Post on 04-Jul-2015
description
AI. ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO
Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
AI1. Identificación de Soluciones Automatizadas
AI2 Adquisición y Mantenimiento del Software Aplicado
AI3 Adquisición y Mantenimiento de la infraestructura tecnológica
AI4 Desarrollo y Mantenimiento de Procesos.
AI5 Instalación y Aceptación de los Sistemas
AI6 Administración de los Cambios
PR
OC
ES
OS
:
Dr.. Carlos Escobar P, Mgs
AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS - PROCESO
Objetivo. asegurar el mejor enfoque para cumplir con los requerimientos del usuario mediante un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar:
Requerimientos
Requerimientos/objetivos
estratégico
Áreas usuarias
DIRECCIÓN DE SISTEMAS
Aplicaciones(Software) Áreas
usuarias
Sistema Gerencial
¿..Qué hacer..?
- Visión- Misión- Planes, proyectos y programas- Políticas- Prioridades
Organización
Dr.. Carlos Escobar P, Mgs
AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS - PROCESO
Objetivo. asegurar el mejor enfoque para cumplir con los requerimientos del usuario con un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar:
AI01.1. Definición de requerimientos de información para poder aprobar un proyecto de desarrollo.
Dr.. Carlos Escobar P, Mgs
AI01.2. Estudio de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el desarrollo del proyecto.
AI01.3 Arquitectura de información para tener en consideración el modelo de datos al definir soluciones y analizar la factibilidad de las mismasAI01.4 Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios.
AI01.5 Pistas de auditoria Proporcionar la capacidad de proteger datos sensitivos (ej. Identificación de usuarios contra divulgación o mal uso) . Ejemplo: campos que no se modifiquen creando campos adicionales.
AI01.6 Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado.
AI01.7 Aceptación de instalaciones y tecnología a través del contrato con el Proveedor donde se acuerda un plan de aceptación para las instalaciones y tecnología especifica a ser proporcionada
AI5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN
Pistas de auditoria; Son una serie de registros sobre las actividades del sistema operativo, de procesos o aplicaciones y/o de usuarios del sistema. Las pistas de auditoría son procedimientos que ayudan a cumplir algunos objetivos de protección y seguridad de la información, así como evidenciar con suficiencia y competencia los hallazgos de auditoría son los conocidos como log o registro
› Responsabilidad individual. Seguimiento secuencial de las acciones del usuario.
› Identificación de problemas.. Mediante su examen pueden detectarse otra serie de problemas en el sistema.
› Reconstrucción de eventos. Investigaciones de cómo, cuándo y quién ha realizado las operaciones una vez finalizadas.
› Detección de instrucciones. Bien en tiempo real, mediante un examen automático o mediante procesos batch
Dr.. Carlos Escobar P, Mgs
Objetivos de protección y seguridad Pistas de auditoría-Evidencia
Cuándo ha ocurrido el evento. Fecha y hora en la que se produjo el evento.
Identificador del Usuario Asociado con el evento.
Identificador de host anfitrión que genera el registro.
Tipo de Evento En el Sistema; Ejemplo: Intentos fallidos de autenticación de usuario, cambios de perfiles de seguridad de usuarios o de aplicaciones. En las Aplicaciones; Ejemplo: Registro modificado, información actual e información anterior. y resultado del evento (éxito o fallo).
AI5.3 PISTAS DE AUDITORIA–EVOLUCIÓN DEL RIESGO- ERRORES POTENCIALES EN TECNOLOGÍAS INFORMÁTICAS
Prevención
Detección
Represión
Corrección
Evaluación
Errores en la integridad de la información
Dr.. Carlos Escobar P, Mgs
• Datos en blanco• Datos ilegibles• Problemas de trascripción• Error de cálculo en medidas
indirectas• Registro de valores imposible• Negligencia• Falta de aleatoriedad• Violentar la secuencia
establecida para recolección
Riesgo
Incidente-error
Daños
Recuperación
AI5.4 PISTAS DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION DEL RIESGOS
Dr.. Carlos Escobar P, Mgs
1. Prevención
Materialidad
2. Detección - síntomas
3. Diagnóstico
5. Evaluación
4. Corrección
Administración del riesgo•Actuar sobre las causas•Técnicas y políticas de control involucrados•Empoderar a las actores•Crear valores y actitudes
Acciones para evitarlos
Sistema sCont/CInterno
Riesgo
Predicción
AI5.6 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS - PROCESO
Dr.. Carlos Escobar P, Mgs
Partiendo de una política de seguridad en la que se definan los niveles de autorización, custodia y registro para realizar acciones las entidades y los usuarios sobre los servicios, datos y los equipos del sistema es posible concretar técnicas de seguridad para cumplir con la política.
