Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la Administración de Datos del Área de Tecnología de Información de la empresa Grupo Mutual Alajuela
Estimados usuarios. Bienvenidos a nuestro sitio virtual de la UNIVERSIDAD MAGISTER en Slide Share donde podrá encontrar los resultados de importantes trabajos de investigación prácticos producidos por nuestros profesionales. Esperamos que estos Mares Azules que les ponemos a su disposición sirvan de base para otras investigaciones y juntos cooperemos en el Desarrollo Económico y Social de Costa Rica y otras latitudes. Queremos ser enfáticos en que estos trabajos tienen Propiedad Intelectual por lo que queda totalmente prohibida su reproducción parcial o total, así como ser utilizados por otro autor, a excepción de que los compartan como citas de autor o referencias bibliográficas. Toda esta información también quedará a su disposición desde nuestro sitio web www.umagister.com, Disfruten con nosotros de este magno contenido bibliográfico Magister esperando sus amables comentarios, no sin antes agradecer a nuestro Ing. Jerry González quien está administrando este sitio. Rectoría, Universidad Magister. – 2015.
Semelhante a Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la Administración de Datos del Área de Tecnología de Información de la empresa Grupo Mutual Alajuela
Semelhante a Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la Administración de Datos del Área de Tecnología de Información de la empresa Grupo Mutual Alajuela (20)
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la Administración de Datos del Área de Tecnología de Información de la empresa Grupo Mutual Alajuela
1. UNIVERSIDAD MAGÍSTER
FACULTAD DE INGENÍERIA DE SISTEMAS
CARRERA DE LICENCIATURA EN INGENIERÍA DE SISTEMAS
TESIS PARA OPTAR AL GRADO DE LICENCIATURA EN INGENIERÍA DE SISTEMAS
SETIEMBRE, 2015
2. Análisis e implementación de las mejores prácticas
basadas en Cobit para la administración de datos del
área de Tecnologías de Información de la empresa Grupo
Mutual Alajuela
Ing. Yuliana Murillo Valenciano
4. Introducción
• Este proyecto consiste en la implementación del proceso DS11 de
Cobit en el área de Tecnologías de Información de la empresa Grupo
Mutual Alajuela.
• El objetivo principal de la investigación es cumplir con las mejores de
prácticas de Cobit para la administración de los datos. Lo anterior para
cumplir con la disposición de Sugef en el acuerdo 14-09, “Reglamento
sobre la Gestión de Tecnologías de Información”.
5. Objetivo General
Analizar el procedimiento actual de la
administración de los datos en el Departamento
de TI de la empresa Grupo Mutual Alajuela para
que se implemente el proceso DS11 de
Cobit basado en las mejores prácticas de control
de la información
7. Marco Institucional
• Grupo Mutual Alajuela La Vivienda
• Mutual Valores Puesto de Bolsa S.A
• Mutual Seguros S.A
• Mutual Sociedad de Fondos de
Inversión S.A
• Mutual Leasing S.A
Grupo Mutual Alajuela
8. Marco Metodológico
Tipo de
Investigación
• Cuantitativo
• Población Oficinas Centrales
Fuentes de
Investigación
• Fuentes Primarias
• Fuentes Secundarias
• Fuentes Terciarias
Instrumentos
de Recolección
• Encuesta
• Observación
Población
• Colaboradores de Grupo Mutual
Muestra
• Algunos Colaboradores de las áreas de Oficinas
Centrales
• Colaboradores de la DTI.
9. Variables
VARIABLES
OBJETIVO 1
Variable 1 Procedimiento para almacenamiento de datos
OBJETIVO 2
Variable 1 Procesos de eliminación de la información
OBJETIVO 3
Variable 1 Acceso a datos sensitivos
Variable 2 Mecanismos de la seguridad de Información física y lógica
OBJETIVO 4
Variable 1 Inventario de Medios
Variable 2 Garantía de la Integridad
10. Análisis y Presentación de Resultados
53%
47%
Sí No
GRÁFICO N° 1
PROCEDIMIENTO PARA LA
ADECUADA ADMINISTRACIÓN DE
DATOS
11. Análisis y Presentación de Resultados
GRÁFICO N° 5 PROCEDIMIENTOS DE RENTABILIDAD E
INTEGRIDAD PARA EL ALMACENAMIENTO E
INTEGRIDAD DE LOS DATOS
0%
27%
53%
13%
7%
Excelente Bueno Regular Malo Pésimo
GRÁFICO N° 3 PROCEDIMIENTO DE VERIFICACIÓN DE
CINTAS DE RESPALDO
0%
13%
40%
40%
7%
Excelente Bueno Regular Malo Pésimo
12. Análisis y Presentación de Resultados
Sí
33%
No
67%
Sí No
GRÁFICO N° 9 RESTAURACIÓN DE
CONFIGURACIONES POR PARTE DEL ÁREA DE
INFRAESTRUCTURA
Sí
13%
No
87%
Sí No
GRÁFICO N° 13 PROCEDIMIENTO PARA LA
ELIMINACIÓN DE DATOS DE EQUIPOS QUE SE
VENDEN O DESECHAN DE TI
13. Análisis y Presentación de Resultados
0%
100%
Sí No
GRÁFICO N° 15 ACTIVIDADES DE CONTROL PARA
MITIGAR EL RIESGO DE UN MEDIO NO VERIFICADO
14. ETAPA
COSTO HORA /
HOMBRE(Colones)
TOTAL HORAS
COSTO
TOTAL
(Colones)
COSTO TOTAL
(Dólares)
Análisis 18,223.03 120 2.186.763,6 4.092,77
Documentación 18,223.03 80 1.457.842,4 2.728,51
Implementación 48, 525.60 640 31.056.384 58.125.37
Total 840 34.700.990 64.946,64
Fuente. Murillo, Juliana (2015).
