Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.

A1. ADQUISICIÓN E IMPLEMENTACIÓN-DOMINIO

AI 1 Identificación de Soluciones Automatizadas

AI2 Adquisición y Mantenimiento del Software

Aplicado

AI3 Adquisición y Mantenimiento de

Infraestructura Tecnológica.

AI4 Desarrollo y Mantenimiento de Procesos

AI5 Instalación y Aceptación de los Sistemas

AI6 Administración de los Cambios.

• Asegurar el mejor enfoque para cumplir con los requerimientos del usuario mediante un análisis de las oportunidades comparadas con los requerimientos de los usuarios para lo cual se debe observar

OBJETIVO

Requerimientos

Requerimientos/objetivos

estratégico

Áreas Usuarias

Sistema Gerencial

Dirección de SistemasAplicacion

es (Software)

Áreas Usuarias

•Visión•Misión•Planes, Proyectos y programas•Políticas•Prioridades

ORGANIZACIÓN

AI 01.1 Definición de requerimientos de información

•Para poder aprobar un proyecto de desarrollo

AI 01.2 Estudio de factibilidad

• con la finalidad de satisfacer los requerimientos del negocio establecidos para el desarrollo del proyecto.

AI 01.3 Arquitectura de información

•Para tener en consideración e modelo de datos al definir soluciones y analizar la factibilidad de las mismas.

AI 01.4 Seguridad con relación de costo-beneficio

• Favorable para controlar que los costos no excedan los beneficios.

AI 01.5 Pistas de Auditoría

•Proporcionar la capacidad de proteger datos sensitivos. Ejm: Campos que no se modifiquen creando campos adicionales

AI 01.6 Contratación de terceros

•Con el objeto de adquirir productos con buena calidad y excelente estado

AI 01.7 Aceptación de instalaciones y tecnología

•a través del contrato con el proveedor donde se acuerda un plan de aceptación para las instalaciones y tecnología específica a ser proporcionada.

Son una serie de registros sobre las actividades del sistema operativa, de proceso o aplicaciones y/o de usuarios del sistema. Las pistas de auditoría son procedimientos que ayudan a cumplir algunos objetivos de protección y seguridad de la información, así como evidenciar con suficiencia de competencia los hallazgos de auditoria son los conocidos como Logo o registro.

Objetivos de protección y seguridad

• Responsabilidad individual

• Reconstrucción de

eventos

• Detección de

instrucciones

• Identificación de

problemas

Pistas de auditoría-Evidencia

• Identificar del usuario asociado con el evento

• Cuándo ha ocurrido el evento fecha y hora en la que se produjo el evento

• Identificador de host anfitrión que genera el registro

• Tipo de Evento

Prevención

Detección

Evaluación

Corrección

Represión

RIESGO

INCIDENTE-ERROR

DAÑOS

RECUPERACIÓN

Errores en la integridad de la información

Errores Potenciales

•Datos en blanco•Datos ilegibles•Problemas de trascripción•Error de cálculo en medidas indirectas•Registro de valores imposible •Negligencia•Falta de aleatoriedad•Violentar la secuencia establecida para recolección

Predicción

Acciones para evitarlos

3. Diagnóstico

5. Evaluación

4. Corección

1. Prevención

Administración del Riesgo

•Actuar sobre las causas•Técnicas y políticas decontrol involucrados•Empoderar a los acores

2. Detección-sintomas

RIESGO

Sistemas de Control Interno

Si se conectan todos los

computadores dentro de un

mismo edificio se denomina LAN

(Local Área Network)

Si están instalados en edificios

diferentes WAN (Wide área Network)

estableciendo la comunicación en un

esquema cliente-servidor

Plataforma de internet

en las actividades

empresariales.

El Institute for DefenseAnalyses en 1995,

definía varios tipos de eventos que necesitan

ser auditados y se agrupan en seis

categorías.

