módulo adquisición e implementación

AI. ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO

Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

AI1. Identificación de Soluciones Automatizadas

AI2 Adquisición y Mantenimiento del Software Aplicado

AI3 Adquisición y Mantenimiento de la infraestructura tecnológica

AI4 Desarrollo y Mantenimiento de Procesos.

AI5 Instalación y Aceptación de los Sistemas

AI6 Administración de los Cambios

PR

OC

ES

OS

:

Dr.. Carlos Escobar P, Mgs

AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS - PROCESO

Objetivo. asegurar el mejor enfoque para cumplir con los requerimientos del usuario mediante un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar:

Requerimientos

Requerimientos/objetivos

estratégico

Áreas usuarias

DIRECCIÓN DE SISTEMAS

Aplicaciones(Software) Áreas

usuarias

Sistema Gerencial

¿..Qué hacer..?

- Visión- Misión- Planes, proyectos y programas- Políticas- Prioridades

Organización


AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS - PROCESO

Objetivo. asegurar el mejor enfoque para cumplir con los requerimientos del usuario con un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar:

AI01.1. Definición de requerimientos de información para poder aprobar un proyecto de desarrollo.


AI01.2. Estudio de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el desarrollo del proyecto.

AI01.3 Arquitectura de información para tener en consideración el modelo de datos al definir soluciones y analizar la factibilidad de las mismasAI01.4 Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios.

AI01.5 Pistas de auditoria Proporcionar la capacidad de proteger datos sensitivos (ej. Identificación de usuarios contra divulgación o mal uso) . Ejemplo: campos que no se modifiquen creando campos adicionales.

AI01.6 Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado.

AI01.7 Aceptación de instalaciones y tecnología a través del contrato con el Proveedor donde se acuerda un plan de aceptación para las instalaciones y tecnología especifica a ser proporcionada

AI5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN

Pistas de auditoria; Son una serie de registros sobre las actividades del sistema operativo, de procesos o aplicaciones y/o de usuarios del sistema. Las pistas de auditoría son procedimientos que ayudan a cumplir algunos objetivos de protección y seguridad de la información, así como evidenciar con suficiencia y competencia los hallazgos de auditoría son los conocidos como log o registro

› Responsabilidad individual. Seguimiento secuencial de las acciones del usuario.

› Identificación de problemas.. Mediante su examen pueden detectarse otra serie de problemas en el sistema.

› Reconstrucción de eventos. Investigaciones de cómo, cuándo y quién ha realizado las operaciones una vez finalizadas.

› Detección de instrucciones. Bien en tiempo real, mediante un examen automático o mediante procesos batch


Objetivos de protección y seguridad Pistas de auditoría-Evidencia

Cuándo ha ocurrido el evento. Fecha y hora en la que se produjo el evento.

Identificador del Usuario Asociado con el evento.

Identificador de host anfitrión que genera el registro.

Tipo de Evento En el Sistema; Ejemplo: Intentos fallidos de autenticación de usuario, cambios de perfiles de seguridad de usuarios o de aplicaciones. En las Aplicaciones; Ejemplo: Registro modificado, información actual e información anterior. y resultado del evento (éxito o fallo).

AI5.3 PISTAS DE AUDITORIA–EVOLUCIÓN DEL RIESGO- ERRORES POTENCIALES EN TECNOLOGÍAS INFORMÁTICAS

Prevención

Detección

Represión

Corrección

Evaluación

Errores en la integridad de la información


• Datos en blanco• Datos ilegibles• Problemas de trascripción• Error de cálculo en medidas

indirectas• Registro de valores imposible• Negligencia• Falta de aleatoriedad• Violentar la secuencia

establecida para recolección

Riesgo

Incidente-error

Daños

Recuperación

AI5.4 PISTAS DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION DEL RIESGOS


1. Prevención

Materialidad

2. Detección - síntomas

3. Diagnóstico

5. Evaluación

4. Corrección

Administración del riesgo•Actuar sobre las causas•Técnicas y políticas de control involucrados•Empoderar a las actores•Crear valores y actitudes

Acciones para evitarlos

Sistema sCont/CInterno

Riesgo

Predicción

AI5.6 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS - PROCESO


Partiendo de una política de seguridad en la que se definan los niveles de autorización, custodia y registro para realizar acciones las entidades y los usuarios sobre los servicios, datos y los equipos del sistema es posible concretar técnicas de seguridad para cumplir con la política.

