para a los objetivos del negocio y a las políticas definidas por el área de TI.
    • Las decisiones son tomadas con base a un conjunto de información centralizada. Cuando se tiene la información almacenada de manera central el análisis, acceso y la mineridad de datos se vuelven no solo herramientas más útiles si no más rápidas confiables y exactas.
    • La dirección de los sistemas esta ejercida por aquellos que tienen una visión global de la organización. Cuando los sistemas se centralizan las personas encargadas que se encargan de dirigirlos adquieren la capacidad de ver problemas más halla de lo superficial y llevan por lo general a la empresa a su mejor entorno de avance.
  2. Desventajas
    • Los decisores no tienen contacto estrecho con las personas y situaciones involucradas. Uno de los grandes peligros que deben manejarse en ambienten donde se centralizan los recursos es el contacto entre áreas y encargados pues él no conocer las situaciones de manera oportuna y concreta puede llevar a tomar malas decisiones.
    • Es generadora de sobrecarga en el trabajo de los directivos superiores. Se necesitan personas altamente calificadas para estar a cargo de sistemas de información que cuenten con altos volúmenes de información.
    • El paso de unos dos sistemas independientes a uno centralizado no es cosa de niños.

Teniendo todo esto en cuenta, pensamos que, aunque la centralización de los datos y a su vez de ambos sistemas puede resultar verdaderamente beneficiosos para cualquier sistema de información, dado que elimina la copia de información y facilita el manejo de los datos. No obstante, debe tratarse con cuidado pues no es una tarea fácil de cumplir y menos cuando se trata del sector público se trata.

  1. Antes de empezar nos gustaría nombra las ventajas y desventajas encontradas en la centralización de información y no se dé esto si no de la magnitud del cambio que esto significa. La centralización es tan buena o mala como se quiera ver, de hecho, su calificación depende de cómo, para qué, en qué circunstancias y en qué grado se utiliza.
    1. Ventajas
      • Menos costo de personal. El personal necesario para manejar un sistema informático centralizado es menor al necesario para manejar dos puntos de trabajo independientes, más aún si lo que se quiere es adquirir un software de calidad adaptado para a los objetivos del negocio y a las políticas definidas por el área de TI.
      • Las decisiones son tomadas con base a un conjunto de información centralizada. Cuando se tiene la información almacenada de manera central el análisis, acceso y la mineridad de datos se vuelven no solo herramientas más útiles si no más rápidas confiables y exactas.
      • La dirección de los sistemas esta ejercida por aquellos que tienen una visión global de la organización. Cuando los sistemas se centralizan las personas encargadas que se encargan de dirigirlos adquieren la capacidad de ver problemas más halla de lo superficial y llevan por lo general a la empresa a su mejor entorno de avance.
    2. Desventajas
      • Los decisores no tienen contacto estrecho con las personas y situaciones involucradas. Uno de los grandes peligros que deben manejarse en ambienten donde se centralizan los recursos es el contacto entre áreas y encargados pues él no conocer las situaciones de manera oportuna y concreta puede llevar a tomar malas decisiones.
      • Es generadora de sobrecarga en el trabajo de los directivos superiores. Se necesitan personas altamente calificadas para estar a cargo de sistemas de información que cuenten con altos volúmenes de información.
      • El paso de unos dos sistemas independientes a uno centralizado no es cosa de niños.

Teniendo todo esto en cuenta, pensamos que, aunque la centralización de los datos y a su vez de ambos sistemas puede resultar verdaderamente beneficiosos para cualquier sistema de información, dado que elimina la copia de información y facilita el manejo de los datos. No obstante, debe tratarse con cuidado pues no es una tarea fácil de cumplir y menos cuando se trata del sector público se trata.