AI 5.6.1 POLITICAS PARA SISTEMAS

DISTRIBUIDOS

AI 5.6.1.1 Administración y Control de

accesos

AI 5.6.1.2 Criptografía

AI 5.6.1.3 Integridad y Confidencialidad

de datos

AI 5.6.1.4 Disponibildad

AI 5.6.1.5 No discrecional

AI 5.6.1.6 Dependientes y por defecto

AI 5.6.2.3.1 TECNICAS DE INTEGRIDAD Y CONFIDENCIALIDAD

Autenticación: Identificar a los usuarios que inicien sesiones en sistema o la

aplicación usada para verificar la identidad del usuario

Autorización: Una vez identificado el usuario hay que comprobar si tiene los privilegios necesarios para realizar la

acción que ha solicitado.

Integridad: Garantizar que los mensajes sean auténticos y no se

alteren

Confidencialidad: Ocultar los datos frente a accesos no autorizados y

asegurar que la información transmitida no ha sido interceptada.

Auditoría: Seguimiento de entidades que han accedido al sistema

identificado el medio. L a auditoría no proporciona protección, pero es muy útil en el seguimiento de la intrusión

una vez que ha ocurrido.

Son habitualmente los sistemas de identificación mediante tarjetas, los cajeros automáticos de los bancos. El usuario primero debe insertar primero la tarjeta donde está codificado la información de su cuenta, y luego introducir una palabra clave o un número de identificación personal que sirve de comprobación adicional.

Los sistemas de autenticación en los entornos de las redes de área local suelen ir asociados a los procedimientos de inicio de sesión. Una palabra clave password que tan sólo conoce un usuario y que esta asociada con su cuenta en la red, garantiza la autenticidad de dicho usuario. En otros casos se hace necesario otras técnicas para identificar a los usuarios como: verificación de determinadas características físicas y biológicas como huellas digitales y patrones de voz.

Proporciona funciones automatizadas que soportan efectivamente al negocio con declaraciones específicas sobre requerimientos funcionales y operacionales y una implementación estructurada fundamentada en:

Impacto estratégico. Oportunidad de ventaja

competitiva

Planificación, fijación de objetivos, coordinación, formación, adaptación

de toda la organización.

Involucre a toda la empresa: directivos,

trabajadores, clientes

Una filosofía, cultura, estrategia, estilo de

gestiónISO 9001-2000

Gestión de

calidad

Tiempo

PO 7. ADMINISTRACIÓN DE LOS PROCESOS HUMANOS-PROCESO

Objetivos de control: Políticas y procedimientos relacionados con la metodología del ciclo de vida del desarrollo de sistemasObjetivos y planes a corto y largo plazo de tecnología de información

AI 1.3 Documentación (materiales de

consulta y soporte para usuarios)

•Para que los usuarios comprendan y utilicen el sistema y las aplicaciones óptimamente, incluye aprobaciones de diseños, definición de requerimientos de archivo y especificaciones de programas.

AI 1.6 Interface usuario-máquina

•Asegurar que el software sea fácil de utilizar y capaz de auto documentarse

AI 1.4 Requerimiento

s de archivo

•Requerimientos de entrada, proceso y salida de la información.

AI 1. 5 Controles de aplicación y

requerimientos funcionales

•Para establecer los controles en las aplicaciones debe definirse adecuadamente los módulos de la aplicación para definir los niveles de ingreso, actualización, proceso y reporte.

AI 1.7 Pruebas funcionales (unitarias,

de aplicación, de integridad y de carga)

•De acuerdo con el plan de prueba del proyecto y los estándares establecidos antes de ser aprobado por los usuarios

Objetivo

Proporcionar las plataformas apropiadas para soportar aplicaciones denegocios originados de una evaluación del desempeño del hardware ysoftware apropiada; provisión de mantenimiento preventivo de hardware einstalación, seguridad y control del software del sistema y toma enconsideración:

AI 3.1 Evaluación de tecnología

Para identificar el impacto del nuevo hardware o software sobre el rendimiento del sistema general.

