Entregable Intermedio 1 - Javier Mendoza (2)

•

Outros

0

Muchos Materiales

1/12/2022

¡Este material tiene más páginas!

Entonces, ¿te gustó este material?

Ayude a animar a otros estudiantes a mejorar el contenido

¿Te gustó este material? ¡Compartir! 🧡

Ingeniería Civil

107.163 Materiales compartidos

Descarga la aplicación para disfrutar aún más

Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!

Vista previa del material en texto

Índice. 
Actividad 1: Caso de estudio Atlas ………………………………………………………………………2
Actividad 2: Gobierno Corporativo y de TI ……………………………………………….............6
 2.1. Gobierno Corporativo ……............................................................................................6
 2.1.1. Brechas …………………………………………………………………………………………………………………………6
 2.1.2. Recomendaciones …………………………………………………………………………………………………………7
 2.2. Gobierno de TI …………………………………………………………………………………………………………7
 2.2.1. Brechas ………………………………………………………………………………………………………………………….7
 2.2.2. Recomendaciones …………………………………………………………………………………………………………7
Actividad 3: Gobierno de SI ………………………………………………...................................8
 3.1. Gobierno de SI ……........................................................................................................8
 3.1.1. Brechas …………………………………………………………………………………………………………………………8
 3.1.2. Recomendaciones …………………………………………………………………………………………………………8
Actividad 4: Análisis de Riesgos …………………………………………………………………………..9
 4.1. Matriz de Riesgos ……...................................................................................................9
 4.2. Estrategias de Control de Riesgos ……..........................................................................9
 
