Upload
sandrasc1989
View
116
Download
1
Embed Size (px)
DESCRIPTION
Adquisición e Implementación
Citation preview
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
A1. ADQUISICIÓN E IMPLEMENTACIÓN-DOMINIO
AI 1 Identificación de Soluciones Automatizadas
AI2 Adquisición y Mantenimiento del Software
Aplicado
AI3 Adquisición y Mantenimiento de
Infraestructura Tecnológica.
AI4 Desarrollo y Mantenimiento de Procesos
AI5 Instalación y Aceptación de los Sistemas
AI6 Administración de los Cambios.
• Asegurar el mejor enfoque para cumplir con los requerimientos del usuario mediante un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar
OBJETIVO
Requerimientos
Requerimientos/objetivos
estratégico
Áreas Usuarias
Sistema Gerencial
Dirección de SistemasAplicacion
es (Software)
Áreas Usuarias
•Visión•Misión•Planes, Proyectos y programas•Políticas•Prioridades
ORGANIZACIÓN
AI 01.1 Definición de requerimientos de información
•Para poder aprobar un proyecto de desarrollo
AI 01.2 Estudio de factibilidad
• con la finalidad de satisfacer los requerimientos del negocio establecidos para el desarrollo del proyecto.
AI 01.3 Arquitectura de información
•Para tener en consideración e modelo de datos al definir soluciones y analizar la factibilidad de las mismas.
AI 01.4 Seguridad con relación de costo-beneficio
• Favorable para controlar que los costos no excedan los beneficios.
AI 01.5 Pistas de Auditoría
•Proporcionar la capacidad de proteger datos sensitivos. Ejm: Campos que no se modifiquen creando campos adicionales
AI 01.6 Contratación de terceros
•Con el objeto de adquirir productos con buena calidad y excelente estado
AI 01.7 Aceptación de instalaciones y tecnología
•a través del contrato con el proveedor donde se acuerda un plan de aceptación para las instalaciones y tecnología específica a ser proporcionada.
Son una serie de registros sobre las actividades del sistema operativa, de proceso o aplicaciones y/o de usuarios del sistema. Las pistas de auditoría son procedimientos que ayudan a cumplir algunos objetivos de protección y seguridad de la información, así como evidenciar con suficiencia de competencia los hallazgos de auditoria son los conocidos como Logo o registro.
Objetivos de protección y seguridad
• Responsabilidad individual
• Reconstrucción de
eventos
• Detección de
instrucciones
• Identificación de
problemas
Pistas de auditoría-Evidencia
• Identificar del usuario asociado con el evento
• Cuándo ha ocurrido el evento fecha y hora en la que se produjo el evento
• Identificador de host anfitrión que genera el registro
• Tipo de Evento
Prevención
Detección
Evaluación
Corrección
Represión
RIESGO
INCIDENTE-ERROR
DAÑOS
RECUPERACIÓN
Errores en la integridad de la información
Errores Potenciales
•Datos en blanco•Datos ilegibles•Problemas de trascripción•Error de cálculo en medidas indirectas•Registro de valores imposible •Negligencia•Falta de aleatoriedad•Violentar la secuencia establecida para recolección
Predicción
Acciones para evitarlos
3. Diagnóstico
5. Evaluación
4. Corección
1. Prevención
Administración del Riesgo
•Actuar sobre las causas•Técnicas y políticas decontrol involucrados•Empoderar a los acores
2. Detección-sintomas
RIESGO
Sistemas de Control Interno
Si se conectan todos los
computadores dentro de un
mismo edificio se denomina LAN
(Local Área Network)
Si están instalados en edificios
diferentes WAN (Wide área Network)
estableciendo la comunicación en un
esquema cliente-servidor
Plataforma de internet
en las actividades
empresariales.
El Institute for DefenseAnalyses en 1995,
definía varios tipos de eventos que necesitan
ser auditados y se agrupan en seis
categorías.
AI 5.6.1 POLITICAS PARA SISTEMAS
DISTRIBUIDOS
AI 5.6.1.1 Administración y Control de
accesos
AI 5.6.1.2 Criptografía
AI 5.6.1.3 Integridad y Confidencialidad
de datos
AI 5.6.1.4 Disponibildad
AI 5.6.1.5 No discrecional
AI 5.6.1.6 Dependientes y por defecto
AI 5.6.2.3.1 TECNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD
Autenticación: Identificar a los usuarios que inicien sesiones en sistema o la
aplicación usada para verificar la identidad del usuario
Autorización: Una vez identificado el usuario hay que comprobar si tiene los privilegios necesarios para realizar la
acción que ha solicitado.
Integridad: Garantizar que los mensajes sean auténticos y no se
alteren
Confidencialidad: Ocultar los datos frente a accesos no autorizados y
asegurar que la información transmitida no ha sido interceptada.
Auditoría: Seguimiento de entidades que han accedido al sistema
identificado el medio. L a auditoría no proporciona protección, pero es muy útil en el seguimiento de la intrusión
una vez que ha ocurrido.
Son habitualmente los sistemas de identificación mediante tarjetas, los cajeros automáticos de los bancos. El usuario primero debe insertar primero la tarjeta donde está codificado la información de su cuenta, y luego introducir una palabra clave o un número de identificación personal que sirve de comprobación adicional.
Los sistemas de autenticación en los entornos de las redes de área local suelen ir asociados a los procedimientos de inicio de sesión. Una palabra clave password que tan sólo conoce un usuario y que esta asociada con su cuenta en la red, garantiza la autenticidad de dicho usuario. En otros casos se hace necesario otras técnicas para identificar a los usuarios como: verificación de determinadas características físicas y biológicas como huellas digitales y patrones de voz.
