Upload
carlos-escobar
View
228
Download
0
Embed Size (px)
DESCRIPTION
Esquema de evaluación de la prestación y soporte de sistemas y aplicaciones COBIT
Citation preview
PS DOMINIO: PRESTACIÓN Y SOPORTE - PROCESO
Este dominio hace referencia a la entrega de los servicios requeridos, que abarcadesde las operaciones tradicionales hasta el entrenamiento pasando por seguridad yaspectos de continuidad. Deberán establecerse los procesos de soporte necesarios.
OPO
RTE
OPO
RTE
Este dominio cubre los controles el procesamiento de los datos y controles poraplicación que incluyen módulos de cada uno de ellos, integrados entre lasaplicaciones.
PS1 Definición de niveles de servicio
AC
IÒN
Y S
OA
CIÒ
N Y
SO PS1 Definición de niveles de servicio
PS2 Administración de servicios prestados por tercerosPS3 Administración de desempeño y capacidadPS4 Asegurar el Servicio Continuo
O –
PRES
TAO
–PR
ESTA
PS4 Asegurar el Servicio ContinuoPS5 Garantizar la seguridad de sistemasPS6 Educación y entrenamiento de usuariosPS7 Identificación y asignación de costos
PS D
OM
INIO
PS D
OM
INIO PS7 Identificación y asignación de costos
PS8 Apoyo y asistencia a los clientes de TI
PS10 Administración de ProblemasPS9 Administración de la configuración
PP PS10 Administración de ProblemasPS11 Administración de DatosPS12 Administración de las instalacionesPS13 Administración de la operaciónPS13 Administración de la operación
Dr.. Carlos Escobar P, Mgs
PS1 DEFINICIÓN DE NIVELES DE SERVICIO - PROCESO
Objetivo. Establecer una comprensión común del nivel de serviciorequerido para ello se establecen convenios de niveles de servicio queformalicen los criterios de desempeño contra los cuales se medirá la
OPO
RTE
OPO
RTE
calidad del servicio tomando en consideración:
PS1.1 Convenios formales; Dedi ibilid d fi bilid d d ñ
PS1.2 Definición de responsabilidades de losusuarios y de los servicios de información. El
AC
IÒN
Y S
OA
CIÒ
N Y
SO disponibilidad, confiabilidad, desempeño,
capacidad de crecimiento, nivel de soporteproporcionado al usuario, plan decontingencia/recuperación, nivel mínimo
usuarios y de los servicios de información. Elmanual de usuario reflejará los procedimientosdel usuario que guardará relación con el manualde la aplicación.
O –
PRES
TAO
–PR
ESTA
g p ,aceptable de funcionalidad, restricciones ycargos por servicio.
PS1.4 Procedimientos de desempeño; Asegurarque las responsabilidades sobre las relacionesque rigen el desempeño de todos los involucrados
PS D
OM
INIO
PS D
OM
INIO
PS1.3 Definición de dependencias;asignando un Gerente de nivel de Servicioque sea responsable de monitorear y
sean establecidas, coordinadas, mantenidas ycomunicadas a todos los departamentosafectados.
PP PS1.5 Provisiones; Para elementos sujetos acargo en los acuerdos de niveles de servicio parahacer posibles comparaciones y decisiones deniveles de servicios contra su costo
reportar los alcances de los criterios dedesempeño del servicio especificado y todoslos problemas encontrados durante elprocesamiento. niveles de servicios contra su costo.procesamiento.
Dr.. Carlos Escobar P, Mgs
PS2 ADMINISTRACIÓN DE SERVICIO PRESTADOS POR TERCEROS - PROCESO
Objetivo. Asegurar que las tareas y responsabilidades de las terceras partes esténclaramente definidas, que cumplan y continúen satisfaciendo los requerimientospara ello se establecen medidas de control dirigidas a la revisión y monitoreo de
OPO
RTE
OPO
RTE
contratos y procedimientos existentes, en cuanto a su efectividad y suficienciarespecto de las políticas de la organización , considerando:
PS2.1 Procedimientos de desempeño; Acuerdos de servicios con terceras partes a través de
AC
IÒN
Y S
OA
CIÒ
N Y
SO PS2.1 Procedimientos de desempeño; Acuerdos de servicios con terceras partes a través de
contratos entre la organización y el proveedor de la administración de instalaciones estebasado en niveles de procesamiento, seguridad y monitoreo.