  1. Antes de empezar nos gustaría nombra las ventajas y desventajas encontradas en la centralización de información y no se dé esto si no de la magnitud del cambio que esto significa. La centralización es tan buena o mala como se quiera ver, de hecho, su calificación depende de cómo, para qué, en qué circunstancias y en qué grado se utiliza.
    1. Ventajas
      • Menos costo de personal. El personal necesario para manejar un sistema informático centralizado es menor al necesario para manejar dos puntos de trabajo independientes, más aún si lo que se quiere es adquirir un software de calidad adaptado para a los objetivos del negocio y a las políticas definidas por el área de TI.
      • Las decisiones son tomadas con base a un conjunto de información centralizada. Cuando se tiene la información almacenada de manera central el análisis, acceso y la mineridad de datos se vuelven no solo herramientas más útiles si no más rápidas confiables y exactas.
      • La dirección de los sistemas esta ejercida por aquellos que tienen una visión global de la organización. Cuando los sistemas se centralizan las personas encargadas que se encargan de dirigirlos adquieren la capacidad de ver problemas más halla de lo superficial y llevan por lo general a la empresa a su mejor entorno de avance.
    2. Desventajas
      • Los decisores no tienen contacto estrecho con las personas y situaciones involucradas. Uno de los grandes peligros que deben manejarse en ambienten donde se centralizan los recursos es el contacto entre áreas y encargados pues él no conocer las situaciones de manera oportuna y concreta puede llevar a tomar malas decisiones.
      • Es generadora de sobrecarga en el trabajo de los directivos superiores. Se necesitan personas altamente calificadas para estar a cargo de sistemas de información que cuenten con altos volúmenes de información.
      • El paso de unos dos sistemas independientes a uno centralizado no es cosa de niños.

Teniendo todo esto en cuenta, pensamos que, aunque la centralización de los datos y a su vez de ambos sistemas puede resultar verdaderamente beneficiosos para cualquier sistema de información, dado que elimina la copia de información y facilita el manejo de los datos. No obstante, debe tratarse con cuidado pues no es una tarea fácil de cumplir y menos cuando se trata del sector público se trata.

0

¿Cuál Es La Diferencia Entre CobIT 5 Y Otros Estándares Internacionales?

 

recursoshumanos

La seguridad no funciona si no se aplica un modelo. El principal valor de CobIT 5 es precisamente la gran diversidad de modelos y estándares a nivel global, resultado del trabajo de un gran grupo de practicantes de diversas regiones geográficas, quienes analizan y desarrollan un paraguas general que abarca estándares específicos para seguridad, riesgos, etc.

El principal valor agregado es que no pretende sustituir los frameworks usados en las empresas, sino aportar elementos adicionales como el tema de madurez en los procesos de TI (ahora denominados capacidades en los procesos). CobIT 5 ofrece una visión holísitca en temas de gestión y gobierno, que se complementa con guías o publicaciones adicionales, específicas, para temas de riesgos, cumplimiento, aseguramiento, gobierno de TI, etc.

CobIT 5 integra el framework de riesgos anteriormente llamado Risk IT, y la evolución se denominará CobIT 5 for Risk Management. De la misma manera, las publicaciones sobre aseguramiento cubrirán temas de auditoría.

Cristian E. Rodriguez Granada
Estudiante Ing. De Sistemas Y Computación
Universidad De Caldas

0

¿Qué Es COBIT?

que-es-cobitEl COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association).

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

Cristian E. Rodriguez Granada
Estudiante Ing. De Sistemas Y Computación
Universidad De Caldas

0

SAP

Sap.jpgSAP fue fundada en junio de 1972 como Systemanalyse und Programmentwicklung (“Análisis de Sistemas y Desarrollo de Programas“)5 por cinco exingenieros de IBM en Mannheim, Baden-Württemberg (Dietmar Hopp, Klaus Tschira, Hans-Werner Hector, Hasso Plattner, y Claus Wellenreuther).5 El acrónimo fue cambiado más adelante para ser Systeme, Anwendungen und Produkte in der Datenverarbeitung (“Sistemas, Aplicaciones y Productos en Procesamiento de Datos“).