Nota. Se utilizó el tipo de cambio del Banco Central de Costa Rica al día 20/08/2014, la compra en 534,30 colones por cada dólar.
Cuadro N° 16 COSTOS ECONÓMICOS DEL ANÁLISIS
Análisis y Presentación de Resultados
15. Conclusiones
OBJETIVO 1
Variable 1
Procedimiento para
almacenamiento
de datos
La Dirección de TI cuenta con un procedimiento para el almacenamiento y
conservación de los datos, no obstante no se logran evidenciar los requisitos
del negocio para el almacenamiento de datos.
OBJETIVO 2
Variable 1
Procesos de
eliminación de la
información
La eliminación de datos de los medios de respaldo se realiza según la normativa
actual, sin embargo no existen registros donde se demuestre que se han
borrado o eliminado los datos de los equipos o medios vendidos o desechados.
OBJETIVO 3
Variable 1
Acceso a datos
sensitivos
la Dirección de TI no ha considerado mecanismos de control para el
almacenamiento, conservación y acceso a la información sensitiva utilizada para
la encripción y autenticación.
16. OBJETIVO 4
Variable 1
Inventario de
Medios
Existe un inventario manual en un documento de Excel de las
cintas de los respaldos que se realizan actualmente, sin
embargo no es automatizado ni se actualiza constantemente
por lo que no es 100% confiable.
Variable 2
Garantía de la
Integridad
Existe un procedimiento para verificar las cintas de respaldo,
pero no se corroboran documentos referentes a la
rentabilidad, integridad, disponibilidad y confidencialidad de
los datos.
Conclusiones
Variable 2
Mecanismos de la
seguridad de
Información física
y lógica
Se evidencia la carencia de mecanismos de seguridad y
actividades de control para mitigar riesgos de pérdida o robo
de información.
17. Recomendaciones
OBJETIVO 1
Variable 1
Procedimieto para
almacenamiento de datos
Se recomienda definir, documentar y aprobar en conjunto con
la administración, los requisitos de confidencialidad, integridad
y disponibilidad de los datos según las necesidades del negocio
para mejorar el Procedimiento del almacenamiento de los
datos.
OBJETIVO 2
Variable 1
Procesos de eliminación de
la información
Documentar los resultados de las pruebas realizadas a los
medios borrados o eliminados, las cuales garanticen que estos
no puede recuperarse.
OBJETIVO 3
Variable 1 Acceso a datos sensitivos
Establecer mecanismos de control para el almacenamiento,
conservación y acceso de información sensible utilizada para
encripción y autenticación.
18. Variable 2
Mecanismos de la seguridad
de Información física y
lógica
Establecer actividades de control que permitan mitigar el
riesgo de que un medio no verificado no funcione cuando se
requiera.
OBJETIVO 4
Variable 1 Inventario de Medios
Adquirir o desarrollar un sistema de Inventario adecuado
para el manejo de las cintas de respaldo.
Variable 2 Garantía de la Integridad
Incluir dentro de los procedimientos la rentabilidad e
integridad para el almacenamiento y conservación de los
datos.
Recomendaciones
21. Paquete Documental
• 6P18, PROCEDIMIENTO DE LA ADMINISTRACIÓN DE LOS DATOS
• 6I151, SOLICITUD Y APROBACIÓN DE RESPALDOS
• 6I152, ALMANCENAMIENTO DE RESPALDOS
• 6I153, VERIFICACIÓN DE R ESPALDOS
• 6I154, RESTAURACIÓN DE RESPALDOS
• 6I155, DESTRUCCIÓN DE MEDIOS DE RESPALDO
• 6I117, ADMINISTRACIÓN Y CUSTODIA DE CINTAS DE RESPALDO
• 6F151, SOLICITUD Y APROBACIÓN DE RESPALDOS
• 6F152, VERIFICACIÓN DE RESPALDOS
• 6F153, VERIFICACIÓN DE RESPALDOS BD
• 6F154, RESTAURACIÓN DE RESPALDOS
• 6F155, ELIMINACIÓN DE DATOS Y MEDIOS DE RESPALDO
• 6F201, BITÁCORA DE RESPALDOS Y CINTAS
• 6F292, INVENTARIOS DE CINTAS DE RESPALDO
• 6F293, ETIQUETA DE CINTAS DE RESPALDO
22. Oficinas Centrales Centro Alterno
Switch de SAN Brocade Switch de SAN Brocade
Servidor Master
de Netbackup
Servidor Media
de Netbackup
Servidor Media
de Netbackup
Granja de Servidores
Producción
Unidad de Cintas de 2
Bahías
Librería de Respaldos en
Cinta
Servidor Media
de Netbackup
¿Cómo se realizaban los respaldos antes de la implementación
del DS11?