Proporciona funciones automatizadas que soportan efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada fundamentada en:
Impacto estratégico. Oportunidad de ventaja
competitiva
Planificación, fijación de objetivos, coordinación, formación, adaptación
de toda la organización.
Involucre a toda la empresa: directivos,
trabajadores, clientes
Una filosofía, cultura, estrategia, estilo de
gestiónISO 9001-2000
Gestión de
calidad
Tiempo
PO 7. ADMINISTRACIÓN DE LOS PROCESOS HUMANOS-PROCESO
Objetivos de control: Políticas y procedimientos relacionados con la metodología del ciclo de vida del desarrollo de sistemasObjetivos y planes a corto y largo plazo de tecnología de información
AI 1.3 Documentación (materiales de
consulta y soporte para usuarios)
•Para que los usuarios comprendan y utilicen el sistema y las aplicaciones óptimamente, incluye aprobaciones de diseños, definición de requerimientos de archivo y especificaciones de programas.
AI 1.6 Interface usuario-máquina
•Asegurar que el software sea fácil de utilizar y capaz de auto documentarse
AI 1.4 Requerimiento
s de archivo
•Requerimientos de entrada, proceso y salida de la información.
AI 1. 5 Controles de aplicación y
requerimientos funcionales
•Para establecer los controles en las aplicaciones debe definirse adecuadamente los módulos de la aplicación para definir los niveles de ingreso, actualización, proceso y reporte.
AI 1.7 Pruebas funcionales (unitarias,
de aplicación, de integridad y de carga)
•De acuerdo con el plan de prueba del proyecto y los estándares establecidos antes de ser aprobado por los usuarios
Objetivo
Proporcionar las plataformas apropiadas para soportar aplicaciones denegocios originados de una evaluación del desempeño del hardware ysoftware apropiada; provisión de mantenimiento preventivo de hardware einstalación, seguridad y control del software del sistema y toma enconsideración:
AI 3.1 Evaluación de tecnología
Para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema general.
AI 3.2 Mantenimiento preventivo
Del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento.
AI 3.3 Seguridad del software de sistema
Instalación y mantenimiento para no arriesgar la seguridad de los datos y programas ya almacenados en el mismo
AI 4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO
OBJETIVO
Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para ello se diseñará manuales de procedimiento de
operaciones para usuarios y materiales de entrenamiento con el propósito de:
AI 4.1 Manuales de procedimientos de usuarios y controles: Rutina de actividades para explicar como se ejecuta los procedimientos, responsables, instrumentos requeridos y técnicas de control en la separación de funciones
y responsabilidades informáticas.
AI 4.3 Manuales de Operaciones y Controles: Para que el usuario comprende
el alcance de su actividad y valide su trabajo, se reconoce generalmente como
manual del usuario.
AI 4.2 : Enfocados al uso del sistema en la práctica diaria del usuario.
AI 4.3 Levantamiento de procesos: Los procesos deben ser organizados y
secuenciados: íntimamente relacionados con los objetivos y evaluado el
desempeño de su aplicación con indicadores no financieros
AI 5 INSTALACION Y ACEPTACIÓN DE LOS SISTEMAS-PROCESO
Verificar y confirmar que la solución tecnológica PROPUESTTA sea adecuada al propósito deseado, para lo cual debe aplicarse un procedimiento de instalación y aceptación que incluya: conversión y migración de datos, plan de aceptaciones formalizado con pruebas, validaciones y revisiones posteriores a la implementación de los sistemas, de manera puntual en:
AI 5. 1 Capacita
ción del personal
•De acuerdo al plan de entrenamiento definido, la arquitectura física y plataforma lógica a implementarse.
AI 5.3 Pruebas específicas
• (cambios,desempeño,aceptaciónfinal,operacional)con el objeto deobtener unproductosatisfactorio.
AI 5.2 Revisiones post
implementación
•Con el objeto de reportar si el sistema proporciono los beneficios esperados de la manera más económica.
AI 5.2 Conversión/carg
a de datos
•De Manera que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo.
AI 5.4 Validación y acreditación
•Que la gerencia de operaciones y usuarios acepten los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.
OBJETIVO
Minimizar la probabilidadde interrupcionesalteraciones y errores através de una eficienciaadministración del sistema,las aplicaciones y la base dedatos con análisis,implementación yseguimiento de todos loscambios requeridos yllevados para lo cual debe:
AI 6.1 Identificación de cambios
Periódicamente esnecesario efectuarcambios en el sistemaoperativo.
Revisar y probar a lasaplicaciones cuando seefectúen cambios paraasegurar que no afectan alas operaciones o a laseguridad
Los cambios en las aplicaciones
diseñadas internamente; así
como las adquiridas a proveedores.
Técnicas de control
Comprar programas sólo a proveedores fiables
Usar productos evaluados
Inspeccionar el código fuente antes de usarlo
Controlar el acceso y las modificaciones una vez instalado.
AI 6.6 Distribución de software
Estableciendo medidas de control específicas para asegurar la distribución de software sea al lugar y usuario correcto, con integridad y de manera oportuna.
AI 6.5 Manejo de liberación:
la liberación de software debe estar regida por procedimientos formales asegurando aprobación.
AI 6.4 Autorización de cambios:
Registro y documentación de los cambios autorizados
AI 6.3 Evaluación del impacto que provocarán los cambios
Medición del impacto que producirán los cambios tecnológicos en la perspectiva del cliente, financiera de procesos, del talento humano y la estructura organizacional de la empresa.
AI 6.2 Procedimientos:
De categorización, priorización y emergencia de solicitudes de cambios