Como parte de la estrategia de salida de Xerox en la industria de los ordenadores, Xerox mantuvo IBM para migrar sus sistemas de negocio a la tecnología de IBM. Como parte de la indemnización de IBM por la migración, IBM adquirió el software SDS / SAPE, presuntamente por un contrato de crédito de 80.000 dólares. El software SAPE fue dado por IBM a los exempleados fundadores a cambio de Acciones constituyentes proporcionadas a IBM, según informes, el 8 %. Imperial Chemical Industries(ICI) fue el primer cliente de SAP en 1972.7

En 1973, la solución SAP R / 1 se puso en marcha. Seis años después, en 1979, SAP lanzó SAP R / 2. En 1981, SAP lanzo un producto rediseñado al mercado. Sin embargo, SAP R / 2 no mejoró hasta el período entre 1985 y 1990. SAP ha desarrollado y lanzado varias versiones de R / 3 desde 1992 hasta 1995. A mediados de la década de 1990, SAP siguió la tendencia de la computación mainframe para arquitecturas cliente/servidor. El desarrollo de la estrategia de Internet de SAP con mySAP.com re diseño el concepto de procesos de negocio (integración a través de Internet).5 SAP fue premiada en la semana de la industria como la compañía con mejor gestión en 1999.7

En 1976, “SAP GmbH” fue fundada, y al año siguiente trasladó su sede a Walldorf. SAP AG se convirtió en el nombre oficial de la compañía después de la junta general de accionistas de 2005. AG es la abreviatura en alemán de Aktiengesellschaft (sociedad anónima).

En agosto de 1988, SAP GmbH se transfirió a SAP AG (una corporación de derecho alemán), y el comercio público comenzó el 4 de noviembre. Las acciones cotizan enFráncfort del Meno y en la bolsa de Stuttgart.5

En 1995, SAP fue incluido en el índice bursátil alemán DAX. El 22 de septiembre de 2003, SAP se incluyó en el Dow Jones STOXX 50.8

En noviembre de 2010, SAP perdió un juicio de $ 1.3 mil millones por la propiedad intelectual (en relación con las acciones de la TomorrowNow filial de SAP) a Oracle Corporation -. Citado como el juicio de software más grande de la piratería en la historia.9 SAP presentó mociones posteriores al juicio para bajar el daño concedido a Oracle y afirmó que también podrían presentar una apelación.10 El 9 de septiembre de 2011, la sentencia fue anulada por el juez Phyllis J. Hamilton, quien calificó la pena “extremadamente excesiva”.11

En 2008, SAP adquirió Business Objects, una compañía de inteligencia de negocios y añadió sus productos a su cartera. En 2010, SAP adquiere Sybase en un movimiento importante de adquisición. Sybase es la mayor empresa de software y proveedor de servicios especializada en la gestión de la información y el uso de datos móviles.

En diciembre de 2011, SAP AG acordó la compra de SuccessFactors Inc. por 3.4 billones en efectivo o un 52 por ciento más que el precio de cierre de las acciones el 2 de diciembre de 2011. Con la adquisición, SAP AG será más competitivo con Oracle Corporation. en el mercado de computación en la nube.

En mayo de 2012, SAP AG ha anunciado la adquisición de Sunnyvale, California, la cadena de suministro de red del operador Ariba Inc. por unos 4.3 mil millones de dólares. SAP dijo que ofrecerá 45 dólares por acción. La adquisición se supone que se completará en el tercer trimestre de 2012, sujeto a la aprobación de los accionistas y los reguladores de Ariba.

Cristian E. Rodriguez Granada
Estudiante Ing. De Sistemas Y Computación
Universidad De Caldas

0

Caso Nóminas

  • Se nota que el comunicado se presenta como un mediador a un problema que se estaba presentando en aquel momento con el pago de la nómina a algunos empleados donde se le comunicaba a cada una de las personas los problemas presentados y que por lo visto en la planeación no fueron tenidos en cuenta. De manera poco evidente también se puede evidenciar que el lenguaje con el que se expresa en el documento es general y amigable para todo público.

 

  • En el caso se evidencia una falta de preparación para afrontar los problemas que podría traer consigo la implementación del sistema, no solo de manera directa sino también de todos esos daños colaterales que podrían conllevar. También se evidencia un mal estudio antes de la implementación, poca planeación y un alto déficit de desatención a la documentación existente.