AI 3.2 Mantenimiento preventivo

Del hardware con el objeto de reducir la frecuencia y el impacto de fallas de rendimiento.

AI 3.3 Seguridad del software de sistema

Instalación y mantenimiento para no arriesgar la seguridad de los datos y programas ya almacenados en el mismo

AI 4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO

OBJETIVO

Asegurar el uso apropiado de las aplicaciones y de las soluciones tecnológicas establecidas. Para ello se diseñará manuales de procedimiento de

operaciones para usuarios y materiales de entrenamiento con el propósito de:

AI 4.1 Manuales de procedimientos de usuarios y controles: Rutina de actividades para explicar como se ejecuta los procedimientos, responsables, instrumentos requeridos y técnicas de control en la separación de funciones

y responsabilidades informáticas.

AI 4.3 Manuales de Operaciones y Controles: Para que el usuario comprende

el alcance de su actividad y valide su trabajo, se reconoce generalmente como

manual del usuario.

AI 4.2 : Enfocados al uso del sistema en la práctica diaria del usuario.

AI 4.3 Levantamiento de procesos: Los procesos deben ser organizados y

secuenciados: íntimamente relacionados con los objetivos y evaluado el

desempeño de su aplicación con indicadores no financieros

AI 5 INSTALACION Y ACEPTACIÓN DE LOS SISTEMAS-PROCESO

Verificar y confirmar que la solución tecnológica PROPUESTTA sea adecuada al propósito deseado, para lo cual debe aplicarse un procedimiento de instalación y aceptación que incluya: conversión y migración de datos, plan de aceptaciones formalizado con pruebas, validaciones y revisiones posteriores a la implementación de los sistemas, de manera puntual en:

AI 5. 1 Capacita

ción del personal

•De acuerdo al plan de entrenamiento definido, la arquitectura física y plataforma lógica a implementarse.

AI 5.3 Pruebas específicas

• (cambios,desempeño,aceptaciónfinal,operacional)con el objeto deobtener unproductosatisfactorio.

AI 5.2 Revisiones post

implementación

•Con el objeto de reportar si el sistema proporciono los beneficios esperados de la manera más económica.

AI 5.2 Conversión/carg

a de datos

•De Manera que los elementos necesarios del sistema anterior sean convertidos al sistema nuevo.

AI 5.4 Validación y acreditación

•Que la gerencia de operaciones y usuarios acepten los resultados de las pruebas y el nivel de seguridad para los sistemas, junto con el riesgo residual existente.

OBJETIVO

Minimizar la probabilidadde interrupcionesalteraciones y errores através de una eficienciaadministración del sistema,las aplicaciones y la base dedatos con análisis,implementación yseguimiento de todos loscambios requeridos yllevados para lo cual debe:

AI 6.1 Identificación de cambios

Periódicamente esnecesario efectuarcambios en el sistemaoperativo.

Revisar y probar a lasaplicaciones cuando seefectúen cambios paraasegurar que no afectan alas operaciones o a laseguridad

Los cambios en las aplicaciones

diseñadas internamente; así

como las adquiridas a proveedores.

Técnicas de control

Comprar programas sólo a proveedores fiables

Usar productos evaluados

Inspeccionar el código fuente antes de usarlo

Controlar el acceso y las modificaciones una vez instalado.

AI 6.6 Distribución de software

Estableciendo medidas de control específicas para asegurar la distribución de software sea al lugar y usuario correcto, con integridad y de manera oportuna.

AI 6.5 Manejo de liberación:

la liberación de software debe estar regida por procedimientos formales asegurando aprobación.

AI 6.4 Autorización de cambios:

Registro y documentación de los cambios autorizados

AI 6.3 Evaluación del impacto que provocarán los cambios

Medición del impacto que producirán los cambios tecnológicos en la perspectiva del cliente, financiera de procesos, del talento humano y la estructura organizacional de la empresa.

AI 6.2 Procedimientos:

De categorización, priorización y emergencia de solicitudes de cambios