Para llevar a cabo la estrategia de TI, las soluciones de Ti deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. AI1. Identificación de Soluciones Automatizadas
AI2 Adquisición y Mantenimiento del Software Aplicado
PROC CESOS:
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
AI. ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO
AI3 Adquisición y Mantenimiento de la infraestructura tecnológica
AI4 Desarrollo y Mantenimiento de Procesos.
AI5 Instalación y Aceptación de los Sistemas
AI6 Administración de los Cambios Dr.. Carlos Escobar P, Mgs
AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS - PROCESO
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
Objetivo. asegurar el mejor enfoque para cumplir con los requerimientos del usuario mediante un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar: ¿..Qué hacer.. ?
Áreas usuarias
Sistema Gerencial
Requerimientos Requerimientos/ objetivos estratégico
Aplicaciones (Software)
Áreas usuarias
DIRECCIÓN DE SISTEMAS - Visión - Misión - Planes, proyectos y programas - Políticas - Prioridades Organización Dr.. Carlos Escobar P, Mgs
AI1. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS - PROCESO
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
Objetivo. asegurar el mejor enfoque para cumplir con los requerimientos del usuario con un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar: AI01.1. Definición de requerimientos de información para poder aprobar un proyecto de desarrollo. desarrollo
AI01.2. Estudio de factibilidad con la finalidad de satisfacer los requerimientos del negocio establecidos para el desarrollo del proyecto.
AI01.5 Pistas de auditoria Proporcionar la capacidad de proteger datos sensitivos (ej. Identificación de usuarios contra divulgación o mal uso) . Ejemplo: campos que no se modifiquen creando campos adicionales.
AI01.3 Arquitectura de información para tener en consideración el modelo de datos al definir soluciones y analizar la factibilidad de las mismas AI01.4 Seguridad con relación de costo-beneficio favorable para controlar que los costos no excedan los beneficios. AI01.6 Contratación de terceros con el objeto de adquirir productos con buena calidad y excelente estado. AI01.7 Aceptación de instalaciones y tecnología a través del contrato con el Proveedor donde se acuerda d un plan l d aceptación de ió para las l instalaciones y tecnología especifica a ser proporcionada Dr.. Carlos Escobar P, Mgs
PO DO OMINIO - PLANIFICAC CIÓN Y ORG GANIZACIÓN N
AI5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCIÓN
Pistas de auditoria; Son una serie de registros sobre las actividades del sistema operativo, de procesos o aplicaciones y/o de usuarios del sistema. Las pistas de auditoría son p procedimientos q que ayudan y a cumplir p algunos g objetivos j de protección y seguridad de la información, así como evidenciar con suficiencia y competencia los hallazgos de auditoría son los conocidos como log o registro Objetivos de protección y seguridad
Pistas de auditoría-Evidencia
› Responsabilidad
Identificador del Usuario Asociado con el evento.
› Reconstrucción de eventos. Investigaciones de
Cuándo C á d ha h ocurrido id ell evento. Fecha F h y hora h en la l que se produjo el evento.
individual. Seguimiento secuencial de las acciones del usuario. cómo, cuándo y quién ha realizado las operaciones una vez finalizadas.
› Detección de instrucciones. Bien en tiempo
real, mediante un examen automático o mediante procesos batch › Identificación de problemas.. Mediante su
examen pueden detectarse otra serie de problemas en el sistema.
Identificador de host anfitrión que genera el registro registro. Tipo de Evento En el Sistema; Ejemplo: Intentos fallidos de autenticación de usuario, cambios de perfiles de seguridad de usuarios o de aplicaciones. aplicaciones En las Aplicaciones; Ejemplo: Registro modificado, información actual e información anterior. y resultado del evento (éxito o fallo). Dr.. Carlos Escobar P, Mgs
Prevención
ERRORES POTENCIALES Riesgo
Detección
EVOL LUCIÓN D DEL RIESG GO
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
AI5.3 PISTAS DE AUDITORIA–EVOLUCIÓN DEL RIESGO- ERRORES POTENCIALES EN TECNOLOGÍAS INFORMÁTICAS
Incidente-error
Represión
Daños
Corrección
Recuperación
Errores en la integridad de la información • • • • • • • •
Datos en blanco Datos ilegibles Problemas de trascripción Error de cálculo en medidas indirectas Registro de valores imposible Negligencia Falta de aleatoriedad Violentar la secuencia establecida para recolección
Evaluación Dr.. Carlos Escobar P, Mgs
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
AI5.4 PISTAS DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION DEL RIESGOS
