View
330
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD MAGÍSTERFACULTAD DE INGENÍERIA DE SISTEMAS
CARRERA DE LICENCIATURA EN INGENIERÍA DE SISTEMAS
TESIS PARA OPTAR AL GRADO DE LICENCIATURA EN INGENIERÍA DE SISTEMAS
SETIEMBRE, 2015
Análisis e implementación de las mejores prácticas basadas en Cobit para la administración de datos del área de Tecnologías de Información de la empresa Grupo Mutual Alajuela
Ing. Yuliana Murillo Valenciano
ContenidosIntroducciónObjetivo GeneralObjetivos EspecíficosMarco TeóricoMarco MetodológicoAnálisis e Interpretación de ResultadosConclusiones y RecomendacionesImpactosPropuesta
Introducción • Este proyecto consiste en la implementación del proceso DS11 de
Cobit en el área de Tecnologías de Información de la empresa Grupo Mutual Alajuela.
• El objetivo principal de la investigación es cumplir con las mejores de prácticas de Cobit para la administración de los datos. Lo anterior para cumplir con la disposición de Sugef en el acuerdo 14-09, “Reglamento sobre la Gestión de Tecnologías de Información”.
Objetivo General Analizar el procedimiento actual de la administración de los datos en el Departamento de TI de la empresa Grupo Mutual Alajuela para que se implemente el proceso DS11 de Cobit basado en las mejores prácticas de control de la información
Objetivos Específicos Procedimientos
de Almacenamiento
Procesos de Eliminación
Inventario de Medios
Mecanismos de Seguridad
Marco Institucional
• Grupo Mutual Alajuela La Vivienda• Mutual Valores Puesto de Bolsa S.A• Mutual Seguros S.A• Mutual Sociedad de Fondos de
Inversión S.A• Mutual Leasing S.A
Grupo Mutual Alajuela
Marco MetodológicoTipo de
Investigación
• Cuantitativo• Población Oficinas Centrales
Fuentes de Investigación
• Fuentes Primarias• Fuentes Secundarias• Fuentes Terciarias
Instrumentos de Recolección
• Encuesta• Observación
Población• Colaboradores de Grupo Mutual
Muestra
• Algunos Colaboradores de las áreas de Oficinas Centrales
• Colaboradores de la DTI.
VariablesVARIABLES
OBJETIVO 1
Variable 1 Procedimiento para almacenamiento de datos
OBJETIVO 2
Variable 1 Procesos de eliminación de la información
OBJETIVO 3
Variable 1 Acceso a datos sensitivos
Variable 2 Mecanismos de la seguridad de Información física y lógica
OBJETIVO 4
Variable 1 Inventario de Medios
Variable 2 Garantía de la Integridad
Análisis y Presentación de Resultados
53%47%
Sí No
GRÁFICO N° 1
PROCEDIMIENTO PARA LA ADECUADA ADMINISTRACIÓN DE DATOS
Análisis y Presentación de Resultados
GRÁFICO N° 5 PROCEDIMIENTOS DE RENTABILIDAD E INTEGRIDAD PARA EL ALMACENAMIENTO E INTEGRIDAD DE LOS DATOS
27%
53%
13%
7%
Excelente Bueno Regular Malo Pésimo
GRÁFICO N° 3 PROCEDIMIENTO DE VERIFICACIÓN DE CINTAS DE RESPALDO
13%
40%
40%
7%
Excelente Bueno Regular Malo Pésimo
Análisis y Presentación de Resultados
Sí33%
No67%
Sí No
GRÁFICO N° 9 RESTAURACIÓN DE CONFIGURACIONES POR PARTE DEL ÁREA DE INFRAESTRUCTURA
Sí13%
No87%
Sí No
GRÁFICO N° 13 PROCEDIMIENTO PARA LA ELIMINACIÓN DE DATOS DE EQUIPOS QUE SE VENDEN O DESECHAN DE TI
Análisis y Presentación de Resultados
100%
Sí No
GRÁFICO N° 15 ACTIVIDADES DE CONTROL PARA MITIGAR EL RIESGO DE UN MEDIO NO VERIFICADO
ETAPACOSTO HORA /
HOMBRE(Colones) TOTAL HORAS
COSTO TOTAL
(Colones)
COSTO TOTAL (Dólares)
Análisis 18,223.03 120 2.186.763,6 4.092,77
Documentación 18,223.03 80 1.457.842,4 2.728,51
Implementación 48, 525.60 640 31.056.384 58.125.37
Total 840 34.700.990 64.946,64
Fuente. Murillo, Juliana (2015).Nota. Se utilizó el tipo de cambio del Banco Central de Costa Rica al día 20/08/2014, la compra en 534,30 colones por cada dólar .
