Recursos de TI

Los recursos de TI son todos aquellos insumos manejados por los procesos de TI para cumplir con los requerimientos del negocio, estos recursos son:

– Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.

– Información: Son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.

-La infraestructura: Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

-Las personas: Es todo el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

Desafíos de TI para instituciones de educación superior 2012 educause

1. Actualización de destrezas y roles de TI: Los roles de TI deben ponerse al día especialmente en las universidades ya que se esta exigiendo que el papel de TI esté más involucrado con los lineamientos de la empresa.

2. Consumerización de TI / BYOD: El uso de tecnologías ubicuas hacen que las empresas tienen que aceptar que las personas utilicen sus propios equipos para llevar a cabo los fines de la empresa lo que debemos de saber manejar es como hacemos que esos equipos sean seguros. La seguridad es muy precaria. por la razón es necesario crear estrategias para mejorarla. 

3. Estrategia en la nube: Es la nueva oleada de la tercerización, es la revolución más grande de las TI. Lo más importante es que se “adelgaza” el papel de las TI en las organizaciones. El personal que trabaja en este servicio es altamente calificada. El área de Mercadeo en las empresas es la que maneja con más frecuencia las alianzas con las compañías que prestan este servicio.
   El nivel de seguridad ofrecido es de los mejores, lo que genera más confianza en las organizaciones que van a contratar.

4. Utilización de TI para mejorar la eficiencia institucional: Para este caso, la eficiencia institucional va encaminada a la academia ofrecida por la universidad.

5. Integracion de tecnologias de la información en la toma de decisiones institucionales.
6. Uso de analitica para apoyar los resultados institucionales.
7. Obtener estratégicamente fondos para TI.
8. Uso de las tecnologías de la información para la transformación del negocio.
9. Apoyo a la investigación (Computación de alto rendimiento, grandes datos, analitica).
10. Gobierno de TI a nivel de la institución: Saber para dónde se dirige la empresa teniendo claro los objetivos e ideales de la misma.

Cloud Computing

La computación en la nube o Cloud Computing es  un sistema informático basado en Internet y centros de datos remotos para gestionar servicios de información y aplicaciones, la cual tiene las siguientes ventajas:

Rápida: Los servicios más básicos de la nube funcionan por sí solos. Para servicios de software y base de datos más complejos, la computación en nube permite saltarse la fase de adquisición de hardware y el consiguiente gasto, por lo cual es perfecta para la creación de empresas.

Actual: La mayoría de los proveedores actualizan constantemente su software, agregando nuevas funciones tan pronto como están disponibles.

Elástica: Adaptable rápidamente a negocios en crecimiento o de picos estacionales, ya que el sistema en nube está diseñado para hacer frente a fuertes aumentos en la carga de trabajo. Esto incrementa la agilidad de respuesta, disminuye los riesgos y los costos operacionales, porque sólo escala lo que crece y paga sólo lo que usa.

Móvil: El sistema en nube está diseñado para ser utilizado a distancia, así que el personal de la empresa tendrá acceso a la mayoría de los sistemas en cualquier lugar donde se encuentre.

Económica: El proveedor ofrece servicios a multiples empresas, las cuales se benefician de compartir una moderna y compleja infraestructura, pagando solamente por lo que realmente utilizan, eliminando así gastos en infraestructura innecesaria.

Plan de Gestión de Crisis

El plan de gestión de crisis es una herramienta que permite actuar de la manera más rápida y eficaz a la hora de sufrir una crisis. Ésta recoge las posibles causas de crisis que se pueden dar en la empresa, los modos de actuación o cómo reaccionar, qué debemos transmitir a la hora de sufrir una crisis y a qué público dirigirnos.

Este plan se basa en manejar una serie de estrategias para tratar de neutralizar la crisis, haciendo uso de la técnica de las  5 R´s como se muestra en el siguiente diagrama, el cual es un mecanismo evolutivo para tratar de disminuir las consecuencias, e impedir que las crisis se llegue a tomar el control.

Un plan de gestión de crisis debe contemplar el cumplimiento, una completa preparación, un excelente manejo de los recursos y hacer uso de la gestión de la información, para poder manejar los aspectos críticos de esta como lo son:

–       La coordinación eficaz de las actividades dentro de las organizaciones

–       La alerta temprana y las instrucciones claras a todos los interesados, si se produce una crisis.

–       Evaluación continua de las consecuencias reales y potenciales de la crisis.

–       La continuidad de las operaciones comerciales durante e inmediatamente después de la crisis.

Los Exploit’s

Es un programa o técnica que aprovecha una vulnerabilidad. Los exploits dependen de los sistemas operativos y sus configuraciones, de las configuraciones de los programas que se están ejecutando en un computador y de la LAN donde están. Hay muchos tipos de vulnerabilidades.

Puede haber un error en la configuración del servicio o bien un error en la programación del servicio.

Tipos de exploits

Forma Local (exploit local): es el caso en el que se tiene un entorno interactivo (una shell, por ejemplo). Para ejecutar un exploit de forma local hay que tenerlo en la máquina y luego subirlo.

Forma Remota (exploit remoto): se ejecuta de la máquina en la cual se esta probando el bug/vulnerabilidad que existe en otra máquina remota, aprovechando algún servicio que tenga conexión a la red y por consiguiente que tenga la vulnerabilidad que se está estudiando

Recursos de TI

Los recursos de TI son todos aquellos insumos manejados por los procesos de TI para cumplir con los requerimientos del negocio, estos recursos son:

– Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.

