SAP

SAP es el software para controlar todos los procesos de cada empresa sin importar su actividad económica, en un solo software se gestiona toda la información industrial, contable, comercial, recursos humanos, etc. Hay más de 120.000 empresas alrededor del mundo que tiene SAP instalado. SAP que esta ligado con las ERP que son los sistemas de planificación de recursos empresariales, de ahí la importancia de que las empresas decidan por adoptar SAP independientemente el tamaño, sin embargo, entre mas grande y compleja sea la empresa más debería ser la necesidad de implementar SAP.

SAP crece teniendo en cuenta que emplea a muchas personas para diferentes actividades y ademas asimismo mucha gente demanda estos puestos de trabajo debido a la oportunidad e importancia de este.

Hay que escoger SAP porque es multinacional, multisectorial, multiteconológico y multiespecializado. SAP no solo es funcional basado en procesos de las empresas sino también va muy ligado a la tecnología y el análisis de datos que es muy importante para la toma de decisiones dentro de las empresas. 

Cuestionario

Seguridad informática

A pesar de que este tipo de normatividad no es obligatoria es necesaria para podernos comunicar con mercados extranjeros. Además la importancia dentro de las compañías con el objetivo de ayudar a mejorar la seguridad y la calidad de ciertos aspectos teniendo en cuenta que dependiendo cual es el mercado existe su normatividad específica. En este caso nos compete es la tecnología e información ya que por medio de la tecnología se puede violar la reserva de la información y obtenerse con fines negativos, por eso es necesario tener un respectivo control de seguridad y calidad de esto.

ISO 17799

Magerit

Introducción

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

El análisis y gestión de los riesgos es un aspecto clave del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica que tiene la finalidad de poder dar satisfacción al principio de proporcionalidad en el cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información. MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad.

Objetivos

MAGERIT persigue los siguientes objetivos: Directos:

1.    Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos

2.    Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC)

3.    Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos:

4.    Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso

Organización de las guías

MAGERIT versión 3 se ha estructurado en tres libros: "Método", "Catálogo de Elementos" y "Guía de Técnicas".

Método

Se estructura de la siguiente forma:

·         El capítulo 2 presenta los conceptos informalmente. En particular se enmarcan las actividades de análisis y tratamiento dentro de un proceso integral de gestión de riesgos.

·         El capítulo 3 concreta los pasos y formaliza las actividades de análisis de los riesgos.

·         El capítulo 4 describe opciones y criterios de tratamiento de los riesgos y formaliza las actividades de gestión de riesgos.

·         El capítulo 5 se centra en los proyectos de análisis de riesgos, proyectos en los que nos veremos inmersos para realizar el primer análisis de riesgos de un sistema y eventualmente cuando hay cambios sustanciales y hay que rehacer el modelo ampliamente.

·         El capítulo 6 formaliza las actividades de los planes de seguridad, a veces denominados planes directores o planes estratégicos.

·         El capítulo 7 se centra en el desarrollo de sistemas de información y cómo el análisis de riesgos sirve para gestionar la seguridad del producto final desde su concepción inicial hasta su puesta en producción, así como a la protección del propio proceso de desarrollo.

·         El capítulo 8 se anticipa a algunos problemas que aparecen recurrentemente cuando se realizan análisis de riesgos.

Los apéndices recogen material de consulta:

1.    Un glosario,

2.    Referencias bibliográficas consideradas para el desarrollo de esta metodología,

3.    Referencias al marco legal que encuadra las tareas de análisis y gestión en la Administración Pública Española,

4.    El marco normativo de evaluación y certificación

5.    Las características que se requieren de las herramientas, presentes o futuras, para soportar el proceso de análisis y gestión de riesgos,

6.    Una guía comparativa de cómo Magerit versión 1 ha evolucionado a la versión 2 y a esta versión 3

Catálogo de Elementos

Marca unas pautas en cuanto a:

·         Tipos de activos

·         Dimensiones de valoración de los activos

·         Criterios de valoración de los activos

·         Amenazas típicas sobre los sistemas de información

·         Salvaguardas a considerar para proteger sistemas de información

Se persiguen dos objetivos:

1.    Por una parte, facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.

2.    Por otra, homogeneizar los resultados de los análisis, promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.

Cada sección incluye una notación XML que se empleará para publicar regularmente los elementos en un formato estándar capaz de ser procesado automáticamente por herramientas de análisis y gestión.

