- Objetivo - Pista de Auditoría-Objetivos de Protección - Pista de Auditoría-Evolución del Riesgo-Errores Potenciales en Tenologías Informáticas. -Pistas de Auditoría-Políticas de Seguridad Para Sistemas Distribuidos-Procesos. -Adquisición y Mantenimiento del Software Aplicado. -Desarrollo y Mantenimiento de Procesos -Proceso -Aministración de Cambios - Proceso
16
ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO ADQUISIÓN E IMPLEMENT ACIÓN - DOMINIO Al1. Identificación de Soluciones Automatizadas Al 2. Adquisición y Mantenimiento del Software Aplicado. Al 3. Adquisición y Mantenimiento de la Infraestructura Tecnológica. Al 4. Desarrollo y Mantenimient o de Procesos. Al 5. Instalación y Aceptación de los Sistemas. Al 6. Administración de los Cambios. P R O C E S O S Identificadas Desarrolladas o Adquiridas Implementada s Integradas Dentro de un proceso de negocio. Las Soluciones de TI deben ser: Sylvia Esther Galindo CA9-6
Transcript
ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO
ADQUISIÓN E
IMPLEMENTACIÓN -
DOMINIO
Al1. Identificación de Soluciones Automatizadas
Al 2. Adquisición y Mantenimiento
del Software Aplicado.
Al 3. Adquisición y Mantenimiento
de la Infraestructura Tecnológica.
Al 4. Desarrollo y
Mantenimiento de
Procesos.
Al 5. Instalación y Aceptación de los Sistemas.
Al 6. Administración
de los Cambios.
P
R
O
C
E
S
O
S
Identificadas
Desarrolladas
o Adquiridas
Implementada
s
Integradas
Dentro de un
proceso de
negocio.
Las
Soluciones de
TI deben ser:
Sylvia Esther Galindo
CA9-6
ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO
OBJETI
VO
Asegurar el mejor
enfoque para
cumplir con los
requerimientos
del usuario.
Aéreas
Usuario
s
Sistema
Gerencial
Requeri
mientos
Requerimien
tos/
objetivos
estratégico
-Visión
-Misión
-
Planes, proyecto
s y programas
-Policías
-Prioridades
Organización
Aplica
cione
s
Aéreas
usuaria
s
Se debe Observar:
Sylvia Esther Galindo
CA9-6
ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO
A101.1. Definición de
requerimientos de
información
Aprobar un proyecto de
desarrollo
A101.2. Estudio de
Factibilidad Satisface
lo requerimientos del
negocio. A101.5 Pistas de
Auditoría Capacidad de
proteger datos
sensitivos.
A101.4 Seguridad con
relación de costo-
beneficio Se controla los
costos.
A101.3 Arquitectura de
Información Considera el
modelo de datos para
definir soluciones
OBJETIVO
Asegurar el
mejor enfoque
lo cual se
debe observar:
Sylvia Esther Galindo
CA9-6
ADQUISICIÓN E IMPLEMENTACIÓN - DOMINIO
P
I
S
T
A
S
D
E
A
U
D
I
T
O
R
Í
A
Procedimientos que ayudan a cumplir con lo
Objetivos de protección y seguridad, como
evidenciar con suficiencia y competencia los
hallazgos de auditoría.
Objetivos de
Protección y Seguridad
Responsabilidad
Individual .-Seguimiento de Acciones
Responsabilidad de Eventos.-Investigación
de quién realizo las
operaciones.
Dirección de Instrucciones.-Mediante un
examen.
Identificación de Problemas.-
Detectan problemas.
Identificador del Usuario
Cuándo ha ocurrido el
evento
Identificador de host anfitrión
Tipo de Evento En el Sistema
Pistas de Auditoría
y Protecció
n
Sylvia Esther Galindo
CA9-6
AL5.3 DE AUDITORÍA-EVOLUCIÓN DEL RIESGO-ERRORES POTENCIALES EN
TECNOLOGÍAS INFORMÁTICAS
Detección
Represión
Corrección
Evaluació
n
Prevenció
n Ries
go
Incid
ente
-
Error
Dañ
os
Rec
uper
ació
n
Errores en la
Integridad de
Información
Datos en Blanco
Datos Ilegibles
Problemas de
Trascripción
Error de Cálculo en Medidas
Indirectas
Registro de valores imposible
Negligencia
Falta de Aleatoried
ad
Violentar la Secuencia
Establecida.
Sylvia Esther Galindo
CA9-6
AL5.4 PISTAS DE AUDITORÍA – EVOLUCIÓN Y ADMINISTRACIÓN DE RIESGOS
S
I
S
T
E
M
A
S
C
O
N
T
/
C
I
N
T
E
R
N
O
Acciones
para evitarlos
4.Corrección
1. PrevenciónPredicción
3. Diagnóstico5.
Evaluación
2.
Detección
-
Síntomas
Materialida
d
-Actuar sobre las causas
-Técnicas y políticas de control
involucrados
-Empoderar a los actores
-Crear valores y actitudes
RIESG
O
Sylvia Esther Galindo
CA9-6
AL5.6 PISTAS DE AUDITORÍA - POLÍTICAS
DE SEGURIDAD PARA SISTEMAS
DISTRIBUIDORES - PROCESO
Al5.6.1 POLÍTICAS PARA SISTEMAS
DISTRIBUIDORES
3. Plataforma de internet en las actividades empresariales.
2. Si están instalados en edificios diferentes
WAN
1. Si se conectan todos
los computadores dentro de un
mismo edificio LAN
Al5.6.1.1 Administración y Control de Accesos
Al5.6.2 Criptográfica
Al5.6.1.3 Integridad y Confidencialidad de datos
Al5.6.1.4 Disponibilidad
Al5.6.1.5 No Discrecional
Al5.6.1.6 Dependientes y por defecto.