 

  • La responsabilidad recae en el grupo de planeación del proyecto, las personas encargadas del estudio de las repercusiones del proyecto en la universidad y del jefe de sistemas que debía conocer estos efectos negativos, comunicarlos a su jefe para darle dándole la posibilidad de preparar estrategias que permitan afrontar las repercusiones.
  • Se debió investigar más afondo los resultados y efectos de la implantación para no generar problemas tan graves como el aquí evidenciado que en determinadas cuentas puede terminar perjudicando la vida entera de una persona.
  • En caso de haber sido el jefe de sistemas abría preparado un plan de implementación de la aplicación subdividiendo una cantidad de fases, hubiera realizado un estudio de todos los beneficios y perjuicios que se debían haber considerado para cada una de las fases para generar planes de contingencia evitando en la mayoría de los casos los perjuicios causados durante la implantación.

Cristian E. Rodriguez Granada
Estudiante Ing. De Sistemas Y Computación
Universidad De Caldas

0

Origen de la Auditoria, Principios Y Valores Del Auditor.

descarga (2)Origen de la Auditoria

  • Solicitud interna (Socios, Junta, Gerencia)
  • Solicitud externa (orden judicial, autoridades fiscales, proveedores, acreedores, inversionistas,…)
  • Emergencias y condiciones especiales (Inundaciones, virus, sabotaje, piratería…)
  • Riesgos y contingencias informáticas (personal, software, hw)
  • Como resultado de los planes de contingencia
  • Por resultados de otras autoridades
  • Como parte del programa de auditoría integral

 Principios y valores del auditor

  • independencia
  • Objetividad
  • Integridad Profesional
  • Obtención y evaluación de evidencia
  • Ética profesional
  • Rango de conocimiento (Conocimiento completo, buen conocimiento, conocimiento adecuado)
  • Honestidad
  • Cumplimiento
  • Lealtad
  • Imparcialidad
  • Respeto a los demás
  • Responsabilidad
  • Confiabilidad
  • Confidencialidad
  • Veracidad

Cristian E. Rodriguez Granada
Estudiante Ing. De Sistemas Y Computación
Universidad De Caldas

0

Papel De Las TI En Las Organizaciones

tecnologias_impacto_empresas.jpg

Como considera que debe realizarse el abordaje de las TI en las organizaciones: Estratégico, táctico, Operativo.

TI en las organizaciones debe cumplir los tres roles (Estratégico, táctico, operativo), porque digo que los tres papeles.

Operativo. Uno de los punto críticos de la organización es la continuidad de los servicios que la empresa le presta a sus grupos de interés y la gran mayoría de estos están apoyados sobre tecnologías y si el área de TI no tiene la capacidad de dar las respuesta en los tiempos requerido por el negocio esto se ve representado en dinero y la imagen que se tiene de la empresa.

Táctico. al igual que el punto anterior es bien importante el área de TI en la tácticas que se definen en la organización y como las apoyo con mis recursos o si requiero nuevos recurso humanos o tecnológicos.

Estratégico. Este punto pienso que es el más importante del papel de TI, es de suma importancia que TI este en el proceso en la definición de las estrategias de organización, esto nos da los insumos necesarios para realizar la planeación TI enfocado en cómo le doy respuesta a mi organización para lograr todos los objetos establecidos en el plan estratégico de empresa.

Cristian E. Rodriguez Granada
Estudiante Ing. De Sistemas Y Computación
Universidad De Caldas

0

¿Como Auditar?

87c744543d8cac6847a66187e9b105c6.jpg

Para auditar los procesos de la Compañía que administran transacciones significativas debemos  realizar las siguientes actividades:

  1.   Entendimiento del proceso
  2. Identificación de los riesgos y controles del proceso
  3. Selección de los controles relevantes a los que se les realizarán las pruebas
  4. Evaluación de los controles
  5. Diseño de las pruebas de auditoria dirigidas a probar la eficacia operativa de controles
  6.   Entendimiento del proceso

Es indispensable que el Auditor entienda y documente las actividades que  inician, procesan  y registran las transacciones significativas en los estados financieros.

  1. Identificación de los riesgos y controles del proceso

Con base en el entendimiento del proceso se deben identificar riesgos que amenacen la integridad, existencia, exactitud y revelación de las transacciones significativas.

Ejemplos:

Transacción significativa:

Proceso de ventas, cuentas por cobrar y recaudos

Riesgos

–       Que se efectúen ventas a clientes ficticios (Existencia de las ventas)

–       Que se envíe la mercancía y no se registre el ingreso (Integridad de las ventas).