S i s t e m a s C o n t / C I n t e r n o
5. Evaluación 3. Diagnóstico Materialidad
4. Corrección Predicción
Administración del riesgo
Acciones p para evitarlos
2. Detección síntomas 1 Prevención 1.
•Actuar sobre las causas •Técnicas y p políticas de control involucrados •Empoderar a las actores •Crear valores y actitudes
Riesgo Dr.. Carlos Escobar P, Mgs
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
AI5.6 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS - PROCESO
Debe distinguirse 3 tipos distintos: 1. Si se conectan todos los computadores dentro de un mismo edificio se denomina LAN (Local Área Network). Net ork) 2. 2 Si están instalados en edificios diferentes, diferentes WAN (Wide Área Network) estableciendo la comunicación en un esquema cliente-servidor. 3. Plataforma de internet en las actividades empresariales. El Institute for Defense Analyses en 1995, definía varios tipos de eventos que necesitaban ser auditados y los agrupaba en seis categorías:
AI5.6.1 POLITICAS PARA SISTEMAS DISTRIBUIDOS
AI5 6 1 1 Administración y control de accesos AI5.6.1.1
AI5 6 1 4 Disponibilidad AI5.6.1.4
AI5.6.1.2 Criptográfica
AI5.6.1.5 No discrecional
AI5 6 1 3 Integridad y Confidencialidad de datos AI5.6.1.3
AI5 6 1 6 Dependientes y por defecto AI5.6.1.6
Partiendo de una política de seguridad en la que se definan los niveles de autorización, custodia y registro para realizar acciones las entidades y los usuarios sobre los servicios, servicios datos y los equipos del sistema es posible concretar técnicas de seguridad para cumplir con la política.
Dr.. Carlos Escobar P, Mgs
AI5.6.2 PISTAS DE AUDITORIA-TÉCNICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
AI5.6.2.1 TÉCNICA CIFRADO DE INFORMACIÓN
Cifrado de la información: Técnicas de cifrado de claves para garantizar la confidencialidad de la información en sistemas distribuidos. Permite que aunque los datos sufran un ataque, estos no puedan ser conocidos por el atacante. Es una técnica muy usada para aumentar la seguridad de las redes informáticas. Convierte el texto normal en algo ilegible, por medio de algún esquema reversible de codificación desarrollado en torno a una clave privada que sólo conoce el emisor y receptor. p El p proceso inverso es el decifrado,, mediante el cual el texto clave se vuelve en texto legible.
Dr.. Carlos Escobar P, Mgs
AI5.6.2.3 PISTAS DE AUDITORIA-TECNICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
AI5.6.2.3.1 TÉCNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD
Autenticación: Identificar a los usuarios que inicien sesiones en sistema o la aplicación, usada para verificar la identidad del usuario. usuario
Autorización: Una vez autenticado el usuario hay y que comprobar si tiene los privilegios necesarios para realizar la acción que ha solicitado.
Confidencialidad; Ocultar los datos frente a accesos no autorizados y asegurar que la información transmitida no ha sido interceptada
Auditoría: Seguimiento de entidades que han accedido al sistema identificando el medio. La auditoría no proporciona protección, pero es muy útil en el seguimiento de la intrusión una vez que ha ocurrido.
Integridad: Garantizar que los mensajes sean auténticos y no se alteren.
