Sistemas de Información

Slides:



Advertisements
Presentaciones similares
Auditorías - ISO Fecha: Jornada UNED.
Advertisements

Reunión de las Comisiones Sectoriales de la CRUE: TICs y Secretarios Generales Universidad de Córdoba, 12 y 13 de Marzo de 2009 Juan Ignacio Ferraro García.
ISO 9004:2000 ENFOQUE A PRECESOS.
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
Unidad III Sistemas de gestión de la calidad ISO 9000
Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.
Comprimido ARCHIformativo
La Necesidad de un Ambiente Eficaz de Controles Generales de TI
GTT - Gestión del Tiempo de Trabajo
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
El Proceso de la Auditoría - ISO
FEBRERO OBJETIVO DE LA SESIÓN Dar una panorama general del contenido del Manual de Planeación de la Calidad, el cual da cumplimiento a la norma.
Medición, Análisis y Mejora
Republica Bolivariana de Venezuela U.G.M.A 7mo semestre Ing. Sistema
Aseguramiento Calidad
Base de Datos Relacional.
Metodologías de control interno, seguridad y auditoría informática
AUDITORIA DE SISTEMAS DE INFORMACIÓN
LA FUNCION INFORMATICA
Gestión de Activos/Infraestructura y su Mantenimiento en el Sector Público
SISTEMAS DE GESTIÓN DE LA ENERGÍA Aportes de la nueva Norma UNIT-ISO 50001 a la mejora del desempeño energético.
SISTEMA DOBLE INTEGRADO
AUDITORÍAS INTERNAS A SISTEMAS DE GESTIÓN
! USTED ES IMPORTANTE PARA NUESTRA ENTIDAD ¡
GESTIÓN INTEGRADA DE CALIDAD
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
LOPD, PROBLEMÁTICA Y ACCIONES CORRECTIVAS
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
Es fundamental para las estrategias de la compañía : Planeación, Control, Seguridad y Reducción de Costos Involucrados en los Sistemas de Información La.
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
DIRECTRICES PARA LA MEJORA DEL DESEMPEÑO
Infonova Consultores q uick a pplication d esign & d evelopment - Presentación de Producto - Versión 2.0.
1 Master Universitario en Gestión Integral de las Tecnologías de la Información Modulo 7: Gestión de la Calidad Tema 6: Ciclo de Vida de Calidad de un.
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
Plan de Sistemas de Información (PSI)
Ing. Sergio León Maldonado
Análisis y diseño detallado de aplicaciones informáticas de gestión
Acciones Correctivas Preventivas Mejora
DOCUMENTACIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD
VISIÓN GENERAL DE LA IS Con independencia del modelo de proceso hay tres fases genéricas: Fase de definición Fase de desarrollo Fase de mantenimiento Cada.
Estudio de Viabilidad del Sistema (EVS)
“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.
COBIT KARYL LARA N.. ENTREGA Y SOPORTE A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales.
35 años de investigación, innovando con energía 1 Mayo, 2012 P LAN DE ASEGURAMIENTO DE LA CALIDAD DEL DESARROLLO DE SOFTWARE E STÁNDAR IEEE 730 Y G UÍA.
El art. 24 del Reglamento de Medidas de Seguridad. La perspectiva de Oracle como fabricante de software y la experiencia en la Junta de Castilla y León.
AUDITORIAS EN SISTEMA DE GESTION INTEGRADA
Fecha: 2/9/98 99CAES012_00.POT IMPLANTACIÓN DE UN MODELO DE CALIDAD MODELO DE CALIDAD OR G A N I Z AC I Ó N MODELO DESARROLLO CLIENTE TECNOLOGÍATECNOLOGÍA.
Sistema de Gestión de Calidad - Principios -
CERTIFICACIÓN ISO 9001.
Ciclo de vida de un sistema
Roles de Open UP.
AUDITORIA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA.
Organización para la calidad.
Introducción al proceso de verificación y validación.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
Jefe del Sistema de Gestión de la Calidad y Ecoeficiencia
AUDITORÍAS MEDIOAMBIENTALES
Elementos Conceptuales de proyectos: ¿Qué es un proyecto
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
VI. EVALUACIÓN DE LOS RECURSOS
Identificación de entradas, salidas y herramientas de procesos de gestión del PMI Jairo A. Orozco L.
Planificación de Sistemas de Información
Transición del Sistema de Gestión Integrado de los Requisitos de la Norma NTC ISO 9001:2008 a los Requisitos de la Norma NTC ISO 9001:2015 Febrero de 2016.
Lic. Christian García Sección 15 D Prof: Deyanireth Duarte Gerencia de la Calidad y Productividad.
VERIFICACIÓN Y VALIDACIÓN DE SISTEMAS 3.10 Fase de manejo de requerimientos 4.1 Modelado de pruebas en UML Ponente: ing. Alejandro tapia vazquez.
UNIVERSIDAD AUTONOMA SAN FRANCISCO GESTION DE CALIDAD I Ing. Maria del Pilar Vera Prado.
Transcripción de la presentación:

