Embed Size (px)
Citation preview
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
PRESENTACIÓN DEL DOMINIO: ADQUISICIÓN E
IMPLEMENTACION
VALERIA PEREIRA BRAVO
CA 9-4
AÑO LECTIVO
2012-2012
AI ADQUISICIÓN E IMPLEMENTACION -
DOMINIOP
RO
CE
SO
S
AI1 Identificación de soluciones automatizadas
AI2 Adquisición y mantenimiento del software apropiado
AI3 Adquisición y mantenimiento de la infraestructura tecnológica
AI4 Desarrollo y mantenimiento de Procesos
AI5 Instalación y aceptación de los sistemas
AI6 Administración de los Cambios
AI 1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS
Permite a las organizaciones minimizar el
costo para Adquirir e Implementar
soluciones, mientras que al mismo tiempo
facilitan el logro de los objetivos del
negocio.
La definición de las necesidades
Considera las fuentes alternativas
Realiza una revisión de la factibilidad
tecnológica y económica
Ejecuta un análisis de riesgo
Ejecuta un análisis de costo-beneficio
Concluye con una decisión final de
“desarrollar” o “comprar”
AI 1.1 Definición de requerimientos de
información
Para aprobar el proyecto de desarrollo
AI 1.2 Estudio de factibilidad
Desarrollar estudios de factibilidad que examine la
posibilidad de implementar los requerimientos.
AI 1.3 Arquitectura de la información
Identificar, dar prioridad, especificar y acordar los requerimientos del negocio funcionales y técnicos que cubran el
alcance completo de todas las iniciativas requeridas para lograr los resultados
esperados de los programas de inversión de TI.
AI 1.4 Seguridad con relación costo-beneficio
Controlar que los costos de inversión no superen a los
beneficios
AI 1.5 Pistas de auditoria
Proteger a los datos del usuario como pueden se su identificación o
evitar que se creen campos adicionales en su registro.
AI 1.6 Contratación de terceros
Busca adquirir productos en buen estado y de calidad
AI 1.7 Aceptación de instalaciones y tecnologías
El patrocinador del negocio tiene la decisión final con respecto a la
elección de la solución y al enfoque de adquisición.
Para llevar a cabo un examen, revisión o
auditoría, se hace necesario, para poder
emitir una opinión sobre el trabajo
realizado, recopilar la evidencia
suficiente y apropiada que sirva e base
para sustentar las conclusiones,
opiniones y recomendaciones..
AI 5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCION
Objetivos de protección y Seguridad
Responsabilidad Individual
Seguimiento de las acciones del usuario
Reconstrucción de eventos
Identificar acciones anormales realizadas y a sus autores
Detección de Instrucciones
Realizar un examen en tiempo real o por tramos.
Identificación de Problemas
Para detectar problemas adicionales en el sistema
Pistas de auditoria - Evidencia
Identificador del Usuario
Debe proporcionarse en cada evento
Cuando a ocurrido el evento
Registrado por fecha y hora
Identificador de host
El registro informa de las conexiones realizadas a la red
Tipo de evento
Registrar las acciones realizadas a niveles de capas ya se en
el sistema o en las aplicaciones
Este tipo de prueba tiene una función
relevante, que permita tener un mejor
criterio a la hora de determinar y
esclarecer ciertos hallazgos. Lo que se
pretende es dar un nuevo enfoque al uso
y aplicación de este tipo de instrumento.
• PrevenciónRiesgo
• DetecciónIncidente Error
• RepresiónRepresión
• CorrecciónCorrección
• EvaluaciónRecuperación
AI5.3 PISTAS DE AUDITORIA- EVOLUCIÓN DEL RIESGO-ERRORES
POTENCIALES EN TECNOLOGIAS INFORMATICAS
•Datos Blancos
•Datos Ilegibles
•Problemas de Transcripción
•Error de Cálculos en medidas indirectas
•Registro de Valores Imposibles
•Negligencias
•Falta de aleatoriedad
•Violentar la secuencia para recolección
Errores Potenciales
Prevención
Detección - Síntomas
Diagnostico
Corrección
Evaluación
AI5.4 PISTA DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION
DEL RIESGO
Predicción - Actuar sobre la causa
- Técnicas y políticas de control involucrados
- Empoderar a los actores
- Crear valores y actitudes
Existen tres tipos de conexiones
que se deben definir estas son
LAN(red de área local),
WAN(Red de área amplia),
Plataformas de internet.
AI5.6 PISTAS DE AUDITOIA – POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS-PROCESO
Políticas para sistemas
distribuidos
AI 5.6.1 No Discrecional
AI 5.6.2 Disponibilidad
AI 5.6.3 Administración y control de acceso
AI 5.6.4 Criptográfica
AI 5.6.5 Integridad y
confidencialidad de datos
AI5.6.6 Dependientes y
por defecto
Cifrado de la información
Se emplea un código que se ilegible encaso de un ataque y solo es deconocimiento del emisor y receptor típicaen aplicaciones cliente servidor, peroactualmente muy utilizada en sistemasdistribuidos para otorgar permisos deacceso.
AI5.6.2.1 Técnicas de cifrado de la información
AI5.6.2.3.1 Técnicas de integridad y confidencialidad
Integridad
Verificar integridad de la información
En entornos de red lo mas común es utilizar un passwordpara ingresar a una aplicación determinada.
