Cloud Computing

La computación en la nube o Cloud Computing es  un sistema informático basado en Internet y centros de datos remotos para gestionar servicios de información y aplicaciones, la cual tiene las siguientes ventajas:

Rápida: Los servicios más básicos de la nube funcionan por sí solos. Para servicios de software y base de datos más complejos, la computación en nube permite saltarse la fase de adquisición de hardware y el consiguiente gasto, por lo cual es perfecta para la creación de empresas.

Actual: La mayoría de los proveedores actualizan constantemente su software, agregando nuevas funciones tan pronto como están disponibles.

Elástica: Adaptable rápidamente a negocios en crecimiento o de picos estacionales, ya que el sistema en nube está diseñado para hacer frente a fuertes aumentos en la carga de trabajo. Esto incrementa la agilidad de respuesta, disminuye los riesgos y los costos operacionales, porque sólo escala lo que crece y paga sólo lo que usa.

Móvil: El sistema en nube está diseñado para ser utilizado a distancia, así que el personal de la empresa tendrá acceso a la mayoría de los sistemas en cualquier lugar donde se encuentre.

Económica: El proveedor ofrece servicios a multiples empresas, las cuales se benefician de compartir una moderna y compleja infraestructura, pagando solamente por lo que realmente utilizan, eliminando así gastos en infraestructura innecesaria.

Plan de Gestión de Crisis

El plan de gestión de crisis es una herramienta que permite actuar de la manera más rápida y eficaz a la hora de sufrir una crisis. Ésta recoge las posibles causas de crisis que se pueden dar en la empresa, los modos de actuación o cómo reaccionar, qué debemos transmitir a la hora de sufrir una crisis y a qué público dirigirnos.

Este plan se basa en manejar una serie de estrategias para tratar de neutralizar la crisis, haciendo uso de la técnica de las  5 R´s como se muestra en el siguiente diagrama, el cual es un mecanismo evolutivo para tratar de disminuir las consecuencias, e impedir que las crisis se llegue a tomar el control.

Un plan de gestión de crisis debe contemplar el cumplimiento, una completa preparación, un excelente manejo de los recursos y hacer uso de la gestión de la información, para poder manejar los aspectos críticos de esta como lo son:

–       La coordinación eficaz de las actividades dentro de las organizaciones

–       La alerta temprana y las instrucciones claras a todos los interesados, si se produce una crisis.

–       Evaluación continua de las consecuencias reales y potenciales de la crisis.

–       La continuidad de las operaciones comerciales durante e inmediatamente después de la crisis.

Los Exploit’s

Es un programa o técnica que aprovecha una vulnerabilidad. Los exploits dependen de los sistemas operativos y sus configuraciones, de las configuraciones de los programas que se están ejecutando en un computador y de la LAN donde están. Hay muchos tipos de vulnerabilidades.

Puede haber un error en la configuración del servicio o bien un error en la programación del servicio.

Tipos de exploits

Forma Local (exploit local): es el caso en el que se tiene un entorno interactivo (una shell, por ejemplo). Para ejecutar un exploit de forma local hay que tenerlo en la máquina y luego subirlo.

Forma Remota (exploit remoto): se ejecuta de la máquina en la cual se esta probando el bug/vulnerabilidad que existe en otra máquina remota, aprovechando algún servicio que tenga conexión a la red y por consiguiente que tenga la vulnerabilidad que se está estudiando

Recursos de TI

Los recursos de TI son todos aquellos insumos manejados por los procesos de TI para cumplir con los requerimientos del negocio, estos recursos son:

– Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.

– Información: Son los datos en todas sus formas, de entrada, procesados y generados por los sistemas de información, en cualquier forma en que sean utilizados por el negocio.

-La infraestructura: Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

-Las personas: Es todo el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

Generalidades de COBIT

La orientación a negocios es el tema principal de COBIT. Está diseñado para ser utilizado no sólo por proveedores de servicios, usuarios y auditores de TI, sino también y principalmente, como guía integral para la gerencia y para los dueños de los procesos de negocio. Para ello hace uso de sus 4 dominios de la siguiente forma:

-Planear y organizar (PO): Se establece una dirección de la forma en que se deben entregar los servicios de acuerdo a los recursos de TI, de igual forma para la administración de los proyectos y de la calidad.
PO1 Definir un Plan Estratégico de TI
PO2 Definir la Arquitectura de la Información
PO3 Determinar la Dirección Tecnológica
PO4 Definir los Procesos, Organización y Relaciones de TI
PO5 Administrar la Inversión en TI
PO6 Comunicar las Aspiraciones y la Dirección de la Gerencia
PO7 Administrar Recursos Humanos de TI
PO8 Administrar la Calidad
PO9 Evaluar y Administrar los Riesgos de TI
PO10 Administrar Proyectos

-Adquirir e Implementar (AI): Se requiere de una apropiación global de todos los servicios que se van a entregar a los usuarios finales

AI1 Identificar soluciones automatizadas
AI2 Adquirir y mantener software aplicativo
AI3 Adquirir y mantener la infraestructura tecnológica
AI4 Facilitar la operación y el uso
AI5 Adquirir recursos de TI
AI6 Administrar Cambios
Ai7 Instalar y acreditar soluciones y cambios

-Entregar y dar Soporte (DS) : Siempre que se requiera se deben poder corregir las eventualidades que pudiesen suceder para mantener disponibles los servicios.
DS1 Definir y administrar los niveles de servicio
DS2 Administrar los servicios de terceros
DS3 Administrar el desempeño y la capacidad
DS4 Garantizar la continuidad del servicio
DS5 Garantizar la seguridad de los sistemas
DS6 Identificar y asignar costos
DS7 Educar y entrenar a los usuarios
DS8 Administrar la mesa de servicio y los incidentes
DS9 Administrar la configuración
DS10 Administrar los problemas
DS11 Administrar los datos
DS12 Administrar el ambiente físico
DS13 Administrar las operaciones

-Monitoreo y evaluación (ME): Se debe realizar un monitoreo a los servicios entregados para realizar retroalimentaciones para cumplir con los objetivos empresariales y se debe mantener una medición de los indicadores de estos

ME1 Monitorear y Evaluar el Desempeño de TI
ME2 Monitorear y Evaluar el Control Interno
ME3 Garantizar el Cumplimiento Regulatorio
ME4 Proporcionar Gobierno de TI

Fases del proceso de auditoria

Planeación: Se realiza un análisis de la razón de ser de la organización que será auditada, se selecciona y se presenta el grupo de auditores que están en el proceso, se instaura el tipo de auditoría que se va a implementar, se establece el cronograma de trabajo y se desarrollan las guías de auditoria

Ejecución de la auditoria: Se establecen los criterios del auditor(objetividad, ética, confidencialidad, conocimiento del tema, responsabilidad, autonomía, no tener intereses personales) para luego empezar a utilizar las guías de auditoria y comenzar a recoger las observaciones, responsables, evidencias.

Presentación de resultados (Informe):Se establece la manera en que se deben presentar las observaciones encontradas a la entidad auditada, como lo es la estructura del informe en cuanto al contenido, presentación, la forma de archivar las evidencias y todos los documentos resultantes durante el proceso de auditoría

Recomendaciones: Se establecen las recomendaciones necesarias para proximas auditorias, para que no vuelvan a ocurrir las mismas eventualidades.