Dr.. Carlos Escobar P, Mgs
AI5.6.2.3 PISTAS DE AUDITORIA- POLITICAS DE SEGURIDAD PARA SISTEMAS DISTRIBUIDOS
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
AI5.6.2.3.2 TÉCNICAS DE AUTENTICACIÓN
Los sistemas de autenticación en los entornos de las redes de área local suelen ir asociados a los procedimientos de inicio de sesión. Una palabra clave password d que tan t sólo ól conoce un usuario i y que esta t asociada con su cuenta en la red, garantiza la autenticidad de dicho usuario. En otros casos se hace necesario otras técnicas para identificar a los usuarios como: verificación ifi ió de d determinadas d t i d características t í ti físicas y biológicas, como, huellas digitales y patrones de voz. Son habituales los sistemas de identificación mediante tarjetas los cajeros automáticos de los bancos. tarjetas, bancos El usuario debe insertar primero la tarjeta donde está codificada la información de su cuenta, y luego introducir una palabra clave o un número de identificación personal que sirve de comprobación adicional
Dr.. Carlos Escobar P, Mgs
Objetivo. Proporcionar funciones automatizadas que soporten efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación p estructurada fundamentada en:
Mejora de la calidad
Gestión dde la calidaad
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
HOY Mejora continua •Impacto estratégico. Oportunidad de ventaja competitiva. •Planificación, fijación de objetivos, coordinación, formación, adaptación de toda la organización. Calidad total •Involucre a toda la empresa: directivos, trabajadores, clientes. •“Una filosofía, cultura, estrategia, estilo de gestión”. •ISO ISO 9001:2000 Garantía de calidad
Prevenir defectos Control de calidad
Detectar defectos Tiempo Dr.. Carlos Escobar P, Mgs
AI2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
Objetivos de control Políticas y procedimientos relacionados con la metodología del ciclo de vida del desarrollo d sistemas de it Objetivos y planes a corto y largo plazo de tecnología de información AI1.3 Documentación (materiales de consulta y soporte para usuarios); Para que los usuarios comprendan y utilicen el sistema y las aplicaciones óptimamente. i l incluye aprobaciones b i d de di ñ diseños, definición de requerimientos de archivo y especificaciones de programas
AI1.44 Requerimientos de archivo; Requerimientos de AI1 entrada, proceso y salida de la información.
AI1.6 Interface usuario-máquina; Asegurar que el software sea fácil de utilizar y capaz de auto documentarse.
AI1.7 Pruebas funcionales (unitarias, de aplicación, de integración y de carga); de acuerdo con el plan de prueba del proyecto y los estándares establecidos antes de ser aprobado por los usuarios.
AI1.5 Controles de aplicación y requerimientos funcionales; Para establecer los controles en las aplicaciones debe definirse adecuadamente los módulos de la aplicación para definir los niveles de ingreso, actualización, proceso y reporte.
Dr.. Carlos Escobar P, Mgs
AI DO OMINIO - AD DQUISICIÓN N E IMPLEM MENTACIÓN N
AI3 ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTURA TECNOLÓGICA- PROCESO
Objetivo. Proporcionar las plataformas apropiadas para soportar aplicaciones de negocios originadas de una evaluación del desempeño del hardware y software apropiada; provisión de mantenimiento preventivo de hardware e instalación, instalación seguridad y control del software del sistema y toma en consideración: AI3.1 Evaluación de tecnología; g para p identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema general. AI3.2 Mantenimiento preventivo; del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento. rendimiento AI3.3 Seguridad del software de sistema; instalación y mantenimiento para no arriesgar la seguridad de los datos y programas ya almacenados en el mismo.
Dr.. Carlos Escobar P, Mgs
PO DO OMINIO - ADQUISICIÓN E IMPLEM MENTACIÓN N
AI4 DESARROLLO YMANTENIMIENTO DE PROCESOS - PROCESO
Objetivo. Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para ello se diseñará manuales de procedimientos, de operaciones p para usuarios y materiales de entrenamiento con el p p propósito p de: AI4.1 Manuales de procedimientos de usuarios y controles; Rutina de actividades para explicar como se ejecuta los procedimientos, responsables, instrumentos requeridos y técnicas de control en la separación de funciones y responsabilidades informáticas; permanentemente actualizados, para el mejor desempeño y control de los usuarios. AI4.3 Manuales de Operaciones y controles; Para que el usuario comprende el alcance de su actividad y valide su trabajo, se reconoce generalmente como manual de usuario. Diseñado para el ingreso, proceso y salida de información de las aplicaciones en la gestión del usuario. usuario
AI4.2 Materiales de entrenamiento; Enfocados aal uso de del ssistema ste a een laa p práctica áct ca diaria d a a de del usuario.