Si el lector usa una herramienta de análisis y gestión de riesgos, este catálogo será parte de la misma; si el análisis se realiza manualmente, este catálogo proporciona una amplia base de partida para avanzar rápidamente sin distracciones ni olvidos.

Guía de Técnicas

Aporta luz adicional y orientación sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos:

·         Técnicas específicas para el análisis de riesgos

·         Análisis mediante tablas

·         Análisis algorítmico

·         Árboles de ataque

·         Técnicas generales

·         Técnicas gráficas

·         Sesiones de trabajo: entrevistas, reuniones y presentaciones

Valoración Delphi Se trata de una guía de consulta. Según el lector avance por las tareas del proyecto, se le recomendará el uso de ciertas técnicas específicas, de las que esta guía busca ser una introducción, así como proporcionar referencias para que el lector profundice en las técnicas presentadas.

Tomado de: http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.Vhfahfl_NBc

COBIT

Marco de COBIT 5

♥ Ayuda a las organizaciones a crear un valor optimo a partir de la TI, al mantener un equilibrio entre la realización de beneficios y la optimización de los niveles de riesgo y utilización de recursos.

♥ COBIT 5 permite que las tecnologías de la información y relacionadas se gobiernen y administren de una manera holística a nivel de toda la organización, incluyendo el alcance completo de todas las áreas de responsabilidad funcionales y de negocio.

Principios

1.    Satisfacer las necesidades de las partes interesadas

2.    Cubrir la organización de forma integral

3.    Ampliar un solo marco integrado

4.    Habilitar un enfoque holístico

5.    Separar el gobierno de la administración

Habilitadores de COBIT 5

1.    Principios, políticas y marcos

2.    Procesos

3.    Estructuras organizacionales

4.    Cultura, ética y comportamiento

5.    Información

6.    Servicios, infraestructura y aplicaciones

7.    Personas, habilidades y competencia

♥ COBIT 1 → Auditoria (1996)

♥ COBIT 2 → Control (1998)

♥ COBIT 3 → Administración (2000)

♥ COBIT 4 → Gobierno TI (2005/7)

♥ COBIT 5 → Gobierno corporativo de TI (2012)

Tomado: www.isaca.org/COBIT/Documents/COBIT5-Introduction-Spanish.ppt

COSO

COSO

El informe COSO es un documento que contiene las principales directivas para la implantación, gestión y control de un sistema de control.

Existen 3 versiones 1992, 2004 y 2013, adicionalmente incorporan las exigencias de la Ley SOX (Sarbanes Oxley).

Diseñado para identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administración y para la junta directiva de la organización orientada al logro de los objetivos del negocio. (Tomado de https://blogconsultorasur.wordpress.com/2011/09/06/que-es-coso/)

Los 5 componentes:

(Tomado de: http://www.auditool.org/blog/control-interno/290-el-informe-coso-i-y-ii)

1. Ambiente de control Marca el comportamiento en una organización. Tiene influencia directa en el nivel de concientización del personal respecto al control.

2.  Evaluación de riesgos Mecanismos para identificar y evaluar los riesgos para alcanzar los objetivos de trabajo, incluyendo los riesgos particulares asociados con el cambio.

3.  Actividades de control Acciones, Normas y Procedimientos que tiende a asegurar que se cumplan las directrices y políticas de la Dirección para afronta los riesgos identificados.

4. Información y comunicación Sistemas que permiten que el personal de la entidad capte e intercambie la información requerida para desarrollar, gestionar y controlar sus operaciones.