Cuadro N° 16 COSTOS ECONÓMICOS DEL ANÁLISIS
Análisis y Presentación de Resultados
Conclusiones OBJETIVO 1
Variable 1Procedimiento para almacenamiento de datos
La Dirección de TI cuenta con un procedimiento para el almacenamiento y conservación de los datos, no obstante no se logran evidenciar los requisitos del negocio para el almacenamiento de datos.
OBJETIVO 2
Variable 1Procesos de eliminación de la información
La eliminación de datos de los medios de respaldo se realiza según la normativa actual, sin embargo no existen registros donde se demuestre que se han borrado o eliminado los datos de los equipos o medios vendidos o desechados.
OBJETIVO 3
Variable 1 Acceso a datos sensitivos
la Dirección de TI no ha considerado mecanismos de control para el almacenamiento, conservación y acceso a la información sensitiva utilizada para la encripción y autenticación.
OBJETIVO 4
Variable 1 Inventario de Medios
Existe un inventario manual en un documento de Excel de las cintas de los respaldos que se realizan actualmente, sin embargo no es automatizado ni se actualiza constantemente por lo que no es 100% confiable.
Variable 2 Garantía de la Integridad
Existe un procedimiento para verificar las cintas de respaldo, pero no se corroboran documentos referentes a la rentabilidad, integridad, disponibilidad y confidencialidad de los datos.
Conclusiones Variable 2
Mecanismos de la seguridad de Información física y lógica
Se evidencia la carencia de mecanismos de seguridad y actividades de control para mitigar riesgos de pérdida o robo de información.
RecomendacionesOBJETIVO 1
Variable 1 Procedimieto para almacenamiento de datos
Se recomienda definir, documentar y aprobar en conjunto con la administración, los requisitos de confidencialidad, integridad y disponibilidad de los datos según las necesidades del negocio para mejorar el Procedimiento del almacenamiento de los datos.
OBJETIVO 2
Variable 1 Procesos de eliminación de la información
Documentar los resultados de las pruebas realizadas a los medios borrados o eliminados, las cuales garanticen que estos no puede recuperarse.
OBJETIVO 3
Variable 1 Acceso a datos sensitivosEstablecer mecanismos de control para el almacenamiento, conservación y acceso de información sensible utilizada para encripción y autenticación.
Variable 2Mecanismos de la seguridad de Información física y lógica
Establecer actividades de control que permitan mitigar el riesgo de que un medio no verificado no funcione cuando se requiera.
OBJETIVO 4
Variable 1 Inventario de Medios Adquirir o desarrollar un sistema de Inventario adecuado para el manejo de las cintas de respaldo.
Variable 2 Garantía de la Integridad Incluir dentro de los procedimientos la rentabilidad e integridad para el almacenamiento y conservación de los datos.
Recomendaciones
Impactos
Económico Organizacional
Propuesta
Paquete DocumentalDiseño de la Propuesta
Paquete Documental• 6P18, PROCEDIMIENTO DE LA ADMINISTRACIÓN DE LOS DATOS• 6I151, SOLICITUD Y APROBACIÓN DE RESPALDOS• 6I152, ALMANCENAMIENTO DE RESPALDOS• 6I153, VERIFICACIÓN DE R ESPALDOS• 6I154, RESTAURACIÓN DE RESPALDOS• 6I155, DESTRUCCIÓN DE MEDIOS DE RESPALDO• 6I117, ADMINISTRACIÓN Y CUSTODIA DE CINTAS DE RESPALDO• 6F151, SOLICITUD Y APROBACIÓN DE RESPALDOS• 6F152, VERIFICACIÓN DE RESPALDOS• 6F153, VERIFICACIÓN DE RESPALDOS BD• 6F154, RESTAURACIÓN DE RESPALDOS• 6F155, ELIMINACIÓN DE DATOS Y MEDIOS DE RESPALDO• 6F201, BITÁCORA DE RESPALDOS Y CINTAS• 6F292, INVENTARIOS DE CINTAS DE RESPALDO• 6F293, ETIQUETA DE CINTAS DE RESPALDO
Oficinas Centrales Centro Alterno
Switch de SAN Brocade Switch de SAN Brocade
Servidor Master de Netbackup
Servidor Media de Netbackup
Servidor Media de Netbackup
Granja de Servidores Producción
Unidad de Cintas de 2 Bahías
Librería de Respaldos en Cinta
Servidor Media de Netbackup
¿Cómo se realizaban los respaldos antes de la implementación del DS11?
Oficinas Centrales Centro Alterno
Switch de SAN Brocade
Servidor Master de Netbackup
Granja de Servidores Producción
Unidad de Cintas de 2 Bahias
Librería de Respaldos en Cinta
Servidor Media de Netbackup
Discos del Compellent
10TB
Discos del Compellent
6 TB
Replicación
Servidor Media de Netbackup
Servidor Master de Netbackup
Switch de SAN Brocade
¿Cómo se realizan los respaldos actualmente en Grupo Mutual?
Muchas Gracias por su Atención!
Piensa bien…. Sé un Magíster