Sandra collaguazo ca 9 6
- 2. A1. ADQUISICIÓN E IMPLEMENTACIÓN-DOMINIO Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. AI 1 Identificación de Soluciones AI6 Administración de los Automatizadas Cambios. AI2 Adquisición y AI5 Instalación y Aceptación de los Mantenimiento del Software Sistemas Aplicado AI3 Adquisición y AI4 Desarrollo y Mantenimiento Mantenimiento de de Procesos Infraestructura Tecnológica.
- 3. • Asegurar el mejor enfoque para cumplir con los requerimientos del usuario mediante un OBJETIVO análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar Aplicacion Dirección de Sistemas es Áreas (Software) Requerimientos Usuarias •Visión •Misión Requerimientos/o •Planes, Proyectos y Sistema programas Áreas Usuarias Gerencial bjetivos estratégico •Políticas •Prioridades ORGANIZACIÓN
- 4. AI 01.1 Definición de AI 01.2 Estudio de factibilidad AI 01.3 Arquitectura de requerimientos de • con la finalidad de satisfacer información información los requerimientos del • Para tener en consideración • Para poder aprobar un negocio establecidos para el e modelo de datos al definir proyecto de desarrollo desarrollo del proyecto. soluciones y analizar la factibilidad de las mismas. AI 01.4 Seguridad con relación AI 01.5 Pistas de Auditoría AI 01.6 Contratación de de costo-beneficio • Proporcionar la capacidad de terceros • Favorable para controlar que proteger datos sensitivos. • Con el objeto de adquirir los costos no excedan los Ejm: Campos que no se productos con buena calidad beneficios. modifiquen creando campos y excelente estado adicionales AI 01.7 Aceptación de instalaciones y tecnología • a través del contrato con el proveedor donde se acuerda un plan de aceptación para las instalaciones y tecnología específica a ser proporcionada.
- 5. Son una serie de registros sobre las actividades del sistema operativa, de proceso o aplicaciones y/o de usuarios del sistema. Las pistas de auditoría son procedimientos que ayudan a cumplir algunos objetivos de protección y seguridad de la información, así como evidenciar con suficiencia de competencia los hallazgos de auditoria son los conocidos como Logo o registro. Objetivos de protección y Pistas de auditoría-Evidencia seguridad • Responsabilidad individual • Identificar del usuario asociado • Reconstrucción de con el evento eventos • Cuándo ha ocurrido el evento fecha y hora en la que se produjo • Detección de el evento instrucciones • Identificador de host anfitrión • Identificación de que genera el registro problemas • Tipo de Evento
- 6. Prevención Errores Potenciales RIESGO Detección Errores en la integridad de la información INCIDENTE- ERROR •Datos en blanco •Datos ilegibles Represión •Problemas de trascripción DAÑOS •Error de cálculo en medidas indirectas •Registro de valores imposible Corrección •Negligencia •Falta de aleatoriedad RECUPERACIÓN •Violentar la secuencia establecida Evaluación para recolección
- 7. 5. Evaluación 3. Diagnóstico Siste mas de Cont 4. Corección 2. Detección- rol sintomas Predicción Administración del Inter Riesgo no 1. Prevención Acciones para •Actuar sobre las causas evitarlos •Técnicas y políticas de control involucrados •Empoderar a los acores RIESGO
- 8. Si se conectan Si están instalados El Institute for Defense todos los en edificios Plataforma Analyses en 1995, computadores diferentes WAN de internet definía varios tipos de dentro de un (Wide área Network) en las eventos que necesitan mismo edificio se estableciendo la actividades ser auditados y se denomina LAN comunicación en un empresariale agrupan en seis (Local Área esquema cliente- s. categorías. Network) servidor AI 5.6.1 POLITICAS PARA SISTEMAS DISTRIBUIDOS AI 5.6.1.1 Administración y Control de accesos AI 5.6.1.2 Criptografía AI 5.6.1.3 Integridad y Confidencialidad de datos AI 5.6.1.4 Disponibildad AI 5.6.1.5 No discrecional AI 5.6.1.6 Dependientes y por defecto
- 10. AI 5.6.2.3.1 TECNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD Autenticación: Identificar a los usuarios que inicien sesiones en sistema o la aplicación usada para verificar la Auditoría: Seguimiento de entidades identidad del usuario que han accedido al sistema identificado el medio. L a auditoría no proporciona protección, pero es muy útil en el seguimiento de la intrusión Autorización: Una vez identificado el una vez que ha ocurrido. usuario hay que comprobar si tiene los privilegios necesarios para realizar la acción que ha solicitado. Confidencialidad: Ocultar los datos frente a accesos no autorizados y Integridad: Garantizar que los asegurar que la información mensajes sean auténticos y no se transmitida no ha sido interceptada. alteren
- 11. Los sistemas de autenticación en los entornos de las redes de área local suelen ir asociados a Son habitualmente los sistemas de los procedimientos de inicio identificación mediante tarjetas, los de sesión. Una palabra clave cajeros automáticos de los bancos. El password que tan sólo conoce usuario primero debe insertar un usuario y que esta asociada primero la tarjeta donde está con su cuenta en la red, codificado la información de su garantiza la autenticidad de cuenta, y luego introducir una dicho usuario. En otros casos palabra clave o un número de se hace necesario otras identificación personal que sirve de técnicas para identificar a los comprobación adicional. usuarios como: verificación de determinadas características físicas y biológicas como huellas digitales y patrones de voz.