Actividad 1: Caso de estudio Atlas 
Integrantes del equipo 2:
· Aguilar Plasencia Jesús
· Bautista Reséndiz Jaime
· Guzmán Zaragoza Brian Azael
· Limón Heredia Jorge
· Mendoza Ruiz Javier Federico
· Nieto García Ricardo Jair
Políticas 
En este documento nos dimos cuenta sobre la organización que tiene esta empresa en la cual nos dimos cuenta de que es una empresa que fomenta que el personal de la misma empresa conozca bien su funcionamiento de la misma empresa ya que estos mismos se basan en el documento ISO 9000 para que puedan poner las normas que estén garantizadas además que tengan una buena gestión política, ya que la misma empresa se ha certificado en la producción, distribución y las ventas, ya que bueno como se menciona todo esto es para que los códigos los cuales estos abordan sobre la confidencialidad de los mismos, basándose en su código de ética. 
Normas
En la CONASSIF este organismo les exigió que crearan un comité para la auditoria sobre el interior sobre los directorios para la compañía, el cual ya había sido creado con anterioridad dentro de este organismo ya que este revisará además de que aprobara los resultados de las finanzas en periodos trimestrales además de los anuales para que se puedan meter en los exámenes ya que con esto se espera la aprobación de los directorios.
Aun cuando muchos se vieron afectados por la ley Sarbanes-Oxley de Estados unidos, esto hizo que se salieran o que demandaran, pero mientras esto pasaba en Atlas decidieron que mientras saliera algún arreglo el cual fuera parejo para todos, para que pudieran seguir cotizando en la bolsa de valores, pero con esto se cumplió con el comité de la auditoría, ya que se pretende mantener el funcionamiento, aun cuando estas habían sido suspendidas. Con esto dando un buen uso apoyándonos de los valores, para que todo salga bien cuando se le da la información.
Continuidad Operativa
Al analizar el caso de la organización Atlas llegamos a la conclusión de que al seguir una ley más estricta que las Sarbanes-Oxley sería lógico pensar que cumple con cada aspecto a tratar del gobierno corporativo, sin embargo, en el artículo no se menciona que exista un plan de continuidad operativa, que es de gran importancia en una organización para que esta siga en funcionamiento ante cualquier eventualidad.
Rige toda la organización
En el caso de estudio podemos identificar que la empresa Atlas, cuenta con un gobierno corporativo, sin embargo, este se encuentra mayormente focalizada en el área de mando, al contar con grupos bien definidos para la toma de decisiones y en el caso del área operativa, no se menciona que existan estructuras bien definidas así como las responsabilidades que tienen sus integrantes.
Roles y responsabilidades 
Grupo Atlas cuenta con roles definidos en lo particular y general con sus 7 miembros definidos (internos y externos) pero no existen responsabilidades fijas asignadas a estos roles, dando un vacío en la toma de decisiones. 
Objetivos de negocio
Aunque no se especifican tal cual, en el documento, se entiende que se cuenta con los objetivos de negocio. Aunque estos deberían de ser analizados a profundidad ya que por lo generar ante un cambio total de la mesa directiva donde no hay ningún miembro fundador los valores y esencia de las empresas se suele perder.
Riesgos
En materia de riesgo la compañía ha sido analizada trimestralmente por una empresa calificadora local de riesgos independiente y atlas siempre le han otorgado la máxima calificación triple AAA, se ha ganado esta puntuación por demostrar ser una empresa responsable y pagar los intereses en los plazos acostumbrados.
Transparencia
Atlas está consciente de que deberá incursionar en otros mercados y en este sentido mejorar la transparencia de la empresa, que le permita mantener su presencia en el mercado y competir en el mundo globalizado. Para ello tiene que mejorar sus procedimientos de control interno, para responder a las exigencias de los órganos normativos 
Procedimientos
En el caso Atlas se menciona que están comprometidos con las transparencia de la información y las prácticas que se llevan a cabo, la organización presenta informes sobre la información financiera trimestral la cual se recopila de diferentes normas internacionales lo cúal nos indica que la organización está primordialmente enfocada en la calidad de los procesos que se realizan con la finalidad de obtener un valor agregado en el mercado. En el caso no se menciona detalladamente los procedimientos que se realizan sin embargo se puede observar que se están alcanzando los objetivos propuestos por la compañía deduciendo lo anteriormente dicho.
Estructura
Atlas cuenta un gobierno corporativo establecido, sin embargo en el análisis que se nos presenta se pueden mencionar algunas brechas en su gobierno que se podrían mejorar, a continuación se mencionan algunas de estas brechas que se identificaron.
1. Responsabilidades: Se realizan las juntas directivas para tomar decisiones con el objetivo de incrementar la operatividad del negocio y la eficiencia de los procesos el cual no se toman debido a que no existe una autoridad que tome las consecuencias de dichos puntos
