PLAN DE MEJORA TECNOLOGICA OPTIMIZACIÓN GESTIÓN DE ANÁLISIS DE RIESGOS
Enviado por Yoskarlys Espinoza • 25 de Junio de 2019 • Apuntes • 1.264 Palabras (6 Páginas) • 84 Visitas
Centro de Extensión de la Universidad José Antonio Páez
Universidad José Antonio Páez
Diplomado en Gerencia y Auditoría de los Sistemas de Información
PLAN DE MEJORA TECNOLOGICA
OPTIMIZACIÓN GESTIÓN DE ANÁLISIS DE RIESGOS
5° Módulo
Participantes:
Espinoza; Yoskarlys
Márquez F.; Jannette J.
15 de abril de 2018[pic 2]
Situación actual
Una empresa maneja su gestión de análisis de riesgos detectados en solicitudes de proyectos y/o requerimientos de sistemas de forma manual por medio de una matriz elaborada en excel, el cual crece exponencialmente debido al volumen de solicitudes que son asignadas por el Comité de Gestión de Demanda, generando que su administración sea complicada, lenta y la posibilidad de que dicha matriz sufra daños, se pierda información, carga de datos erróneos, descentralización de la información.
La empresa cuenta con recursos de hardware y software disponible, también personal de sistemas y tecnología calificado y con experiencia.
Determinar el problema
Debido a la importancia que tiene la información, la empresa necesita protegerla para asegurar que esté disponible cuando se necesite, que sea fiable y que su distribución esté controlada. Además, las nuevas tecnologías evolucionan apresuradamente y los riesgos crecen de forma exponencial con el paso del tiempo, poniendo en peligro la continuidad del negocio, maximizando los daños a la empresa y minimizando el retorno de las inversiones y nuevas oportunidades.
A este respecto, el área de Administración de Riesgos de la Información no cuenta con un sistema que le permita llevar una gestión óptima de los riesgos detectados en proyectos y/o requerimientos de sistemas para así tomar las decisiones necesarias que ayuden a minimizar sus efectos sobre los activos informáticos de la empresa que se encuentran expuestos. Por otra parte genera un margen de error en los resultados obtenidos, ya que todo proceso manual es ineficiente, la carga de datos es lenta y consecuentemente los resultados estadísticos de la gestión mensual de la gerencia se ven impactados en los tiempos de entrega.
Alcance
Para mejorar los procesos existentes en el área se plantea desarrollar un sistema que permita automatizar la tarea, para que:
- Facilite la administración y control de la información manejada por el área, que será una información útil para la generación de estadísticas y apoyo en la elaboración de análisis de factibilidad de adecuaciones y/o mejoras a implementar sobre cualquier activo.
- Generar alertas tempranas para el cumplimiento de los acuerdos de servicios (ANS) entre las gerencias (internas y externas).
- Agilizar los tiempos de respuesta del entregable de la gerencia.
- Iniciar con una base de datos centralizada y unificada en cuanto a los riesgos y amenazas encontradas y su nivel de criticidad.
Plan de Mejora
Para llevar a cabo el desarrollo del sistema como primer paso se necesita realizar el levantamiento de información ante la gerencia de riesgos mediante entrevistas y cuestionarios que permitan definir los requerimientos de la aplicación.
Diseñar los algoritmos necesarios para la valoración de riesgos y su probabilidad de ocurrencia, basados en la evaluación previa de las mejores prácticas en la gestión y valoración de riesgos de proyectos y/o requerimientos de sistemas.
Desarrollar el modelo de datos que soporte el sistema a desarrollar, para la gestión de riesgos en proyectos de tecnología de información a través de las herramientas UML.
Desarrollar el prototipo del sistema a través de las herramientas CASE para implementar el diseño elaborado.
Desarrollo del plan
Para implementar el nuevo sistema se llevaran a cabo varias etapas, las cuales son:
- Disponer de dos servidores independientes conectados vía una red lan en la que los usuarios accederán vía dirección ip desde su pc al sistema.
- En cuanto a las consideraciones de software, como sistema operativo se usará la Distribución Linux Ubuntu Server, manejador de base de datos MySQL licencia GPL, servidor web Apache GPL, intérprete de scripts del servidor PHP y desarrollo de interfaces JavaScript.
- El sistema estará compuesto por los subsistemas que proporcionaran el conjunto de servicios relacionados que previamente fueron analizados en el levantamiento de información donde se recabaron los datos necesarios para describir los servicios que debe proporcionar el sistema y las restricciones operativas que deberá cumplir.
- Desarrollo del sistema: se elaboran las interfaces, las base de datos y se le agregaran los datos necesarios para el funcionamiento del mismo.
- Esta mejora no necesita realizar ninguna inversión económica ya que la empresa cuenta con los recursos de hardware, software, equipos de red y el personal técnico para el desarrollo y mantenimiento de la solución.
Monitoreo y Control
Para el seguimiento de los resultados esperados el sistema se someterá a pruebas, aplicando casos de uso para el cumplimiento de la metodología de riesgos que comprende nueve fases: Caracterización de Sistema, Identificación de Amenazas, Identificación de Vulnerabilidades, Análisis de Controles, Determinación de Probabilidad, Análisis del Impacto, Determinación del Riesgo, Recomendaciones de Control y Documentación de Resultados, así como también el método de autenticación y autorización de usuarios, de forma de corregir las incidencias y certificar funcionalmente cada proceso.
...