AI5.6.1.6 Dependientes y por defecto
AI5.6.1.1 Administración y control de accesos
AI5.6.1.3 Integridad y Confidencialidad de datos
AI5.6.1.5 No discrecional
AI5.6.1.4 Disponibilidad
AI5.6.1.2 Criptográfica
AI5.6.1 POLITICAS PARA SISTEMAS DISTRIBUIDOS
Debe distinguirse 3 tipos distintos: 1. Si se conectan todos los computadores dentro de un mismo edificio se denomina LAN (Local Área Network). 2. Si están instalados en edificios diferentes, WAN (Wide Área Network) estableciendo la comunicación en un esquema cliente-servidor. 3. Plataforma de internet en las actividades empresariales. El Institute for Defense Analyses en 1995, definía varios tipos de eventos que necesitaban ser auditados y los agrupaba en seis categorías:
AI5.6.2 PISTAS DE AUDITORIA-TÉCNICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS
Dr.. Carlos Escobar P, Mgs
Cifrado de la información: Técnicas de cifrado de claves para garantizar la confidencialidad de la información en sistemas distribuidos. Permite que aunque los datos sufran un ataque, estos no puedan ser conocidos por el atacante. Es una técnica muy usada para aumentar la seguridad de las redes informáticas. Convierte el texto normal en algo ilegible, por medio de algún esquema reversible de codificación desarrollado en torno a una clave privada que sólo conoce el emisor y receptor. El proceso inverso es el decifrado, mediante el cual el texto clave se vuelve en texto legible.
AI5.6.2.1 TÉCNICA CIFRADO DE INFORMACIÓN
AI5.6.2.3 PISTAS DE AUDITORIA-TECNICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS
Dr.. Carlos Escobar P, Mgs
Auditoría: Seguimiento de entidades que han accedido al sistema identificando el medio. La auditoría no proporciona protección, pero es muy útil en el seguimiento de la intrusión una vez que ha ocurrido.
AI5.6.2.3.1 TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD
Autenticación: Identificar a los usuarios que inicien sesiones en sistema o la aplicación, usada para verificar la identidad del usuario.
Autorización: Una vez autenticado el usuario hay que comprobar si tiene los privilegios necesarios para realizar la acción que ha solicitado.
Integridad: Garantizar que los mensajes sean auténticos y no se alteren.
Confidencialidad; Ocultar los datos frente a accesos no autorizados y asegurar que la información transmitida no ha sido interceptada
AI5.6.2.3 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS
Dr.. Carlos Escobar P, Mgs
Los sistemas de autenticación en los entornos de las redes de área local suelen ir asociados a los procedimientos de inicio de sesión. Una palabra clave password que tan sólo conoce un usuario y que esta asociada con su cuenta en la red, garantiza la autenticidad de dicho usuario. En otros casos se hace necesario otras técnicas para identificar a los usuarios como: verificación de determinadas características físicas y biológicas, como, huellas digitales y patrones de voz. Son habituales los sistemas de identificación
mediante tarjetas, los cajeros automáticos de los bancos. El usuario debe insertar primero la tarjeta donde está codificada la información de su cuenta, y luego introducir una palabra clave o un número de identificación personal que sirve de comprobación adicional
AI5.6.2.3.2 TÉCNICAS DE AUTENTICACIÓN
AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
Dr.. Carlos Escobar P, Mgs
Control de calidad
Garantía de calidad
Calidad total
Mejora de la calidad
Tiempo
Detectar defectos
Prevenir defectos
Mejora continua
Ges
tión
de
la c
alid
ad
HOY•Impacto estratégico. Oportunidad de ventaja competitiva.•Planificación, fijación de objetivos, coordinación, formación, adaptación de toda la organización.•Involucre a toda la empresa: directivos, trabajadores, clientes.•“Una filosofía, cultura, estrategia, estilo de gestión”. •ISO 9001:2000
Objetivo. Proporcionar funciones automatizadas que soporten efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada fundamentada en:
AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
AI1.3 Documentación (materiales de consulta y soporte para usuarios);Para que los usuarios comprendan y utilicen el sistema y las aplicaciones óptimamente. incluye aprobaciones de diseños, definición de requerimientos de archivo y especificaciones de programas
Dr.. Carlos Escobar P, Mgs
AI1.4 Requerimientos de archivo; Requerimientos de entrada, proceso y salida de la información.
Objetivos de control
Políticas y procedimientos relacionados con la metodología del ciclo de vida del desarrollo de sistemas
Objetivos y planes a corto y largo plazo de tecnología de información
AI1.6 Interface usuario-máquina; Asegurar que el software sea fácil de utilizar y capaz de auto documentarse.
AI1.5 Controles de aplicación y requerimientos funcionales; Para establecer los controles en las aplicaciones debe definirse adecuadamente los módulos de la aplicación para definir los niveles de ingreso, actualización, proceso y reporte.