Seguridad Un caso real sobre Gestión de identidades Madrid, Marzo de 2.006 Juan Ignacio Gordon www.es.capgemini.com

Sistemas de Información Contexto 12E34H5 NEGOCIO Sistemas de Información Seguridad Clientes Empleados intranet Empleados Exterior Colaboradores Administradores Auditores

¿Cómo está mi gestión de identidades? Seguridad Normativa ISO 17799, SOX, Basel II Políticas Cumplimiento legal LOPD Gestión de identidades ¿Qué riesgos estoy asumiendo? Sistemas Aplicaciones Plataformas Infraestructura ¿Quién tiene acceso? ¿A dónde accede? ¿Puedo auditar el sistema? ¿Puedo crecer….? ¿Cuánto me cuesta? ¿Cuánto me costará…?

Metodología: Dónde y cómo pueden mejorar. Qué puedo esperar del cambio Generar hipótesis que guíen el análisis Recoger información Comparar con mejores prácticas Analizar y realizar diagnóstico Identificar y cuantificar las oportunidades Definir soluciones y modelo futuro Calcular y validar los beneficios Priorizar y definir el plan de acción Resultados clave de un proyecto A&D Hipótesis Diagnóstico Mejores prácticas Oportunidades de mejora Estrategia Modelo Políticas Soluciones Análisis de riesgos Análisis As-Is Diseño To-Be Desarrollo de capacidades Programa de Cambio Recomendaciones Lógica Planificación Recursos Responsabilidades Beneficios Costes

Situación de partida: Resúmen Fortalezas Existen políticas de seguridad correctas y extendidas Se han desarrollado normas, procedimientos y órdenes de trabajo adecuadas y de obligado cumplimiento Se cumple con la legalidad LOPD Existen controles Debilidades Existe gran dificultad para implantar y aplicar las políticas Es muy difícil y costoso ejercer la actividad de control Se actúa siempre a reacción No es posible hacer previsiones realista La gestión es muy costosa e ineficiente El mantenimiento (técnico y legal) es más difícil cada día y no guarda proporción con los resultados obtenidos

Debilidades encontradas Gestión Ineficacia / costes Gran complejidad Distintos puntos de entrada de la información sin interrelacionar Distintos usuarios y contraseñas para un mismo recurso Diferentes interfaces de administración según sistema Entrada de datos manual. Repetición de operaciones por error Incumplimiento de Políticas (atributos sin normalizar) Alto volumen de cuentas y atributos Alto porcentaje de cuentas sin conciliar (huérfanas) Sincronización de la información muy compleja (scripts). No se utilizan las posibilidades tecnológicas en la automatización e información de los procesos (Workflows, e-mail, mensajes, web, …) Coste alto de Administración Número alto de incidencias en CAU Imposibilidad de aplicar diferentes políticas Imprescindible presencia física de administradores o responsables para la realización de las funciones Mucho tiempo de espera en las altas y descontrol en las bajas Incapacidad de ejercer control de acceso y Auditoría Evolución difícil (cuantos más servicios mayor complejidad y coste exponencial) Procesos actuales de sincronización 36 procesos de carga más de la mitad con 2 o 3 subprocesos Aproximadamente 100 atributos / campos para un esquema global Una media de 20 atributos por proceso Necesidad de desarrollar aplicación web con diversos interfaces Estimación esfuerzo inicial 32 meses hombre a realizar en 8 meses

Requisitos Cumplimiento legal Eficacia Gestión Obtención de las listas de usuarios y permisos Automatizar los cambios periódicos de contraseñas Asegurar la correcta definición de las cuentas según política de seguridad Asegurar el acceso correcto a los datos según perfiles profesionales Controlar el acceso a los sistemas y registro Controlar el uso adecuado de los identificadores Amplio control de acceso y Auditoría Utilizar la tecnología actual para facilitar la comunicación Liberar de actividad rutinaria a perfiles de administración por la utilización de interfaces únicas de Gestión Reducir drásticamente las incidencias debidas a cambios de contraseñas. Incremento del autoservicio Potenciar la aplicación extensiva de las políticas y el control de aplicación Desarrollo al máximo de la Gestión basada en WorkFlow (ciclo de validación) Altas inmediatas para los valores estándar. Bajas automáticas Facilitar los nuevos desarrollos en el marco común Un solo punto de entrada, una interfaz única y basada en Web Usuarios personales Unificación y sincronización de la información automática Minimizar las entradas manuales potenciando los valores por defecto Normalización de atributos y nombres Procedimientos automáticos de conciliación de cuentas Posibilitar la delegación de funciones Conciliación de cuentas