AI4.3 Levantamiento de procesos; Los procesos deben ser organizados (código) y secuenciados; íntimamente relacionados con l objetivos los bj ti y evaluado l d ell desempeño d ñ de d su aplicación con indicadores no financieros, de gestión y operación (eficiencia y eficacia).
Dr.. Carlos Escobar P, Mgs
PO DO OMINIO - ADQUISICIÓN E IMPLEM MENTACIÓN N
AI5 INSTALACIÓN Y ACEPTACIÓN DE LOS SISTEMAS - PROCESO
Objetivo. Verificar y confirmar que la solución tecnológica PROPUESTA sea adecuada al propósito deseado, para lo cual debe aplicarse un procedimiento de instalación y aceptación que incluya; conversión y migración de datos, datos plan de aceptaciones formalizado con pruebas, validaciones y revisiones posteriores a la implementación de los sistemas, de manera puntual en: AI5 1C AI5.1Capacitación it ió del d l personal; l
de d acuerdo al plan de entrenamiento definido, la arquitectura física y plataforma lógica p g a implementarse.Por p ejemplo en la plataforma SQLServer u Oracle AI5.3 Pruebas específicas; (cambios, desempeño, aceptación final, operacional) con el objeto de obtener un producto satisfactorio.
AI5.2 Revisiones post implementación;
AI5.2 Conversión / carga de datos; de manera que los elementos necesarios del sistema anterior sean convertidos al sistema i t nuevo.
AI5.4 Validación y acreditación; Que la Gerencia de operaciones y usuarios acepten los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente. existente
con el objeto de reportar si el sistema proporciono los beneficios esperados de la manera mas económica. económica Dr.. Carlos Escobar P, Mgs
PO DO OMINIO - ADQUISICIÓN E IMPLEM MENTACIÓN N
AI6 ADMINISTRACIÓN DE CAMBIOS - PROCESO
Objetivo. Minimizar la probabilidad de interrupciones, alteraciones y errores a través de una eficiencia administración del sistema, las aplicaciones y la base de d t con análisis, datos áli i implementación i l t ió y seguimiento i i t de d todos t d los l cambios bi requeridos y llevados para lo cual debe: AI6.1 Identificación de cambios.
Los cambios en las aplicaciones p diseñadas internamente; así como, las adquiridas a proveedores. Periódicamente es necesario efectuar cambios en el sistema operativo, por ejemplo, para instalar
una nueva versión o un parche de software( SERVISPACK). Revisar y probar a las aplicaciones cuando se efectúen cambios para asegurar que no afectan a las
operaciones o a la seguridad Técnicas de control
Comprar programas sólo a proveedores fiables; U Usar productos d t evaluados; l d Inspeccionar el código fuente antes de usarlo; Controlar el acceso y las modificaciones una vez instalado. Dr.. Carlos Escobar P, Mgs
AI6 ADMINISTRACIร N DE CAMBIOS - PROCESO
PO DO OMINIO - ADQUISICIร N E IMPLEM MENTACIร N N
AI.6.2 Procedimientos; de categorizaciรณn, priorizaciรณn y emergencia g de solicitudes de cambios.
AI.6.3 Evaluaciรณn del impacto que provocarรกn los cambios. Mediciรณn del impacto que producirรกn d i รก los l cambios bi tecnolรณgicos t lรณ i en la l perspectiva ti del d l cliente, li t financiera, fi i d procesos, de del talento humano y la estructura organizacional de la empresa. AI.6. 4 Autorizaciรณn de cambios; Registro y documentaciรณn de los cambios autorizados. AI.6.5 Manejo de liberaciรณn.
La liberaciรณn de software debe estar regida por procedimientos formales asegurando aprobaciรณn. aprobaciรณn
AI.6.6 Distribuciรณn de software. estableciendo medidas de control especificas para asegurar la distribuciรณn de software sea al lugar y usuario correcto, correcto con integridad y de manera oportuna.
Dr.. Carlos Escobar P, Mgs