AI5.6.1.6 Dependientes y por defecto

AI5.6.1.1 Administración y control de accesos

AI5.6.1.3 Integridad y Confidencialidad de datos

AI5.6.1.5 No discrecional

AI5.6.1.4 Disponibilidad

AI5.6.1.2 Criptográfica

AI5.6.1 POLITICAS PARA SISTEMAS DISTRIBUIDOS

Debe distinguirse 3 tipos distintos: 1. Si se conectan todos los computadores dentro de un mismo edificio se denomina LAN (Local Área Network). 2. Si están instalados en edificios diferentes, WAN (Wide Área Network) estableciendo la comunicación en un esquema cliente-servidor. 3. Plataforma de internet en las actividades empresariales. El Institute for Defense Analyses en 1995, definía varios tipos de eventos que necesitaban ser auditados y los agrupaba en seis categorías:

AI5.6.2 PISTAS DE AUDITORIA-TÉCNICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS


Cifrado de la información: Técnicas de cifrado de claves para garantizar la confidencialidad de la información en sistemas distribuidos. Permite que aunque los datos sufran un ataque, estos no puedan ser conocidos por el atacante. Es una técnica muy usada para aumentar la seguridad de las redes informáticas. Convierte el texto normal en algo ilegible, por medio de algún esquema reversible de codificación desarrollado en torno a una clave privada que sólo conoce el emisor y receptor. El proceso inverso es el decifrado, mediante el cual el texto clave se vuelve en texto legible.

AI5.6.2.1 TÉCNICA CIFRADO DE INFORMACIÓN

AI5.6.2.3 PISTAS DE AUDITORIA-TECNICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS


Auditoría: Seguimiento de entidades que han accedido al sistema identificando el medio. La auditoría no proporciona protección, pero es muy útil en el seguimiento de la intrusión una vez que ha ocurrido.

AI5.6.2.3.1 TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD

Autenticación: Identificar a los usuarios que inicien sesiones en sistema o la aplicación, usada para verificar la identidad del usuario.

Autorización: Una vez autenticado el usuario hay que comprobar si tiene los privilegios necesarios para realizar la acción que ha solicitado.

Integridad: Garantizar que los mensajes sean auténticos y no se alteren.

Confidencialidad; Ocultar los datos frente a accesos no autorizados y asegurar que la información transmitida no ha sido interceptada

AI5.6.2.3 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS


Los sistemas de autenticación en los entornos de las redes de área local suelen ir asociados a los procedimientos de inicio de sesión. Una palabra clave password que tan sólo conoce un usuario y que esta asociada con su cuenta en la red, garantiza la autenticidad de dicho usuario. En otros casos se hace necesario otras técnicas para identificar a los usuarios como: verificación de determinadas características físicas y biológicas, como, huellas digitales y patrones de voz. Son habituales los sistemas de identificación

mediante tarjetas, los cajeros automáticos de los bancos. El usuario debe insertar primero la tarjeta donde está codificada la información de su cuenta, y luego introducir una palabra clave o un número de identificación personal que sirve de comprobación adicional

AI5.6.2.3.2 TÉCNICAS DE AUTENTICACIÓN

AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO


Control de calidad

Garantía de calidad

Calidad total

Mejora de la calidad

Tiempo

Detectar defectos

Prevenir defectos

Mejora continua

Ges

tión

de

la c

alid

ad

HOY•Impacto estratégico. Oportunidad de ventaja competitiva.•Planificación, fijación de objetivos, coordinación, formación, adaptación de toda la organización.•Involucre a toda la empresa: directivos, trabajadores, clientes.•“Una filosofía, cultura, estrategia, estilo de gestión”. •ISO 9001:2000

Objetivo. Proporcionar funciones automatizadas que soporten efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada fundamentada en:

AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO

AI1.3 Documentación (materiales de consulta y soporte para usuarios);Para que los usuarios comprendan y utilicen el sistema y las aplicaciones óptimamente. incluye aprobaciones de diseños, definición de requerimientos de archivo y especificaciones de programas


AI1.4 Requerimientos de archivo; Requerimientos de entrada, proceso y salida de la información.

Objetivos de control

Políticas y procedimientos relacionados con la metodología del ciclo de vida del desarrollo de sistemas

Objetivos y planes a corto y largo plazo de tecnología de información

AI1.6 Interface usuario-máquina; Asegurar que el software sea fácil de utilizar y capaz de auto documentarse.

AI1.5 Controles de aplicación y requerimientos funcionales; Para establecer los controles en las aplicaciones debe definirse adecuadamente los módulos de la aplicación para definir los niveles de ingreso, actualización, proceso y reporte.