O –
PRES
TAO
–PR
ESTA PS2.2 Acuerdos de confidencialidad; Se deberá calificar a los terceros y el contrato deberá
definirse y acordarse para cada relación de servicio con un proveedor.
PS D
OM
INIO
PS D
OM
INIO PS2.3 Requerimientos legales regulatorios; Para asegurar que estos concuerde con los
acuerdos de seguridad identificados, declarados y acordados.
PP
PS2.4 Monitoreo de la entrega de servicio; Con el fin de asegurar el cumplimiento de losacuerdos del contrato.
Dr.. Carlos Escobar P, Mgs
PS3 ADMINISTRACIÓN DE DESEMPEÑO Y CAPACIDAD - PROCESO
Objetivo. Asegurar que la capacidad adecuada está disponible y que se estéhaciendo el mejor uso de ella para alcanzar el desempeño deseado, para ello serealizan controles de manejo de capacidad y desempeño que recopilen datos y
OPO
RTE
OPO
RTE
reporten acerca del manejo de cargas de trabajo, tamaño de aplicaciones, manejo ydemanda de recursos considerando:
PS3.1 Requerimientos de disponibilidad yd ñ d l i i d i t d
PS3.2 Monitoreo y reporte de los recursos det l í d i f ió
AC
IÒN
Y S
OA
CIÒ
N Y
SO
PS3.3 Utilizar herramientas de modelado;
desempeño de los servicios de sistemas deinformación;
PS3.4 Administración de capacidad
tecnología de información;
O –
PRES
TAO
–PR
ESTA apropiadas para producir un modelo del
sistema actual para apoyar el pronóstico delos requerimientos de capacidad,confiabilidad de configuración desempeño y
PS3.4 Administración de capacidadestableciendo un proceso de planeación parala revisión del desempeño y capacidad desoftware y hardware con el fin de asegurar en
PS D
OM
INIO
PS D
OM
INIO
PS3.5 Prevenir que se pierda la disponibilidadde recursos; mediante la implementación de
confiabilidad de configuración, desempeño ydisponibilidad.
cantidad y calidad su desempeño.
PP mecanismos de tolerancia de fallas,asignación equitativa de recursos y deprioridad de tareas.
Dr.. Carlos Escobar P, Mgs
PS4 ASEGURAR EL SERVICIO CONTINUO - PROCESO
Objetivo. Mantener el servicio disponible de acuerdo con los requerimientos ycontinuar su provisión en caso de interrupciones con un plan de continuidadprobado y funcional, que esté alineado con el plan de continuidad del negocio y
l i d l i i t d i l l d b li
OPO
RTE
OPO
RTE
relacionado con los requerimientos de negocio para lo cual debe realizarse:
PS4.1.1 Planificación de sistemas documentar el diseño de sistemas y aplicaciones principalmente apartir del diseño lógico que constituye el trabajo del profesional de sistemas reconociendo que la
AC
IÒN
Y S
OA
CIÒ
N Y
SO
Planificación de Severidad;
p g q y j p qdocumentación física es parte del archivo permanente de la empresa.
O –
PRES
TAO
–PR
ESTA Plan Documentado;
Procedimientos Alternativos;Respaldo y Recuperación;
á
PS D
OM
INIO
PS D
OM
INIO Pruebas y entrenamiento sistemático y singulares;
PP
Dr.. Carlos Escobar P, Mgs
PS4.3 PROCEDIMIENTOS ALTERNATIVOS- PROCESO
PS4.3.1. Procedimientos alternativos; Diseño de procedimientos alternativos paracuando se suspenda el servicio informático principal por congestión del servidor dedatos, dificultad de acceso al servidor de Internet o al servidor de aplicaciones a
OPO
RTE
OPO
RTE
, ptravés del apoyo de otros servidores de respaldo; utilización de otras vías alservidor de Internet o apoyarse por otro proveedor de Servicio de Internet igualque para el servidor de aplicación .