2. Comités: En los comités se mencionan que acuden directores internos y externos, fiscales, representantes de los auditores y gerentes de los cuales ninguno presente tiene la última palabra.
Stakeholders
Grupo Atlas tiene bien identificadas a las partes interesadas en su modelo de negocio, de acuerdo con el artículo se mencionan a los siguientes:
· Primarios:
· Accionistas mayoritarios y minoritarios con sus respectivas limitaciones.
· Grupos integradores de la Asamblea General Ordinaria.
· Presidente del directorio, directivos y puestos gerenciales.
· Comité de auditoría
· Al cumplir con la Ley Sarbanes-Oxley, se infiere que tienen bien identificados a los trabajadores y sus intereses. 
· Secundarios:
· Consejo Nacional de Supervisión del Sistema Financiero.
· Leyes Federales de los Estados Unidos de Norte América
· Normas Internacionales de Información Financiera
Junta directiva:
Debido a que Grupo Atlas cumple con la ley Sarbanes-Oxley se infiere que tiene una estructura bien definida en términos de gobiernos corporativo dando cumplimiento a los siguientes puntos:
· Junta Directiva, para este punto adicionalmente se menciona que se cuenta con una Asamblea General Ordinaria la cual integra los grupos interesados para realizar la toma de decisiones. 
· Estrategias, para este punto se menciona que se cuenta con una estrategia para la innovación continua, productos de buena calidad y precios competitivos en un mundo globalizado. 
· Control interno, en este apartado se menciona la integración y cumplimiento de launa regulación más severa que la Ley Sarbanes-Oxley, por lo cual se puede inferir el cumplimiento de este apartado. 
Respecto a las deficiencias en término de gobierno corporativo se observan algunas áreas de oportunidad como las siguientes:
· No se menciona que se tenga un plan de riesgos explícitamente trazado para diferentes escenarios. Es decir, no se tiene una identificación precisa de las posibles amenazas y el nivel de impacto que puede causar.
· Se menciona una estructura de gobierno corporativo bien definida, pero existen omisiones en términos de las responsabilidades. En algunas ocasiones como en la Asamblea General, se menciona que el Director General no tiene responsabilidad, ni participación directa.
· Plan de continuidad operativa. – a pesar de cumplir con la Ley Sarbanes-Oxley y esta consientes de la necesidad de innovación y competitividad en un mercado globalizado. No marcan que tengan un seguimiento para casos de emergencia, contingencia o de continuidad operativa.
Actividad 2: Gobierno Corporativo y de TI 
 2.1. Gobierno Corporativo 
Para esta actividad se tomará como caso de estudio una empresa de manufactura de muebles y su posterior venta en línea, en donde se identificará las brechas existentes en cuanto a la presencia de un gobierno corporativo, para posteriormente presentar recomendaciones a seguir con el objetivo de solucionar estas carencias.
 2.1.1. Brechas 
Al analizar a la empresa he identificado que existen ciertos puntos en los que presentan deficiencias, estos son:
· Continuidad de operación
· Análisis de riesgos 
· Transparencia 
· Disciplina 
En cuanto al la continuidad de operación, esto se hizo visible debido a la reciente situación sanitaria con la pandemia, puesto que no se tenia contemplado un escenario de ese tipo y se improvisaron las medidas a seguir conforme ocurrían los problemas, como el hecho de que los empleados administrativos tenían que realizar sus labores a distancia. 
Esto nos lleva al siguiente punto, un deficiente análisis de riesgos, puesto que al no contemplar los diversos escenarios que pudieran imposibilitar la operación de la empresa, además de los riesgos que surgieron al implementar la modalidad de trabajo a distancia, en el manejo de la información privada de la organización, así como la conexión a los recursos ubicados en las instalaciones.
En el apartado de la transparencia, se encuentra que la información no es accesible a todas las personas que deberían conocerla y esta solo esta reservada para un grupo pequeño, es lógico que la totalidad de la información no sea publica para todos los integrantes de la organización, pero existen ciertos puestos que requieren conocer datos precisos.
Finalmente, la diciplina, esta no se encuentra presente a lo largo de toda la organización, desde puestos directivos hasta personal operativo, en lo referente a políticas de comportamiento, uso de dispositivos electrónicos, horarios laborales, etc.
 2.1.2. Recomendaciones 
Después de identificar las brechas con respecto a una correcta implementación del gobierno corporativo, concluyo que para atacar estos problemas es necesario formular una nueva matriz de riesgos en donde se incluyan las nuevas eventualidades se le pueden presentar a la organización para poder decidir que tratamiento se le dará a dichos riesgos, además de volver a plantear una estrategia de continuidad de operación, en donde se contemplen una amplia variedad de escenarios que pudieran interferir con las labores de la empresa, así como planear una correcta implementación de trabajo a distancia, con las medidas de seguridad adecuadas para su ejecución.
