Es un conjunto de reglas que deben cumplir los productos, procedimientos o investigaciones que afirmen ser compatibles con el mismo producto. Los estándares ofrecen muchos beneficios, reduciendo las diferencias entre los productos y generando un ambiente de estabilidad, madurez y calidad en beneficio de consumidores e inversores.
Normas
Son reglas de conductas
que nos imponen un determinado modo de obrar o de abstenernos. Las
normas pueden ser establecidas desde el propio individuo que se las auto
impone, y en este caso son llamadas normas autónomas, como sucede con las
éticas o morales. Una norma es una regla que debe ser respetada y que
permite ajustar ciertas conductas o actividades. Las normas se
enfocan más en los procesos por los que tienen que pasar los
productos y los estándares especifican la calidad con la que debe contar
los productos.
ISO 9001
Esta Norma Internacional especifica los
requisitos para un sistema de gestión de la calidad, cuando una organización:
a)
Necesita demostrar su capacidad para proporcionar regularmente productos que
satisfagan los requisitos del cliente y los legales y reglamentarios
aplicables.
b)
Aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz
del sistema, incluidos los procesos para la mejora continua del sistema y el
aseguramiento de la conformidad con los requisitos del cliente y los legales y
reglamentarios aplicables.
En
esta Norma Internacional, el término "producto" se aplica únicamente
a:
a)
El producto destinado a un cliente o solicitado por él,
b) Cualquier resultado previsto de los procesos de
realización del producto.
Ø Todos los requisitos de esta Norma Internacional
son genéricos y se pretende que sean aplicables a todas las organizaciones sin
importar su tipo, tamaño y producto suministrado.
Ø Cuando uno o varios requisitos de esta Norma
Internacional no se puedan aplicar debido a la naturaleza de la organización y
de su producto, pueden considerarse para su exclusión.
Cuando se realicen exclusiones, no se podrá alegar
conformidad con esta Norma Internacional a menos que dichas exclusiones queden
restringidas y que tales exclusiones no afecten a la capacidad o
responsabilidad de la organización para proporcionar productos que cumplan con
los requisitos del cliente y los legales y reglamentarios aplicables.
ISO 20000
Es un estándar para la
gestión de servicios de TI, representa un consenso en la industria sobre los
elementos que son indispensables para garantizar la efectividad de los
servicios de TI. Provee una guía para la realización de auditorías y para la
remediación de los hallazgos identificados, tomando como referencia las
recomendaciones contenidas en las mejores prácticas internacionales
ISO 27000
Ø Establecimiento de una metodología de gestión de
la seguridad clara y estructurada.
Ø Reducción del riesgo de pérdida, robo o
corrupción de información.
Ø Los clientes tienen acceso a la información a
través medidas de seguridad.
Ø Los riesgos y sus controles son continuamente
revisados.
Ø Confianza de clientes y socios estratégicos por
la garantía de calidad y confidencialidad comercial.
CMMI
Es un modelo
de mejora de los procesos de construcción de software que provee los
elementos necesarios para determinar su efectividad. Este modelo puede ser
utilizado como guía para mejorar las actividades de un proyecto, área
u organización, ya que proporciona un marco de referencia para
evaluar la efectividad de los procesos actuales, facilitando con ello la
definición de actividades, prioridades y metas para garantizar
la mejora continua. Es el estándar más conocido para la mejora
de procesos en mejora de procesos para el desarrollo de proyectos,
gestión de proveedores y gestión de servicio.
Fases de la auditoria Informática.
Fase I: Conocimientos del Sistema
Aspectos Legales y
Políticas Internas: Sobre estos elementos está construido el sistema de
control y por lo tanto constituyen el marco de referencia para su evaluación.
Características del Sistema Operativo: Organigrama del área que participa en el sistema, Informes de auditoría realizadas anteriormente
Características de la aplicación de computadora: Manual técnico de la aplicación del sistema, Equipos utilizados en la aplicación de computadora.