– Información: Son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.

-La infraestructura: Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

-Las personas: Es todo el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

Generalidades de COBIT

La orientación a negocios es el tema principal de COBIT. Está diseñado para ser utilizado no sólo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los dueños de los procesos de negocio. Para ello hace uso de sus 4 dominios de la siguiente forma:

-Planear y organizar (PO): Se establece una dirección de la forma en que se deben entregar los servicios de acuerdo a los recursos de TI, de igual forma para la administración de los proyectos y de la calidad.
PO1 Definir un Plan Estratégico de TI
PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
PO4 Definir los Procesos, Organización y Relaciones de TI
PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos

-Adquirir e Implementar (AI): Se requiere de una apropiación global de todos los servicios que se van a entregar a los usuarios finales

AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
AI6 Administrar Cambios
Ai7 Instalar y acreditar soluciones y cambios

-Entregar y dar Soporte (DS) : Siempre que se requiera se deben poder corregir las eventualidades que pudiesen suceder para mantener disponibles los servicios.
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones

-Monitoreo y evaluación (ME): Se debe realizar un monitoreo a los servicios entregados para realizar retroalimentaciones para cumplir con los objetivos empresariales y se debe mantener una medición de los indicadores de estos

ME1 Monitorear y Evaluar el Desempeño de TI
ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI

Fases del proceso de auditoria

Planeación: Se realiza un análisis de la razón de ser de la organización que será auditada, se selecciona y se presenta el grupo de auditores que están en el proceso, se instaura el tipo de auditoría que se va a implementar, se establece el cronograma de trabajo y se desarrollan las guías de auditoria

Ejecución de la auditoria: Se establecen los criterios del auditor(objetividad, ética, confidencialidad, conocimiento del tema, responsabilidad, autonomía, no tener intereses personales) para luego empezar a utilizar las guías de auditoria y comenzar a recoger las observaciones, responsables, evidencias.

Presentación de resultados (Informe):Se establece la manera en que se deben presentar las observaciones encontradas a la entidad auditada, como lo es la estructura del informe en cuanto al contenido, presentación, la forma de archivar las evidencias y todos los documentos resultantes durante el proceso de auditoría

Recomendaciones: Se establecen las recomendaciones necesarias para proximas auditorias, para que no vuelvan a ocurrir las mismas eventualidades.

CMM para el desarrollo de software

Toda empresa dedicada al desarrollo de software puede conseguir certificaciones sobre los procesos que realizan al momento de crear software; una de ellas es CMM  (Capability Maturity Model) Modelo de Madurez de Capacidades la cual fue creada por el SEI, el cual es un instituto de EEUU de investigación y desarrollo, el cual tienen la intención de establecer modelos de evaluación y mejora en el desarrollo de software.

Los niveles del CMM son:

1.Inicial: Las organizaciones en este nivel no disponen de un ambiente estable para el desarrollo y mantenimiento de software. Aunque se utilicen técnicas correctas de ingeniería, los esfuerzos se ven minados por falta de planificación. El éxito de los proyectos se basa la mayoría de las veces en el esfuerzo personal, aunque a menudo se producen fracasos y casi siempre retrasos y sobre costes. El resultado de los proyectos es impredecible.

2.Repetible: En este nivel las organizaciones disponen de unas prácticas institucionalizadas de gestión de proyectos, existen unas métricas básicas y un razonable seguimiento de la calidad. La relación con subcontratistas y clientes está gestionada sistemáticamente.

3.Definido: Además de una buena gestión de proyectos, a este nivel las organizaciones disponen de correctos procedimientos de coordinación entre grupos, formación del personal, técnicas más detalladas de ingeniería y un nivel más avanzado de métricas en los procesos. Se implementan técnicas de revisión por pares.

4.Gestionado: Se caracteriza por que las organizaciones disponen de un conjunto de métricas significativas de calidad y productividad, que se usan de modo sistemático para la toma de decisiones y la gestión de riesgos. El software resultante es de alta calidad.

5.Optimizado: La organización completa está volcada en la mejora continua de los procesos. Se hace uso intensivo de las métricas y se gestiona el proceso de innovación.

Gobierno de TI en las empresas

En la actualidad todas las empresas hacen uso de las tecnologías de información y comunicación (TIC´s), para realizar todas las actividades pertinentes que determinan la razón de su existencia, para poder brindar sus servicios y/o productos.

En donde el  objetivo que tiene TI, es asegurar que esta soporta y facilita el desarrollo de la estrategia y los objetivos empresariales, por parte de las organizaciones estas entienden que sus activos más valiosos, son aquellos que están vinculados con TI.

En las organizaciones se encuentran establecidos:

El gobierno corporativo: Este establece los procedimientos y responsabilidades necesarias para cumplir con las normativas legales, estándares y requerimientos sociales. Además de servir de marco de referencia para cumplir con los objetivos y metas del negocio

El gobierno de TI: Este se desprende del gobierno corporativo, y lo que pretende es brindar buenas prácticas para que las TI den valor agregado a las organizaciones en donde los servicios y funciones de TI se proporcionan con el máximo valor posible o de las formas más eficientes y estas den un control total de la empresa.