- 12. Proporciona funciones automatizadas que soportan efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada fundamentada en: Planificación, fijación de Impacto estratégico. Involucre a toda la objetivos, coordinación, Oportunidad de ventaja empresa: directivos, formación, adaptación competitiva trabajadores, clientes de toda la organización. Una filosofía, cultura, estrategia, estilo de ISO 9001-2000 gestión Gestión de calidad Tiempo
- 13. PO 7. ADMINISTRACIÓN DE LOS PROCESOS HUMANOS-PROCESO Objetivos de control: Políticas y procedimientos relacionados con la metodología del ciclo de vida del desarrollo de sistemas Objetivos y planes a corto y largo plazo de tecnología de información AI 1.3 Documentación AI 1.6 Interface AI 1.4 AI 1. 5 Controles de AI 1.7 Pruebas (materiales de usuario- Requerimiento aplicación y funcionales (unitarias, consulta y soporte máquina s de archivo requerimientos de aplicación, de para usuarios) funcionales integridad y de carga) • Asegurar que • Requerimiento • Para que los el software • Para establecer • De acuerdo con usuarios s de entrada, los controles en el plan de sea fácil de proceso y comprendan y utilizar y capaz las aplicaciones prueba del utilicen el sistema y salida de la debe definirse proyecto y los de auto información. las aplicaciones documentarse adecuadamente estándares óptimamente, los módulos de la establecidos incluye aplicación para antes de ser aprobaciones de definir los niveles aprobado por los diseños, definición de ingreso, usuarios de requerimientos actualización, de archivo y proceso y especificaciones de reporte. programas.
- 14. Objetivo Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios originados de una evaluación del desempeño del hardware y software apropiada; provisión de mantenimiento preventivo de hardware e instalación, seguridad y control del software del sistema y toma en consideración: AI 3.1 Evaluación de tecnología Para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema general. AI 3.2 Mantenimiento preventivo Del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento. AI 3.3 Seguridad del software de sistema Instalación y mantenimiento para no arriesgar la seguridad de los datos y programas ya almacenados en el mismo
- 15. AI 4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para OBJETIVO ello se diseñará manuales de procedimiento de operaciones para usuarios y materiales de entrenamiento con el propósito de: AI 4.1 Manuales de procedimientos de usuarios y controles: Rutina de actividades para explicar como se ejecuta los procedimientos, responsables, instrumentos requeridos y técnicas de control en la separación de funciones y responsabilidades informáticas. AI 4.3 Levantamiento de procesos: Los AI 4.3 Manuales de Operaciones y procesos deben ser organizados y Controles: Para que el usuario comprende secuenciados: íntimamente relacionados el alcance de su actividad y valide su con los objetivos y evaluado el trabajo, se reconoce generalmente como desempeño de su aplicación con manual del usuario. indicadores no financieros AI 4.2 : Enfocados al uso del sistema en la práctica diaria del usuario.
- 16. AI 5 INSTALACION Y ACEPTACIÓN DE LOS SISTEMAS-PROCESO Verificar y confirmar que la solución tecnológica PROPUESTTA sea adecuada al propósito deseado, para lo cual debe aplicarse un procedimiento de instalación y aceptación que incluya: conversión y migración de datos, plan de aceptaciones formalizado con pruebas, validaciones y revisiones posteriores a la implementación de los sistemas, de manera puntual en: AI 5. 1 AI 5.2 Revisiones AI 5.2 AI 5.3 Pruebas AI 5.4 Validación Capacita post Conversión/carg específicas y acreditación ción del personal implementación a de datos • De acuerdo al • (cambios, • Con el objeto • De Manera que • Que la gerencia plan de desempeño, de reportar si el los elementos de operaciones entrenamiento aceptación sistema necesarios del y usuarios definido, la final, proporciono los sistema acepten los arquitectura operacional) beneficios anterior sean resultados de física y con el objeto de esperados de la convertidos al las pruebas y el plataforma obtener un manera más sistema nuevo. nivel de lógica a producto económica. seguridad para implementarse. satisfactorio. los sistemas, junto con el riesgo residual existente.
- 17. Minimizar la probabilidad Periódicamente es de interrupciones necesario efectuar alteraciones y errores a Los cambios en las cambios en el sistema través de una eficiencia aplicaciones operativo. AI 6.1 administración del sistema, diseñadas OBJETI Identifica internamente; así las aplicaciones y la base de VO datos con análisis, ción de como las adquiridas a cambios Revisar y probar a las implementación y proveedores. aplicaciones cuando se seguimiento de todos los efectúen cambios para cambios requeridos y asegurar que no afectan a llevados para lo cual debe: las operaciones o a la seguridad Técnicas de control Comprar programas sólo a proveedores fiables Usar productos evaluados Inspeccionar el código fuente antes de usarlo Controlar el acceso y las modificaciones una vez instalado.
- 18. AI 6.2 Procedimientos: De categorización, priorización y emergencia de solicitudes de cambios AI 6.3 Evaluación del impacto que provocarán los cambios Medición del impacto que producirán los cambios tecnológicos en la perspectiva del cliente, financiera de procesos, del talento humano y la estructura organizacional de la empresa. AI 6.4 Autorización de cambios: Registro y documentación de los cambios autorizados AI 6.5 Manejo de liberación: la liberación de software debe estar regida por procedimientos formales asegurando aprobación. AI 6.6 Distribución de software Estableciendo medidas de control específicas para asegurar la distribución de software sea al lugar y usuario correcto, con integridad y de manera oportuna.