adquisicion e implementacion dominio
DESCRIPTION
AUDITORIA DE SISTEMASADQUISICION E IMPLEMENTACIONTRANSCRIPT
PARA LLEVAR A CABO LA ESTRATEGIA TI, LAS
SOLUCIONES TI DEBEN SER:
IDENTIFICADAS,
DESARROLLADAS O
ADQUIRIDAS
ASI COMO:
IMPLEMENTADAS E INTEGRADAS DENTRO
DEL PROCESO DEL NEGOCIO.
ADEMAS ESTE DOMINIO CUBRE LOS
CAMBIOS Y EL MANTENIMIENTO REALIZADOS A
SISTEMAS EXISTENTES
PROCESOS
1.IDENTIFICACION DE SOLUCIONESAUTOMAT
IZADAS.
2. ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO.
3. AQQUISICIÓN Y MANTENIMIENTO DE
LA INFRAESTRUCTURA TECNOLÓGICA.
4. DESARROLLO Y MANTENIMIENTO DE
PROCESOS.
5. INTALACIÓN Y ACEPTACIÓN DE LOS
SISTEMAS.
6. ADMINISTRACIÓN DE LOS CAMBIOS.
PROCESO: IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS
OBJETIVO: Asegurar el mejor enfoque para
cumplir con los requerimientos del
usuario mediante un análisis de la oportunidades
comparadas con los requerimientos de los
usuarios para lo cual se debe observar:
AREAS USUARIAS
*Requerimientos
*Aplicaciones software
SISTEMA GERENCIAL
*Requerimientos/ Objetivo
estratégico
DIRECCION DE SISTEMAS
*VISION
*MISION
*PLANES, PROYECTOS, PROGRAMAS.
*POLITICAS
*PRIORIDADES
ORGANIZACION
TAMBIEN SE DEBE OBSERVAR:
DEFINICION DE LOS REQUERIMIENTOS DE INFORMACION
ESTUDIO DE FACTIBILIDAD
ARQUITECTURA DE
INFORMACION
SEGURIDAD CON RELACION DE COSTO -
BENEFICIO
PISTAS DE AUDITORIA
CONTRATACIÓN DE TERCEROS
ACEPTACIÓN DE INSTALACIONES Y
TECNOLOGÍA
*RESPONSABILIDAD INDIVIDUAL.
*RECONSTRUCCION DE EVENTOS.
*DETECCION DE INSTRUCCIONES.
*IDENTIFICACION DE PROBLEMAS
OBJETIVOS DE PROTECCIÓN Y
SEGURIDAD
Son una serie de registros
sobre las actividades del
sistema operativo, de procesos o aplicaciones y/o usuarios del sistema.
PISTAS DE AUDITORIA
Las pistas de auditoria ayudan a
cumplir algunos objetivos de seguridad y
protección de la información, así como evidenciar con suficiencia y competencia los
hallazgos de auditoria.
*IDENTIFICADOR DEL USUARIO.
*CUÁNDO HA OCURRIDO EL
EVENTO
*IDENTIFICADOR DE HOST ANFITRIÓN.
*TIPO DE EVENTO EN EL SISTEMA.
PISTAS DE AUDITORIA -EVIDENCIA
EVOLUCIÓN DEL RIESGO-ERRORES POTENCIALES EN TECNOLOGÍAS INFORMÁTICAS
•PREVENCIÓN
•DETECCIÓN
•REPRESIÓN
•CORRECIÓN
•EVALUACIÓN
•RIESGO
• INCIDENTE – ERROR
•DAÑOS
•RECUPERACIÓN
ERRORES POTENCIALES
Errores en la integridad de la información:
• Datos en blanco
• Datos legibles
• Problemas de transcripción
• Error de calculo en medidas indirectas
• Registro de valores imposible
• Negligencia
• Falta de aleatoriedad
• Violentar la secuencia establecida para recolección
1. PREVENCIÓN
2. DETECCIÓN –SÍNTOMAS
3.DIAGNÓSTICO
4.CORRECIÓN
5.EVALUACIÓN
ADMINISTRACIÓN DEL RIESGO
ACCIONES PARA EVITARLOS
*Actuar sobre las causas
*Técnicas y políticas de control involucrados
*Empoderar a los actores
*Crear valores y actitudes
EVOLUCION Y ADMINISTRACIÓN
DE RIESGOS
POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS
DEBEN DISTINGUIRSE 3 TIPOS DISTINTOS:
1.Si se conectan todos los computadores
dentro de un mismo edificio se denomina
LAN
2. Si están instalados en edificios diferentes,
WAN estableciendo la comunicación en un
esquema cliente -servidor
3. Plataforma de internet en las actividades
empresariales
POLÍTICAS PARA SISTEMAS DISTRIBUIDOS
*ADMINISTRACIÓN Y CONTROL DE ACCESOS
*CRIPTOGRÁFICA
*INTEGRIDAD Y CONFIDENCIALIDAD DE
DATOS
*DISPONIBILIDAD
*NO DISCRECIONAL
*DEPENDIENTES Y POR DEFECTO
TÉCNICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS
TÉCNICA CIFRADO DE INFORMACIÓN
TECNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD
TÉCNICAS DE AUTENTICACIÓN
Técnicas de cifrado de claves para garantizar la confidencialidad de
la información en sistemas distribuidos.