–       Que las transacciones se registren en un monto incorrecto (Exactitud de las ventas)

Identificados los riesgos procedemos a identificar los controles que nos ayudan a mitigar esos riesgos

Los controles pueden ser  manuales o automatizados y preventivos o detectivos.

Los siguientes son los tipos de controles más comunes:

 

Categoría de control Tipo de control Descripción Ejemplos
Autorización Manual La aprobación de transacciones ejecutadas de acuerdo con las políticas y los procedimientos generales o específicos de la gerencia. · Aprobación manual designada· Límites de Autorización

· Documentación Soporte
Reportes de Excepción / Edición Manual Revisar reportes del sistema para monitorear errores o entradas y seguimiento a su resolución. · Revisar todas las ediciones hechas por empleados a archivos maestros.· Revisar ventas que excedan el límite de crédito de los clientes.
Indicadores Clave de Desempeño Manual Análisis de interrelaciones, tendencias, y revisión de desempeño de indicadores · Análisis de Presupuesto vs real· Reportes Gerenciales

· Métricas y análisis de tendencias
Revisión Gerencial Manual Involucramiento de la gerencia en revisión de transacciones y supervisión de staff. · Revisión por un segundo empleado o gerente· Inclusión en la información a Junta
Reconciliación Manual Comparación de diferentes grupos de datos, destacar diferencias y su correspondiente seguimiento. · Reconciliación de Bancos· Reconciliación estado de proveedores.
Segregación de Funciones Manual Separación de funciones y responsabilidades para  autorización de transacciones, registro de transacciones, y mantenimiento de custodia. · El Procesador de facturas de gastos es diferente al de pagos.· El aprobador de términos de Crédito es diferente del aprobador de nuevos clientes.
Configuración y  Mapeo de Cuentas. Automático Grupo de “Switches” para asegurar los datos contra procesamiento inadecuado.“Switches” relacionados direccionamiento de transacciones al libro mayor. · Grupos de Autorización· Facturas   asignadas al libro mayor solo si esta tiene un número de proyecto asignado
Interface Automático Transferencia de datos de una base de datos a otra. · Auxiliares a Libro Mayor· Nómina a Libro Mayor
Acceso al Sistema Automático Derechos de acceso otorgados a un usuario individual dentro de un ambiente de procesamiento de IT. El acceso al sistema de nómina esta limitado a empleados del departamento de nómina.

 

  1. Selección de los controles relevantes a los que se les realizarán las pruebas

Para el desarrollo de las pruebas a los controles se deberán identificar los controles relevantes, esta selección se deberá hacer teniendo en cuenta que el conjunto de los controles seleccionados permiten prevenir, detectar y corregir un error, de acuerdo al objetivo tanto del proceso, como de la auditoria. Teniendo en cuenta que las compañías normalmente cuentan con un gran número de controles, nosotros procedemos a seleccionar los controles que consideramos tienen las siguientes características:

  • Los más eficientes de probar
  • Los que mitigan más número de riesgos.
  • Los que cubren un mayor número de aseveraciones

Cristian E. Rodriguez Granada
Estudiante Ing. De Sistemas Y Computación
Universidad De Caldas

0

Fases De La Auditoria ISO 9000

fotolia_10610452_XS

  1. Iniciación de la Auditoria
    • Alcance de la auditoria
    • frecuencia de la auditoria
    • Revisión preliminar de la descripción del sistema de calidad auditado
  2. Preparación de la Auditoria
    • Plan de auditoria
    • Asignación del equipo auditor
    • Documentos de trabajo
  3. Ejecución de la auditoria
    • reunión de la apertura
    • Examen
    • Reunión con el auditado
  4. Documentos de auditoria
    • Preparación del informe de auditoria
    • Contenido del informe
    • Distribución del informe
    • Conservación de registros
  5. Terminación de la auditoria
  6. Seguimiento de la acción correctiva

 

Cristian E. Rodriguez Granada
Estudiante Ing. De Sistemas Y Computación
Universidad De Caldas

0

Blog de WordPress.com.

Subir ↑