5.  Supervisión Evalúa la calidad del control interno en el tiempo. Es importante para determinar si éste está operando en la forma esperada y si es necesario hacer modificaciones.

COSO II “ERM” toma muchos aspectos importantes que el coso I no considera, como por ejemplo

• El establecimiento de objetivos
• Identificación de riesgo
• Respuesta a los riesgos

Se puede decir que estos componentes son claves para definir las metas de la empresa.

 Si los objetivos son claros se puede decidir que riegos tomar para hacer realidad las metas de la organización.

De esta manera se puede hacer una clara identificación, evaluación, mitigación y respuesta para los riesgos.

El modelo de control interno COSO 2013 actualizado está compuesto por los cinco componentes, establecidos en el Marco anterior y 17 principios que la administración de toda organización debería implementar.

Entorno de control                                

·         Principio 1: Demuestra compromiso con la integridad y los valores éticos

·         Principio 2: Ejerce responsabilidad de supervisión

·         Principio 3: Establece estructura, autoridad, y responsabilidad

·         Principio 4: Demuestra compromiso para la competencia

·         Principio 5: Hace cumplir con la responsabilidad

Evaluación de riesgos

·         Principio 6: Especifica objetivos relevantes

·         Principio 7: Identifica y analiza los riesgos

·         Principio 8: Evalúa el riesgo de fraude

·         Principio 9: Identifica y analiza cambios importantes

Actividades de control

·         Principio 10: Selecciona y desarrolla actividades de control

·         Principio 11: Selecciona y desarrolla controles generales sobre tecnología

·         Principio 12: Se implementa a través de políticas y procedimientos

·         Principio 13: Usa información Relevante

Sistemas de información

·         Principio 14: Comunica internamente

·         Principio 15: Comunica externamente

Supervisión del sistema de control - Monitoreo

·         Principio 16: Conduce evaluaciones continuas y/o independientes

·         Principio 17: Evalúa y comunica deficiencias

Contrapartida 1475

Opinión:

Nos hemos dado cuenta cómo a medida que va pasando el tiempo la información ha ido evolucionando para bien, buscando la facilidad de los usuarios, del papel a la tecnología. Es evidente que en parte es más difícil controlar este tipo de información debido al acceso que tiene las personas, sin embargo, no es imposible, hay que saber cómo protegerla para que no caiga en manos inescrupulosas. Como actualmente hay arto contador de la vieja guarda se ha evidenciado poco de interés por aprender lo que el mundo va ofreciendo para facilitar las tareas del contador, logrando un atraso a las profesión y se tiene la certeza que ni un correo se sabe utilizar, ni se usan las mínimas de formalidades a la hora de remitir estos.

La matemática es una ciencia perfecta, tan perfecta que va evolucionando y avanzando volviéndose más compleja y facilitando las tareas de muchas personas como nosotros contadores, es por eso que debemos dejarnos llevar por este desarrollo y lograr un buen cambio en la profesión para mejor el nombre ya que de a pocos la hemos manchado y ensuciado por distintas razones, que mejor forma de mejorar que usar lo mejor.

Mapa comparativo

Control Interno

Hardware y Software

♥ Hardware→ (Partes físicas) Este término está relacionado con todas las partes que se pueden tocar del computador. A su vez este está dividido en dos:

        ○ Hardware externo: (Periférico)

                Ejemplos:              Monitor

Mouse

Teclado

        ○ Hardware interno: (Componente)

Ejemplos: Disco duro (Guarda la información, existe interno    o externo)

   

Memoria RAM (Ayuda a abrir con rapidez los archivos o programas)

CPU (Cerebro del computador)

♥ Software→ (Programas) Se entiende que es el conjunto de instrucciones para hacer determinadas tareas a través de los sistemas operativos, programas y/o aplicaciones.

        ○ Sistema operativo: Windows

        ○ Programas y/o aplicaciones: Office

♥ Se concluye que es necesario el hardware para tener un buen desarrollo del sistema operativo y programas.