Modelo de procesos candidatos muy complejos BUSINESS OBJECTS LDAP LDAP SAVVION NAMES Notes RRHH ACI Centro Información MACROCARGA Notes MADN TA Solicitudes al PSEUDOREPLICA Altas y Modificaciones NAMES2 Réplica Notes 2a 2b 1 3 x1 7 11 13 4 9x 11v 10v UPDATELD NAMES Notes RRHH ACI Centro Información MACROCARGA Notes MADN TA Solicitudes al SOLICITUDES PSEUDOREPLICA Altas y Modificaciones NAMES2 Directorios intranet Réplica Notes 2a 2b 1 3 x1 6 11 8s 9s 10s 11s 13 4 9x 11v 10v DIRECTORIO INTRANET RRHH ACI 1 2a MACROCARGA Notes Solicitudes al MADN 3 3 1 2b Notes MADN Notes 11v 8s 9s 10s 11s 4 SOLICITUDES PSEUDOREPLICA Notes por fichero FTP 10v 11v Notes Modificaciones Altas 10 9 LWPS Business Objects NAMES2 Notes CI Notes 14 Modificaciones 11 13 Réplica Notes 9c NAMES UDB Notes BBDD LWPS por fichero FTP BBDD LWPS UDB NAMES Notes RRHH ACI Centro Información MACROCARGA Notes MADN TA Solicitudes al SOLICITUDES PSEUDOREPLICA Altas y Modificaciones Business Objects LWPS NAMES2 CI Modificaciones Réplica Notes Altas 2a 2b 1 3 x1 11 10 9 8s 9s 10s 11s 13 4 9x 11v 10v 9c LG SPACE NAMES Notes RRHH ACI Centro Información MACROCARGA Notes MADN TA Solicitudes al SOLICITUDES PSEUDOREPLICA NAMES2 Learning Space Réplica Notes 2a 2b 1 3 x1 8 11 8s 9s 10s 11s 13 4 9x 11v 10v NAMES Notes RRHH ACI Centro Información MACROCARGA Notes MADN TA Solicitudes al SOLICITUDES PSEUDOREPLICA NAMES2 Réplica Notes 2a 2b 1 3 x1 11 8s 9s 10s 11s 13 4 9x 11v 10v 14 Modificaciones

Estudio primera alternativa Generar hipótesis que guíen el análisis Recoger información Comparar con mejores prácticas Analizar y realizar diagnóstico Identificar y cuantificar las oportunidades Definir soluciones y modelo futuro Calcular y validar los beneficios Priorizar y definir el plan de acción PROPUESTA: Alternativa 1. Inicio. Abstracción de orígenes de información para sincronización 1.1.- Altas de empleados y colaboradores externos desde las fuentes origen (RRHH,…) 1.2.- Datos que han sido procesados por L.Notes 1.3.- Desarrollo de formularios en entorno web para peticiones de altas o modificaciones. Abstracción de destinos desde el repositorio central 1.- Procesos de salida desde repositorio central hacia al resto de fuentes 2.- Resto de procesos (dentro del entorno Lotus Notes), se consideran internos al propio sistema Lotus Notes. Fuente: Capgemini Delivery

Primera alternativa REPOSITORIO ÚNICO METADirectorio *1 *3 *2 CI Centro Información MACROCARGA Notes UPDATELD Notes Learning Space Leyenda Agentes de transformación Repositorios de información BBDD DB2/UDB NAMES2 ACI RRHH Solicitudes al MADN Savvion LDAP Directorios intranet Tlf. Móviles SOLICITUDES 8s 9s 10s 11s NAMES TA x1 9x PSEUDOREPLICA BBDD LWPS UDB LWPS REPOSITORIO ÚNICO METADirectorio Business Objects CI 1 2a 2b 3 4 6 7 8 9 9c 10 14 10v 11 11v 13 12 Aplicaciones sincronizadas vía metadirectorio TlfosMóviles Formularios a mantener en entorno web *1 *3 *2

Insuficiente alcance respecto al modelo futuro Gestión de Identidades Admón. Usuarios METADIREC. VIRTUAL METADIRECTORIO ? ? ? ? ? ? ? ? Directorio Centralizado Múltiples Directorios Provisión de usuarios Directorios Virtuales Políticas basadas en provisión Políticas de seguridad Procesos de flujo de trabajo Gestión de Identidades delegada Autoservicio de usuarios Join Engine verificación

Propuesta ajustada al modelo: Nuestro objetivo Fase I: Gestión de identidades con Tivoli Identity Manager (TIM) Fase II: Web Single Sign On: Por decidir Fase III: Single Sig On: Actualmente no contemplado Fuente: IBM WorkFlow Gestión de políticas Gestión de Identidades Cuentas de Usuario Gestión de Contraseñas Sincronización de Datos Informes Auditoría Gestión de Listas

Muchas Gracias por su atención

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.