Sylvia Esther Galindo
CA9-6
AL5.6.2 PISTAS DE AUDITORÍA-TÉCNICAS DE SEGURIDAD PARA SISTEMAS
DISTRIBUIDOS
Al5.6.2.1 TÉCNICA CIFRADO DE
INFORMACIÓN
Técnica de Cifrado de Información
El texto se convierte en
ilegible
Técnicas de cifrado de
claves para garantizar
confidencialidad
Técnica muy usada para aumentar la seguridad.
Sylvia Esther Galindo
CA9-6
AL5.6.2.3 PISTAS DE AUDITORÍA-TÉCNICAS DE
SEGURIDAD PARA SISTEMAS DISTRIBUIDOS
Auditoría: No
proporciona
protección pero es
muy útil en el
seguimiento.
Integridad: Ayuda
a que los
mensajes no se
alteren
Confidencialidad:
Oculta datos
frente a accesos
no autorizados.
Autorización: Hay que
comprobar si tiene los
privilegios necesarios
para realizar una acción.
Autenticación:
Identifica a los
usuarios al iniciar
sesiones.
Sylvia Esther Galindo
CA9-6
AL5.6.2.3 PISTAS DE AUDITORÍA-TÉCNICAS DE SEGURIDAD PARA SISTEMAS
DISTRIBUIDOS
Al5.6.2.3.2 TÉCNICAS DE
AUTENTICACIÓN
Password
Sirve para identificar la autenticidad
de dicho usuario.
Sistemas de Identificación
mediante
Tarjetas, los cajeros
automáticos de bancos.
Huellas
Verificación de determinadas características
físicas.
Sylvia Esther Galindo
CA9-6
AL2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
G
E
S
T
I
Ó
N
D
E
C
A
L
I
D
A
D
Control de Calidad
Garantía de Calidad
Calidad Total
Tiempo
Mejo
ra de
Calid
ad
Sylvia Esther Galindo
CA9-6
AL2 ADQUISICIÓN Y MANTENIMIENTO DEL SOFTWARE APLICADO
Objetivos de Control
A11.3 Documentación (materiales de consulta y soporte para usuarios); Para que los usuarios
utilicen de manera optima el sistema.
A11.4 Requerimientos
de archivo: Entrada, proceso
y salida de información.
A11.5 Controles de aplicación y
requerimientos funcionales: Para definir
los niveles de ingreso, actualización, pr
oceso y reporte.
A11.6 Interface usuario-maquina: Que el software
sea fácil de utilizar.
A11.7 Pruebas funcionales
(unitarias, de aplicación, de
integración y de carga).
Sylvia Esther Galindo
CA9-6
AL3 ADQUISICIÓN Y MANTENIMIENTO DE LA INFRAESTRUCTURA TECNOLÓGICA-
PROCESO
Al3.3 Seguridad del Software de
sistema; instalación y
mantenimiento para no arriesgar
la seguridad.
A13.2 Mantenimie
nto preventivo
del hardware; para reducir
fallas
Al3.1 Evaluación de Tecnología;
Para identificar un impacto sea de un nuevo software o
hardware.
Objetivo.-
Proporcionar las
plataformas apropiadas
para soportar
aplicaciones de
negocios originadas de
una evaluación del
desempeño del
hardware y software.
Sylvia Esther Galindo
CA9-6
AL4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO
Al4.2 Materiales
de
entrenamiento;
Enfocados al
uso del sistema
en la práctica
diaria.
Al4.3
Levantamiento
de procesos:
deben ser
organizados y
secuenciados.
Al4.1 Manuales de procedimientos
de usuarios y controles;
Explicación de actividades para
saber como se ejecuta los
procedimientos, para el mejor
desempeño y control.
Al4.3 Manuales de Operaciones
y controles; Diseñado para el
ingreso, proceso y salida de
información de las aplicaciones
en la gestión del usuario.
Sylvia Esther Galindo
CA9-6
AL5 INSTALACIÓN Y ACEPTACIÓN DE LOS SITEMAS - PROCESO
OBJETIVO.-Verificar y
Confirmar que la solución tecnológica
propuesta sea adecuada para cumplir con lo
deseado.
Al5.1 Capacitación del personal; de
acuerdo al plan de entrenamiento
definido, la arquitectura física y
plataforma.
Al5.2 Conversión / carga de datos;
que los elementos
anteriores sean convertidos al sistema nuevo.
Al5.3 Pruebas específicas; con el objeto de obtener un producto de
calidad.
Al5.4 Validación y acreditación; la
Gerencia de operaciones y
usuarios acepten los resultados de las
pruebas junto con el riesgo.
Al5.5 Revisiones post
implementación; con el objeto de
reportar si el sistema
proporciono los beneficios esperados.
Sylvia Esther Galindo
CA9-6
AL6 ADMINISTRACIÓN DE CAMBIOS- PROCESO
OBJETIVO.-
Minimizar la
probabilidad de
interrupciones, altera
ciones mediante la
administración
eficiente del sistema
Al6.4 Autorización de cambios;
registro y documentació
n de los cambios
autorizados.
Al6.5 Manejo de
liberación; regida por
procedimientos formales.
Al6.6 Distribución de software;
estableciendo medidas de control, y
asegurar la distribución de software.
Al6.1 Identificació
n de cambios;
Cambios en las
aplicaciones
diseñadas.
Al6.2 Procedimiento
s; de categorización, priorización y emergencia de solicitudes de