AC
IÒN
Y S
OA
CIÒ
N Y
SO
SERVIDOR DE APLICACIONES:SERVIDOR WEB
O –
PRES
TAO
–PR
ESTA GESTOR BASE
DE DATOS GBD:
PS D
OM
INIO
PS D
OM
INIO
PP
PS4.4 RESPALDO Y RECUPERACIÓN- PROCESO
PS4.4.1. La documentación física y lógica del sistema debe realizarsesistemáticamente para asegurar la continuidad del servicio. Con mayorpreocupación e importancia, la administración de la empresa debe preocuparse del
OPO
RTE
OPO
RTE
respaldo y recuperación de los datos ante cualquier riesgo, siniestro o amenaza depérdida o destrucción de la información.
PS4.4.2. Planificar el sistema derespaldo a diferentes unidades lógicas
AC
IÒN
Y S
OA
CIÒ
N Y
SO
SERVIDOR DESERVIDOR APLICACIONES:
esp do d e e es u d des óg c sdel sistema: unidades de cinta, discoscompactos o discos duros
PS4.4.2. Planificar servidor de
O –
PRES
TAO
–PR
ESTA
SERVIDOR DE DOCUMENTOS:
PS4.4.2. Planificar servidor dereplica o espejo del servidor principalde respaldo de la información.
PS D
OM
INIO
PS D
OM
INIO
GESTOR BASE DE DATOS GBD
PS4.4.3. Determinar instancias detiempo o frecuencias de autograbadosin que dificulte la prestación delservicio informático principalmentePP DE DATOS GBD: servicio informático, principalmentepara los procesos de lotes querequiere la aplicación para actualizarlos datos.
PS5 GARANTIZAR LA SEGURIDAD DE SISTEMAS- PROCESO
Objetivo. salvaguardar la información contra uso no autorizados, divulgación,modificación, daño o pérdida realizando controles de acceso lógico que asegurenque el acceso a sistemas, datos y programas está restringido a usuarios
t i d id d
OPO
RTE
OPO
RTE
autorizados considerando:
PS.5.1 Perfiles e identificación de usuarios; estableciendo procedimientos para asegurar accionesoportunas relacionadas con la requisición, establecimiento, emisión y suspensión de cuentas de
i
AC
IÒN
Y S
OA
CIÒ
N Y
SO
PS.5.2 Autenticación y autorización; Restricción de acceso al sistema y a la informacióninstrumentando mecanismos y reglas de autenticación.
usuario.
O –
PRES
TAO
–PR
ESTA PS.5.3 Administración de llaves criptográficas; Implementando procedimientos y protocolos a
ser utilizados en la generación, distribución, certificación, almacenamiento, entrada, utilizacióny archivo de llaves criptográficas con el fin de asegurar la protección de las mismas.
PS D
OM
INIO
PS D
OM
INIO
PS.5.4 Firewalls (cortafuegos); si existe una conexión con Internet u otras redes públicas en laorganización.
PP
PS.5.6 Prevención y detección de virus; tales como Troyano, estableciendo adecuadasmedidas de control preventivas, detectivas y correctivas.
Tarde o temprano la cadena se romperá por el eslabón más débilDr.. Carlos Escobar P, Mgs
PS5 GARANTIZAR LA SEGURIDAD DE SISTEMAS- PROCESO
DEBE ESTAR RAZONABLEMENTE BIEN:
PARA ESTAR SEGURO NO BASTA UN BUEN MOTOR
OPO
RTE
OPO
RTE
DEBE ESTAR RAZONABLEMENTE BIEN:El Sistema eléctrico, batería, alternador;La Refrigeración, bomba de agua, radiador;
AC
IÒN
Y S
OA
CIÒ
N Y
SO radiador;
Los Amortiguadores y neumáticos y frenos;Entre otros componentes del vehículo.
O –
PRES
TAO
–PR
ESTA
PERO TAMBIÉN
Entre otros componentes del vehículo.
PS D
OM
INIO
PS D
OM
INIO Seguro
Permiso de circulaciónInspección Técnica de Vehículos
PP Impuesto de tráficoEtc.