Controles de acceso mas sofisticados pueden incluiridentificadores físicos, biológicos o de otra índole.
En los bancos es común una identificación de lacuenta y el usuario por medio de tarjetas decrédito
AI 5.6.2.3.2 Técnicas de autenticación
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Permite a las organizaciones apoyar la operatividad del
negocio de forma apropiada con las aplicaciones automatizadas
correctas.
Este proceso cubre el diseño de las aplicaciones
La inclusión apropiada de controles aplicativos y requerimientos de seguridad
El desarrollo y configuración de acuerdo a los estándares
AI3 ADQUISICIONY MANTENIMIENTO DE LA
INFRAESTRUCTURA TECNOLOGICA - PROCESO
Las organizaciones deben
contar con procesos para
adquirir, implementar y
actualizar la infraestructura
tecnológica
Esto requiere de un enfoque
planeado para adquirir,
mantener y proteger la
infraestructura de acuerdo con
las estrategias tecnológicas
convenidas y la disposición del
ambiente de desarrollo y
pruebas.
Esto garantiza que exista un
soporte tecnológico
continuo para las
aplicaciones del negocio.
AI3.1 Evaluación de Tecnología
Para identificar como afectara el nuevo hardware y software sobre el sistema en general. Evaluar los costos de complejidad y viabilidad
comercial del proveedor y producto al añadir nueva capacidad técnica.
AI3.2 Mantenimiento preventivo
Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo
con el procedimiento de administración de cambios de la organización.
AI 3.3 Seguridad del software de sistemas
Implementar medidas de control interno, seguridad y auditabilidaddurante la configuración, integración y mantenimiento del hardware y
software para proteger los recursos y garantizar su disponibilidad e integridad.
AI4.1 Manuales de procedimiento de usuarios y controles
• Transferencia de conocimiento y habilidad para permitir que los usuarios finales utilicen con
efectividad y eficiencia el sistema de aplicación como apoyo a los procesos del negocio.
AI4.2 Manuales de entrenamiento
• Para que el usuario se familiarice con el uso diario del sistema
AI4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO
Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona
entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura.
AI4.3 Manuales de Operaciones y controles
AI 3 Manuales de operaciones y controles
• Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y de operaciones que entregue, apoyen y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los
niveles de servicio requeridos.
AI4 Levantamiento de proceso
• Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la
capacidad de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente
por la producción de procedimientos de administración, de usuario y operativos, como resultado de la introducción o actualización de
sistemas automatizados o de infraestructura
AI 5 INSTALACION Y ACEPTACION DE LOS SISTEMAS
- PROCESO
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de
prueba relevantes, definir la transición e instrucciones de migración, planear la
liberación y la transición en si al ambiente de producción, y revisar la post-
implantación. Esto garantiza que los sistemas operativos estén en línea con las
expectativas convenidas y con los resultados.
AI 5.1 Capacitación del personal
Entrenar ala personal de los departamentos de usuario afectados y al grupo de operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a los materiales
asociados, como parte de cada proyecto de sistemas de la información de desarrollo,
implementación o modificación.
AI 5.2 Conversión /Carga de datos
Plan de conversión de datos y migración de infraestructura como parte de los métodos de
desarrollo de la organización, incluyendo pistas de auditoria, respaldo y vuelta atrás.
AI 5.3 Pruebas Especificas
Remediar los errores significativos identificaciones en el proceso de pruebas,
habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y cualquier
prueba de regresión necesaria. Siguiendo la evaluación, aprobación promoción a producción.
AI 5.4 Validación y acreditación
Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a operaciones, manteniéndolo en línea con el plan de
implantación. Obtener la aprobación de los interesados clave, tales como usuarios, dueño de
sistemas y gerente de operaciones
AI 5.5 Revisión Posterior a la implantación
Establecer procedimientos en línea con los estándares de gestión de cambios organizacionales para requerir
una revisión posterior a la implantación como conjunto de salida en el plan de implementación.
Todos los cambios, incluyendo el mantenimiento de
emergencia y parches, relacionados con la
infraestructura y las aplicaciones dentro del ambiente
de producción, deben administrarse formalmente y
controladamente. Los cambios (incluyendo
procedimientos, procesos, sistemas y parámetros del
servicio) se deben registrar, evaluar y autorizar
previo a la implantación y revisar contra los
resultados planteados después de la implantación.
Esto garantiza la reducción de riesgos que impactan
negativamente la estabilidad o integridad del
ambiente de producción.
AI 6 ADMINISTRACION DE CAMBIOS- PROCESO
AI 6.1 Identificación de Cambio
• Establecer procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y
parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistemas
y servicios, y las plataformas fundamentales.
AI6.2 Procedimientos
• . Esta evaluación deberá incluir categorización y priorización de los
cambios.
AI6.3 Evaluación del impacto que provocaran
los cambios
• Garantizar que todas las solicitudes de cambio se
evalúen de una estructurada manera en cuanto a impactos en
el sistema operacional y su funcionalidad.
AI 6.4 Autorización de Cambios
• Previo a la migración hacia producción, los interesados
correspondientes autorizan los cambios.
AI 6.5 Manejo de Liberación
• Se siguen procedimientos formales que garanticen la
aprobación de liberación de software
AI 6.6 Distribución de Software
• Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la
documentación de usuario y procedimientos correspondientes.
Establecer un proceso de revisión para garantizar la implantación completa de los
cambios.