23. Oficinas Centrales Centro Alterno
Switch de SAN Brocade
Servidor Master
de Netbackup
Granja de Servidores
Producción
Unidad de Cintas de 2 Bahias
Librería de Respaldos en Cinta
Servidor Media
de Netbackup
Discos del
Compellent
10TB
Discos del
Compellent
6 TB
Replicación
Servidor Media
de Netbackup
Servidor Master
de Netbackup
Switch de SAN Brocade
¿Cómo se realizan los respaldos actualmente en Grupo Mutual?
Buenos Días jurado y publico presente, voy a dar inicio con la defensa de la tesis para optar por el grado de licenciatura
La cual se titula
Los contenidos que voy a desarrollar son los siguientes: una breve introducción
Consiste
El objetivo principal de esta investigación es umplir
Definir los procedimientos de datos para que los mismos permanezcan accesibles y utilizables
Describir los proceso de eliminación de la información para que se prevenga el acceso a datos sensitivos y al software desde equipos o medios una vez eliminados o transferidos para otro uso
Identificar los mecanismos de seguridad en el procesamiento, almacenamiento físico y entrega de información y de mensajes sensitivos
Diseñar un inventario de medios en sitio que garantice su integridad y uso en la revisión oportuna y seguimiento de las discrepancias que se perciban
Esta investigación se desarrollo en la empresa Grupo Mutual Alajuela la cual es ….
Ley del Sistema Financiero Nacional para la Vivienda
Esta investigación tiene un enfoque Cuantitativo dirigido a la población
1. Se logra evidenciar mediante el gráfico N°1 que existe un procedimiento para la Administración de datos pero el mismo no cumple con los requisitos del negocio por lo que es necesario implementar el proceso DS11
Claramente podemos notar en los gráficos N°3,5,9 y 13 que existen procesos de verificación, almacenamiento, restauración y eliminación de datos, sin embargo los mismos no se encuentran normados ni cumplen con las disposiciones mínimas de las mejores prácticas.
67% de los encuestados indica que no existe restauración de configuraciones
Y el 87 dijo que no existen un proceso adecuado de la eliminación de los datos de los equipos que se venden o se desechan
Y en el grafico N°15 podemos visualizar que el 100% de los encuestados indica que no existen actividades ni mecanismos de control para mitigar los riesgos de un medio no verificado.
El costo económico se basa en 3 etapas: Análisis que tuvo una duración de 120 horas para un costo total de 2 millones 186 mil 764 colones
Documentación: que tuvo una duración de 80 horas para un costo de 1 millón 457 mil 843 colones
Y la implementación que tuvo un duración de 640 horas para un costo de 31 millones 56 mil 385 colones para un costo total de 43 millones 700mil 990 colones
Conservación de los mensajes y reportes
Se considera que en este caso Grupo Mutual Alajuela es beneficiada directamente en el aspecto económico al lograr un ahorro significativo en el análisis, documentación e implementación del proceso de ₡34.700.990 colones
La implementación de los procesos de Cobit ha sido tomada con gran aceptación primeramente por la Junta Directiva y Gerencia de la empresa y en segundo lugar por los departamentos y colaboradores en general. Esto permitirá cumplir con las disposiciones tanto de Sugef como de la auditoría interna.
Este es el paquete documental desarrollado durante la tesis, el 6p18 es el documento que contiene de forma macro la descripción del proceso de la adm de datos
De el se derivan 6 instructivos
Además de 8 bitácoras y formularios para evidenciar que los procedimientos se estén cumpliendo según lo estipulado
Los respaldos están centralizados solo en Oficinas Centrales
Se tomaba mucho tiempo para realizar o recuperar un respaldo porque se realizaban en cintas
No se contaba con alta disponibilidad
En centro alterno solo se podían recuperar 2 respaldos al mismo tiempo y solo de manera manual
Existían respaldos de producción que se realizaban en horas hábiles
de la propuesta tenemos dos esquemas de respaldos:
Ahora Grupo Mutual cuenta como minimo con un respaldo en Oficinas Centrales y otro en el centro alterno
El tiempo para realizar y recuperar un respaldo se redujo hasta en un 70%
Se puede recuperar cualquier respaldo del centro alterno como si estuviéramos en Oficinas centrales de forma automática
Los respaldos de producción se realizan en horas no hábiles para no afectar la operativa diaria
Conclusiones
Se cuenta con una plataforma más confiable
Se optimizaron los procesos para evitar el error humano
Se cumple con las recomendaciones de auditoria intena y Sugef al implementar Cobit.