Dr.. Carlos Escobar P, Mgs
PS5 GARANTIZAR LA SEGURIDAD DE SISTEMAS- PROCESO NN
• PS.5.1 Hardening de sistemas;• PS.5.2 Mecanismos de control de acceso;
ESLABONES SEGURIDAD TECNOLÓGICA
GA
NIZ
AC
IÓN
GA
NIZ
AC
IÓN PS.5.2 Mecanismos de control de acceso;
• PS.5.3. Antivirus;• PS.5.4 Criptografía;• PS.5.5 Firewels y VPN;
PS 5 6 Si t d d t ió d i t
CIÓ
N Y
OR
GC
IÓN
Y O
RG
ESLABONES NO TECNOLÓGICOS
• PS.5.6 Sistema de detección de intrusos;• PS.5. 7 Smart cards; y, • PS.5.8 Biometría
LAN
IFIC
AC
LAN
IFIC
AC
• Políticas de seguridad;Pl d id d
ESLABONES NO TECNOLÓGICOS:
OM
INIO
-P
OM
INIO
-P • Plan de seguridad;
• Análisis y gestión de riesgos;• Plan de contingencias;• Seguridad física;
PO D
OPO
DO g ;
• Seguridad de personal; y,• Procedimientos de seguridad.
Dr.. Carlos Escobar P, Mgs
PS6 EDUCACIÓN Y ENTRENAMIENTO DE USUARIOS- PROCESO
Objetivo. Proporcionar un ambiente físico conveniente que proteja el sistema, lainformación y el personal de TI contra peligros naturales (fuego, polvo, calorexcesivos) o fallas humanas implementando políticas, principios, procedimientos degestión y control
OPO
RTE
OPO
RTE
gestión y control.
PS6.3 Técnicas de concientización;P i d
PS6.3 Plan de entrenamiento;
AC
IÒN
Y S
OA
CIÒ
N Y
SO Proporcionar un programa de
educación y entrenamiento queincluya conducta ética de la funciónde servicios de información.
Establecer y mantenerprocedimientos para identificar ydocumentar las necesidades deentrenamiento del personal que
O –
PRES
TAO
–PR
ESTA
entrenamiento del personal quehaga uso de los servicios deinformación
PS6 2 Campañas de concientización;
PS D
OM
INIO
PS D
OM
INIO PS6.2 Campañas de concientización;
definiendo los grupos objetivos,identificar y asignar entrenadores yorganizar oportunamente las sesiones de
PP
g pentrenamiento.
Dr.. Carlos Escobar P, Mgs
PS6 EDUCACIÓN Y ENTRENAMIENTO DE USUARIOS- PROCESO
AUTENTICACIÓN
OPO
RTE
OPO
RTE
Gestión de usuarios y autenticación
AC
IÒN
Y S
OA
CIÒ
N Y
SO
Gestión de passwords y privilegiosAutenticación de conexiones externas
O –
PRES
TAO
–PR
ESTA
Autenticación de conexiones externasAutenticación de dispositivos
PS D
OM
INIO
PS D
OM
INIO
PP
Dr.. Carlos Escobar P, Mgs
PS6 EDUCACIÓN Y ENTRENAMIENTO DE USUARIOS- AUTENTICACIÓN -PROCESO
GESTIÓN DE USUARIOS Y AUTENTICACIÓN
Ó Ó
OPO
RTE
OPO
RTE
Procedimiento de altas y bajas de
REGISTRO DE USUARIOS IDENTIFICACIÓN Y AUTENTICACIÓN DE LOS USUARIOS
Usuarios con identificador único;
AC
IÒN
Y S
OA
CIÒ
N Y
SO
y jusuarios que incluya:
Usar un identificador único paracada usuario;Garantizar que no se dará acceso
;
Los identificadores no deben indicar elnivel de privilegio;
O –
PRES
TAO
–PR
ESTA
Garantizar que no se dará accesohasta que se complete laautorización;Mantener un registro de los usuariosque pueden usar el servicio;
Varios procedimientos deautenticación para comprobar laidentidad del usuario:
Passwords
PS D
OM
INIO
PS D
OM
INIO
q p ;Eliminar las autorizaciones a losusuarios que dejan la Organización;y,Revisar periódicamente las cuentas
Passwords,Tokens; y,Biometría
PP Revisar periódicamente las cuentasde usuario redundantes.
Incluir cláusulas en el contrato laboralque especifiquen las sanciones si serealizan accesos no autorizados.
Dr.. Carlos Escobar P, Mgs
PS6 EDUCACIÓN Y ENTRENAMIENTO DE USUARIOS- AUTENTICACIÓN -PROCESO
GESTIÓN DE PRIVILEGIOS
GESTIÓN DE PASSWORDS Y PRIVILEGIOS
GESTIÓN DE CONTRASEÑAS
OPO
RTE
OPO
RTE
DEBE CONTROLARSE EL USO YASIGNACIÓN DE PRIVILEGIOSTENIENDO EN CUENTA ...