Características del Sistema Operativo: Organigrama del área que participa en el sistema, Informes de auditoría realizadas anteriormente
Características de la aplicación de computadora: Manual técnico de la aplicación del sistema, Equipos utilizados en la aplicación de computadora.
Fase 2: Análisis de las transacciones
Dependiendo del
tamaño del sistema, las transacciones se dividen en procesos y estos en
subprocesos. La importancia de las transacciones deberá ser asignada con
los administradores.
Fase 3: Análisis de riesgos y amenazas
Daños físicos o
destrucción de los recursos
Pérdida por fraude o
desfalco
Extravío de
documentos fuente, archivos o informes
Robo de dispositivos
o medios de almacenamiento
Interrupción de
las operaciones del negocio
Pérdida de integridad
de los datos
Ineficiencia de
operaciones
Fase 4: Análisis de controles
Codificación de
controles: Los controles se aplican a los diferentes grupos
utilizadores de recursos, luego la identificación de los controles deben
contener una codificación la cual identifique el grupo al cual pertenece el
recurso protegido.
Relación entre recursos/amenazas/riesgos: La relación con los controles debe establecerse para cada tema identificado. Para cada tema debe establecerse uno o más controles.
Análisis de cobertura de los controles requeridos: Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.
Relación entre recursos/amenazas/riesgos: La relación con los controles debe establecerse para cada tema identificado. Para cada tema debe establecerse uno o más controles.
Análisis de cobertura de los controles requeridos: Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.
Fase 5: Evaluación de
Controles
Objetivos de la
evaluación:
Verificar la
existencia de los controles requeridos
Determinar
la operativa y suficiencia de los controles existente.
Fase 6: Informe de
Auditoria
Informe detallado de
recomendaciones
Evaluación de las
respuestas
Informe resumen para
la alta gerencia
Fase 7: Seguimiento de Recomendaciones
Informes del
seguimiento
Evaluación de los controles implantados
Evaluación de los controles implantados
Una
lista de verificación (checklist), es una herramienta que se utiliza en
diversos ámbitos de la gestión de las organizaciones para extraer una serie de
propiedades de aquello que se somete a estudio.
El
checklist se presenta generalmente en forma de preguntas que se responden de
forma binaria: lo tiene o no lo tiene, está presente o no está presente, aunque
también se pueden dar más de dos opciones de respuesta, pero siempre de forma
cerrada, es decir, salvo que se quiera habilitar un apartado de comentarios,
las respuestas son sí o no.
Ventajas
Promueve la planificación
Asegura un enfoque consistente
Actúa como plan de muestreo y controlador de tiempo.
Sirve como ayuda memoria.
Puede ser usada como base para futuras evaluaciones
Desventajas:
Se corre el riesgo de perder información.
Su enfoque puede ser muy estrecho para identificar áreas con problemas
específicos.
Si es utilizada por alguien inexperto puede
no comunicar claramente lo que está buscando.
Si esta pobremente preparada puede hacer
lenta a la evaluación.
Minimiza las preguntas.
La
lista de verificación permite observar, entre otros, los siguientes aspectos:
Número de veces
que sucede una cosa.
Tiempo
necesario para que alguna cosa suceda.
Costo de una
determinada operación, a lo largo de un cierto período de tiempo.
Impacto
de una actividad a lo largo de un período de tiempo.
Selección
de proveedores
EVALUACION DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
Uno
de los rubros que están incrementando su popularidad dentro del ambiente
informático, es el relacionado con la seguridad del área de sistemas; con ello
se incrementa cada día más la necesidad de evaluar la seguridad y protección de
los sistemas, ya sea en los accesos a los centros de cómputo, en el ingreso y
utilización de los propios sistemas y en la consulta y manipulación de la
información contenida en sus archivos, la seguridad de las instalaciones, del
personal y los usuarios de sistemas, así como de todo lo relacionado con el
resguardo de los sistemas computacionales.