AI1.7 Pruebas funcionales (unitarias, de aplicación, de integración y de carga); de acuerdo con el plan de prueba del proyecto y los estándares establecidos antes de ser aprobado por los usuarios.
AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTURA TECNOLÓGICA- PROCESO
Objetivo. Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios originadas de una evaluación del desempeño del hardware y software apropiada; provisión de mantenimiento preventivo de hardware e instalación, seguridad y control del software del sistema y toma en consideración:
AI3.1 Evaluación de tecnología; para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema general.
AI3.2 Mantenimiento preventivo; del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento.
AI3.3 Seguridad del software de sistema; instalación y mantenimiento para no arriesgar la seguridad de los datos y programas ya almacenados en el mismo.
Dr.. Carlos Escobar P, Mgs
AI4 DESARROLLO YMANTENIMIENTO DE PROCESOS - PROCESO
Dr.. Carlos Escobar P, Mgs
Objetivo. Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para ello se diseñará manuales de procedimientos, de operaciones para usuarios y materiales de entrenamiento con el propósito de:
AI4.1 Manuales de procedimientos de usuarios y controles; Rutina de actividades para explicar como se ejecuta los procedimientos, responsables, instrumentos requeridos y técnicas de control en la separación de funciones y responsabilidades informáticas; permanentemente actualizados, para el mejor desempeño y control de los usuarios.
AI4.2 Materiales de entrenamiento; Enfocados al uso del sistema en la práctica diaria del usuario.
AI4.3 Manuales de Operaciones y controles; Para que el usuario comprende el alcance de su actividad y valide su trabajo, se reconoce generalmente como manual de usuario. Diseñado para el ingreso, proceso y salida de información de las aplicaciones en la gestión del usuario.
AI4.3 Levantamiento de procesos; Los procesos deben ser organizados (código) y secuenciados; íntimamente relacionados con los objetivos y evaluado el desempeño de su aplicación con indicadores no financieros, de gestión y operación (eficiencia y eficacia).
AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS - PROCESO
Objetivo. Verificar y confirmar que la solución tecnológica PROPUESTA sea adecuada al propósito deseado, para lo cual debe aplicarse un procedimiento de instalación y aceptación que incluya; conversión y migración de datos, plan de aceptaciones formalizado con pruebas, validaciones y revisiones posteriores a la implementación de los sistemas, de manera puntual en:
AI5.2 Conversión / carga de datos; de manera que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo.
AI5.1Capacitación del personal; de acuerdo al plan de entrenamiento definido, la arquitectura física y plataforma lógica a implementarse.Por ejemplo en la plataforma SQLServer u Oracle
AI5.3 Pruebas específicas; (cambios, desempeño, aceptación final, operacional) con el objeto de obtener un producto satisfactorio.
AI5.4 Validación y acreditación; Que la Gerencia de operaciones y usuarios acepten los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.AI5.2 Revisiones post implementación;
con el objeto de reportar si el sistema proporciono los beneficios esperados de la manera mas económica.
Dr.. Carlos Escobar P, Mgs
AI6 ADMINISTRACIÓN DE CAMBIOS - PROCESO
Objetivo. Minimizar la probabilidad de interrupciones, alteraciones y errores a través de una eficiencia administración del sistema, las aplicaciones y la base de datos con análisis, implementación y seguimiento de todos los cambios requeridos y llevados para lo cual debe:
AI6.1 Identificación de cambios. Los cambios en las aplicaciones diseñadas internamente; así como, las adquiridas a proveedores.
Dr.. Carlos Escobar P, Mgs
Periódicamente es necesario efectuar cambios en el sistema operativo, por ejemplo, para instalar una nueva versión o un parche de software( SERVISPACK).
Revisar y probar a las aplicaciones cuando se efectúen cambios para asegurar que no afectan a las operaciones o a la seguridad
Comprar programas sólo a proveedores fiables; Usar productos evaluados; Inspeccionar el código fuente antes de usarlo; Controlar el acceso y las modificaciones una vez instalado.
Técnicas de control
AI6 ADMINISTRACIÓN DE CAMBIOS - PROCESO
AI.6.6 Distribución de software. estableciendo medidas de control especificas para asegurar la distribución de software sea al lugar y usuario correcto, con integridad y de manera oportuna.
AI.6.2 Procedimientos; de categorización, priorización y emergencia de solicitudes de cambios.
AI.6.3 Evaluación del impacto que provocarán los cambios. Medición del impacto que producirán los cambios tecnológicos en la perspectiva del cliente, financiera, de procesos, del talento humano y la estructura organizacional de la empresa.
AI.6. 4 Autorización de cambios; Registro y documentación de los cambios autorizados.
AI.6.5 Manejo de liberación. La liberación de software debe estar regida por procedimientos formales asegurando aprobación.
Dr.. Carlos Escobar P, Mgs