Permite que aunque los datos sufren un ataque,
estos no puedan ser conocidos por el
atacante.Es una técnica muy
usada para aumentar
la seguridad de las redes informáticas.
*AUTENTICACION
*AUTORIZACIÓN
*INTEGRIDAD
*CONFIDENCIALIDAD
*AUDITORIA
Los sistemas de
autenticación en los
entornos de la redes de
área local suelen ir
asociadas a los
procedimientos de inicio
de sesión. Una palabra
clave password que tan
solo conoce un usuario y
que esta asociada con su
cuenta en la red, garantiza la autenticidad de dicho
usuario.
Son habituales los sistemas
de identificación mediante
tarjetas, los cajeros
automáticos de los
bancos.
PROCESO: ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
OBJETIVO: Proporcionar funciones automatizadas que soporten efectivamente al negocio con
declaraciones especificas sobre requerimientos funcionales y
operacionales y una implementación estructurada fundamentada en :
*Impacto estratégico
*Planificación
*Involucre a toda la empresa
*Una filosofía
*ISO 9001:200
GESTION DE CALIDAD
CONTROL DE CALIDAD
*DETECTAR DEFECTOS
GARANTÍA DE CALIDAD
*PREVENIR DEFECTOS
CALIDAD TOTAL
*MEJORA CONTINUA
OBJETIVOS DE
CONTROL
POLÍTICAS Y PROCEDIMIENTOS
OBJETIVOS Y PLANES A CORTO Y LARGO PLAZO
DOCUMENTCIÓN
REQUERIMIENTOS DE ARCHIVO
CONTROLES DE APLICACIÓN Y
REQUERIMIENTOS FUNCIONALES
INTERFACE USUARIO -MÁQUINA
PRUEBAS FUNCIONALES
PROCESO: ADQUISICIÓN Y
MANTENIMIENTO DE LA
INFRAESTRUCTURA TECNOLÓGICA
EVALUACION TECNOLÓGICA
Para identificar el impacto del nuevo
hadware o software sobre el rendimiento del sistema general.
MANTENIMIENTO PREVENTIVO
Del hadware con el objeto de reducir la
frecuencia y el impacto de fallas de
rendimiento.
SEGURIDAD DEL SOFTWARE DEL
SISTEMA
Instalación y mantenimiento para
no arriesgar la seguridad de los
datos y programas ya almacenados en el
mismo.
PROCESO: DESARROLLO Y
MANTENIMIENTO DE PROCESOS
MANUALES DE PROCEDIMIENTOS
DE USUARIOS Y CONTROLES
MATERIALES DE ENTRENAMIENTO
MANUALES DE OPERACIONES Y
CONTROLES
LEVANTAMIENTO DE PROCESOS
OBJETIVO: Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas.
Para ello se diseñará manuales de procedimientos, de operaciones para
usuarios y materiales de entrenamiento con el propósito de:
PROCESO: INSTALACIÓN
Y ACEPTACIÓN
DE LOS SISTEMAS
OBJETIVO: Verificar y confirmar que la solución tecnológica PROPUESTA sea adecuada al propósito deseado, para lo cual debe aplicarse un procedimiento de instalación y aceptación que incluya; conversión y
migración de datos, plan de aceptaciones formalizado
con pruebas, validaciones y revisiones posteriores a la
implementación de los sistemas de manera
puntual en:
REVISIONES POST IMPLEMENTACIÓN
PRUEBAS ESPECÍFICAS
VALIDACIÓN Y ACREDITACIÓN
CAPACITACION DEL PERSONAL
CONVERSIÓN/ CARGA DE DATOS
• PROCESO: ADMINISTRACIÓN DE CAMBIOS
OBJETIVO: minimizar laprobabilidad deinterrupciones,alteraciones y errores através de una eficienteadministración delsistema, las aplicacionesy las bases de datos conanálisis, implementación yseguimiento de todos loscambios requeridos yllevados para lo cualdebe:
*IDENTIFICACION DE CAMBIOS.
*PROCEDIMIENTOS.
*EVALUACIÓN DEL IMPACTO QUE
PROVOCARÁN LOS CAMBIOS.
*AUTORIZACIÓN DE CAMBIOS.
*MANEJO DE LIBERACIÓN.
*DISTRIBUCIÓN DE SOFTWARE.
TÉCNICAS DE CONTROL
*COMPRAR PROGRAMAS SOLO A PROVEEDORES
FIABLES;
*USAR PRODUCTOS EVALUADOS;
*INSPECCIONAR EL CÓDIGO FUENTE ANTES
DE USARLO;
*CONTROLAR EL ACCESO Y LAS MODIFICACIONES
UNA VEZ INSTALADO.