AI1.7 Pruebas funcionales (unitarias, de aplicación, de integración y de carga); de acuerdo con el plan de prueba del proyecto y los estándares establecidos antes de ser aprobado por los usuarios.

AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTURA TECNOLÓGICA- PROCESO

Objetivo. Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios originadas de una evaluación del desempeño del hardware y software apropiada; provisión de mantenimiento preventivo de hardware e instalación, seguridad y control del software del sistema y toma en consideración:

AI3.1 Evaluación de tecnología; para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema general.

AI3.2 Mantenimiento preventivo; del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento.

AI3.3 Seguridad del software de sistema; instalación y mantenimiento para no arriesgar la seguridad de los datos y programas ya almacenados en el mismo.


AI4 DESARROLLO YMANTENIMIENTO DE PROCESOS - PROCESO


Objetivo. Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para ello se diseñará manuales de procedimientos, de operaciones para usuarios y materiales de entrenamiento con el propósito de:

AI4.1 Manuales de procedimientos de usuarios y controles; Rutina de actividades para explicar como se ejecuta los procedimientos, responsables, instrumentos requeridos y técnicas de control en la separación de funciones y responsabilidades informáticas; permanentemente actualizados, para el mejor desempeño y control de los usuarios.

AI4.2 Materiales de entrenamiento; Enfocados al uso del sistema en la práctica diaria del usuario.

AI4.3 Manuales de Operaciones y controles; Para que el usuario comprende el alcance de su actividad y valide su trabajo, se reconoce generalmente como manual de usuario. Diseñado para el ingreso, proceso y salida de información de las aplicaciones en la gestión del usuario.

AI4.3 Levantamiento de procesos; Los procesos deben ser organizados (código) y secuenciados; íntimamente relacionados con los objetivos y evaluado el desempeño de su aplicación con indicadores no financieros, de gestión y operación (eficiencia y eficacia).

AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS - PROCESO

Objetivo. Verificar y confirmar que la solución tecnológica PROPUESTA sea adecuada al propósito deseado, para lo cual debe aplicarse un procedimiento de instalación y aceptación que incluya; conversión y migración de datos, plan de aceptaciones formalizado con pruebas, validaciones y revisiones posteriores a la implementación de los sistemas, de manera puntual en:

AI5.2 Conversión / carga de datos; de manera que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo.

AI5.1Capacitación del personal; de acuerdo al plan de entrenamiento definido, la arquitectura física y plataforma lógica a implementarse.Por ejemplo en la plataforma SQLServer u Oracle

AI5.3 Pruebas específicas; (cambios, desempeño, aceptación final, operacional) con el objeto de obtener un producto satisfactorio.

AI5.4 Validación y acreditación; Que la Gerencia de operaciones y usuarios acepten los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.AI5.2 Revisiones post implementación;

con el objeto de reportar si el sistema proporciono los beneficios esperados de la manera mas económica.


AI6 ADMINISTRACIÓN DE CAMBIOS - PROCESO

Objetivo. Minimizar la probabilidad de interrupciones, alteraciones y errores a través de una eficiencia administración del sistema, las aplicaciones y la base de datos con análisis, implementación y seguimiento de todos los cambios requeridos y llevados para lo cual debe:

AI6.1 Identificación de cambios. Los cambios en las aplicaciones diseñadas internamente; así como, las adquiridas a proveedores.


Periódicamente es necesario efectuar cambios en el sistema operativo, por ejemplo, para instalar una nueva versión o un parche de software( SERVISPACK).

Revisar y probar a las aplicaciones cuando se efectúen cambios para asegurar que no afectan a las operaciones o a la seguridad

Comprar programas sólo a proveedores fiables; Usar productos evaluados; Inspeccionar el código fuente antes de usarlo; Controlar el acceso y las modificaciones una vez instalado.

Técnicas de control

AI6 ADMINISTRACIÓN DE CAMBIOS - PROCESO

AI.6.6 Distribución de software. estableciendo medidas de control especificas para asegurar la distribución de software sea al lugar y usuario correcto, con integridad y de manera oportuna.

AI.6.2 Procedimientos; de categorización, priorización y emergencia de solicitudes de cambios.

AI.6.3 Evaluación del impacto que provocarán los cambios. Medición del impacto que producirán los cambios tecnológicos en la perspectiva del cliente, financiera, de procesos, del talento humano y la estructura organizacional de la empresa.

AI.6. 4 Autorización de cambios; Registro y documentación de los cambios autorizados.

AI.6.5 Manejo de liberación. La liberación de software debe estar regida por procedimientos formales asegurando aprobación.


módulo adquisición e implementación

Education