En cuanto a la transparencia y a la disciplina, se pueden corregir con la implementación de políticas mas estrictas en las que se indique específicamente las sanciones a las que serán acreedores los empleados que no cumplan con las normas de la organización, así como definir claramente que información necesita cada área de la organización para que puedan acceder fácilmente a la misma.
 2.2. Gobierno de TI 
Continuando con esta actividad, a continuación, se presentarán las brechas identificadas con respecto a una correcta implementación del gobierno de TI, para una posterior propuesta de recomendaciones con las que se busca corregir los problemas identificados.
 2.2.1. Brechas 
Al estudiar el caso de esta empresa he identificado dos principales brechas, estas son: la poca importancia que se le da al área de TI, así como la integración que esta tiene con las demás áreas. Esto porque en la organización se toma al área de TI únicamente como el área de soporte técnico y no se considera la opinión del director del área para la implementación de nuevos proyectos hasta que ocurren problemas y es necesaria su intervención.
 2.2.2. Recomendaciones 
Para poder mejorar la situación actual identificada se recomienda emplear marcos de referencia como COBIT, con el que se pueda hacer una correcta separación de la parte de gobierno y la operativa, además de la implementación de un enfoque holístico en donde se considere a la organización como un todo y se tome en cuenta al área de TI durante todo el proceso de planeación, desarrollo e implementación de nuevos proyectos, lo que ayudaría a evitar algunos problemas y por consiguiente generaría un ahorro de recursos.
Actividad 3: Gobierno de SI 
 3.1. Gobierno de SI 
En esta actividad se continuará con el análisis de la empresa anteriormente tratada, en este caso se abordará el gobierno de seguridad de la información, para comenzar se presentarán las brechas identificadas y posteriormente se darán unas recomendaciones para mejorar el estado de la organización.
 3.1.1. Brechas 
Después de analizar el estado de la organización identifique las siguientes brechas con respecto a una correcta implementación de SGSI:
· Documentación. 
· Ingeniería social.
· Manejo de información (home office)
Con la documentación me refiero que no existe una correcta implementación de manuales y formularios de operación que faciliten el trabajo en la empresa y la solución de problemas, otra brecha es que no existe una concientización sobre los problemas que puede ocasionar la ingeniería social, este tipo de campañas es necesario que se realicen a todos los miembros de la organización para una mayor eficacia y otro problema que surgió debido a la pandemia fue la implementación del home office porque no se implemento de forma segura y esto podría ocasionar graves problemas con la seguridad de la información.
 3.1.2. Recomendaciones 
Para corregir las situaciones anteriormente presentadas es imprescindible que la organización se apegue a las normas ISO 27000, puesto que ayudaría a mejorar la seguridad de la información en la organización, además de mejorar la imagen de esta con clientes y socios, también es muy importante que la alta dirección se involucre mas en los temas de la seguridad de la información con la creación de políticas estrictas sobre el manejo de la información, campañas de concientización sobre las consecuencias de los ataques de ingeniería social y como estar más protegidos antes estos. Otra recomendación que seria de gran utilidad es la ejecución de auditorias internas constantes y rigurosas para encontrar vulnerabilidades y áreas de oportunidad en el tratamiento de la información.
Actividad 4: Análisis de Riesgos 
 4.1. Matriz de Riesgos 
Una matriz de riesgos nos sirva para analizar y clasificar de mejor forma los riesgos identificados, esta herramienta consta de una tabla en donde se colocan dos aspectos importantes a evaluar en lo que respecta a los riegos, como la probabilidad de que estos ocurran y la gravedad de estos, al evaluar estas dos características generalmente se utilizan números o incluso colores como indicadores para obtener el impacto que tendría cada riesgo, la matriz tiene el siguiente formato:
Gravedad
Probabilidad
	Matriz de Riesgos
	Insignificante
	Menor
	Moderado
	Importante
	Catastrófico
	Muy Probable
	
	
	
	
	
	ProbablePosible
	
	
	
	
	
	No es probable
	
	
	
	
	
	Muy improbable
	
	
	
	
	
 4.1. Estrategias de Tratamiento de Riesgos. 
Después de evaluar el impacto de los riesgos identificados, es necesario decidir que es lo que se hará con estos, porque claro, muchas veces o la gran mayoría no es posiblemente eliminarlo ya que esto conllevaría dejar de realizar la actividad causante del riesgo, para ello existen 4 principales tratamientos: 
· Aceptación del riesgo: Se refiere a que la organización no tomará ninguna medida contra esa situación por lo que aceptará el riesgo. 
· Evitar el riesgo: Este tratamiento consiste en no continuar ejecutando la tarea causante del riesgo.
· Transferencia del riesgo: Consiste en compartir el riesgo, generalmente en la forma de compra de seguros o la firma de contratos con empresas externas. 
· Mitigación del riesgo: Consiste en la aplicación de controles que reduzcan el impacto del riesgo identificado.
2