Es
evidente que uno de los aspectos básicos que se deben contemplar en la
evaluación de sistemas, es precisamente la protección y resguardo de la
información de la empresa, tanto en el hardware como en el software, así como
de los equipos adicionales que ayudan al adecuado funcionamiento de los sistemas.
En
esta evaluación también se incluyen el acceso al área de sistemas, el acceso al
sistema, la protección y salvaguarda de los activos de esta área, las medidas
de prevención y combate de siniestros, y muchos otros aspectos que se pueden
valorar mediante una auditoria de sistemas.
Para
un mejor entendimiento de estos puntos, a continuación veremos las principales
áreas de seguridad que se pueden evaluar en una auditoria de sistemas.
1. Evaluación
de la seguridad física de los sistemas.
2. Evaluación
de la seguridad lógica del sistema.
3. Evaluación
de la seguridad del personal del área de sistemas.
4. Evaluación
de la seguridad de la información y las bases de datos.
5. Evaluación
de la seguridad en el acceso y uso del software.
6. Evaluación
de la seguridad en la operación del hardware.
7. Evaluación
de la seguridad en las telecomunicaciones.
Licencias para software
El software se rige por licencias de utilización,
es decir, en ningún momento un usuario compra un programa o se convierte en
propietario de él, tan sólo adquiere el derecho de uso, incluso así haya pagado
por él. Las condiciones bajo las cuales se permite el uso del software, o sea
las licencias, son contratos suscritos entre los productores de software y los
usuarios. En general, las licencias corresponden a derechos que se conceden a
los usuarios, principalmente en el caso del software libre, y a restricciones
de uso en el caso del software propietario. Las licencias son de gran
importancia tanto para el software propietario como para el software libre,
igual que cualquier contrato. Un caso especial, en lo que concierne a la
propiedad sobre el software, lo constituyen los programas denominados de
dominio público, porque sus creadores renuncian a los derechos de autor
Tipos de software según tipo de uso, precio y funcionalidad.
|
Tipo de licencias de software
|
permiso de copia y redistribución
|
precio cero
|
100%
funcional |
permiso de uso ilimitado
en el tiempo |
disponibilidad y permiso de modificar
archivos fuentes
|
|
propietario
|
No
|
No
|
si
|
si
|
no
|
|
shareware o de evaluación
|
Si
|
No
|
si
|
no
|
no
|
|
de prueba o demostración
|
Si
|
si
|
no
|
no
|
no
|
|
freeware
|
Si
|
si
|
si
|
si
|
no
|
|
Libre
|
Si
|
si
|
si
|
si
|
si**
|
Bibliografía
Criterios de seleccion de provedores. (01 de 09 de 09). Recuperado el 28 de 09 de
15, de Provedores: http://www.mailxmail.com/curso-
proveedores-compra-venta/proveedores-criterios-seleccion.
Definicion de posventa. (02 de 09 de 10). Recuperado el 28 de 09 de
15, de Definicion de posventa:
http://www.wordreference.com/definicion/posventa.
DRUDIS. (2000). Planificación, organización
y gestión de proyectos (segunda ed.). Barcelona.
Enterprisesoft. (2015). Recuperado el 05 de 10 de 2015, de
Enterprisesoft: http://w3.bsa.org/paraguay/antipiracy/Why-a-License-Matters.cfm
GARCÍA DEL JUNCO, J. (2002). Fundamentos de
TI. Madrid.
garcia, J. l. (s.f.). Academia .
Recuperado el 28 de 09 de 15, de Evaluación y Selección de Proveedores :
http://www.academia.edu/8862042/Evaluaci%C3%B3n_y_Selecci%C3%B3n_de_Proveedores_Usando_el_M%C3%A9todo_Moora
No hay comentarios:
Publicar un comentario