Identificar los privilegios de cada elemento
SE DEBE CONTROLAR LA ASIGNACIÓNDE CONTRASEÑAS POR MEDIO DE UNPROCESO QUE DEBE ...
AC
IÒN
Y S
OA
CIÒ
N Y
SO Identificar los privilegios de cada elemento
del sistema y las categorías de empleadosque los necesitan;Asignar privilegios según la necesidad ycaso por caso;
QDar inicialmente una contraseña temporalsegura que se cambiará en el primer logon;También se darán contraseñas temporales
O –
PRES
TAO
–PR
ESTA
caso por caso;Mantener un proceso de autorización y unregistro de los privilegios asignados;No se darán privilegios hasta que secomplete el proceso de autorización;
cuando un usuario olvide la suya, sólodespués de identificar al usuario; y,Establecer una forma segura para dar las
t ñ t l l i
PS D
OM
INIO
PS D
OM
INIO complete el proceso de autorización;
Promover el desarrollo y uso de rutinaspara evitar la asignación de privilegios a losusuarios; y,Asignar los privilegios a un identificador de
contraseñas temporales a los usuarios.LAS CONTRASEÑAS NO SEALMACENARÁN SIN PROTEGERLASCON OTRAS TECNOLOGÍAS PORPP Asignar los privilegios a un identificador de
usuario distinto del asignado para usonormal.
CON OTRAS TECNOLOGÍAS, POREJEMPLO CIFRADO
Dr.. Carlos Escobar P, Mgs
PS6 EDUCACIÓN Y ENTRENAMIENTO DE USUARIOS- AUTENTICACIÓN -PROCESO
AUTENTICACIÓN - GESTIÓN DE PASSWORDS Y PRIVILEGIOS
USO DE CONTRASEÑAS
OPO
RTE
OPO
RTE LOS USUARIOS SEGUIRÁN BUENAS PRÁCTICAS
CON SUS PASSWORDS;Mantenerlas confidenciales no compartirlas;
USO DE CONTRASEÑAS
AC
IÒN
Y S
OA
CIÒ
N Y
SO Mantenerlas confidenciales, no compartirlas;
No escribirlas en papel;Cambiarlas si se sospecha que esta comprometida;Seleccionar contraseñas de buena calidad que
O –
PRES
TAO
–PR
ESTA Seleccionar contraseñas de buena calidad que
sean:Difíciles de adivinar y fáciles de recordar;No basadas en nombre fecha de nacimiento
PS D
OM
INIO
PS D
OM
INIO No basadas en nombre, fecha de nacimiento,
número de teléfono, entre otras; y,Que incluyan números y letras.
cambiarlas periódicamente evitando reutilizarlasPP cambiarlas periódicamente evitando reutilizarlasno incluirlas en procedimientos automático deconexión
Dr.. Carlos Escobar P, Mgs
PS6 EDUCACIÓN Y ENTRENAMIENTO DE USUARIOS- AUTORIZACION-PROCESO
PROTECCIÓN DE LOS RECURSOS DEL SISTEMA
OPO
RTE
OPO
RTE
EQUIPAMIENTO INFORMÁTICO DE USUARIO DESATENDIDO
USO DE UTILIDADES DEL SISTEMA
La mayoría de los sistemas informáticos disponen de
AC
IÒN
Y S
OA
CIÒ
N Y
SO LOS USUARIOS DEBEN ASEGURASE
DE QUE LOS EQUIPOS ESTÉNPROTEGIDOS CUANDO QUEDANDESATENDIDOS.
utilidades capaces de eludir los control; y,Es fundamental que su uso se restrinja y se mantengacontrolado.
U di i t d t ti ió l
O –
PRES
TAO
–PR
ESTA Cerrar las sesiones activas antes de
marcharse;Bloquear el equipo, por ejemplo con unprotector de pantalla con contraseña; y,
Usar procedimientos de autenticación para lasutilidades;Segregar y limitar el uso y disponibilidad de lasutilidades respecto al software aplicativo;
PS D
OM
INIO
PS D
OM
INIO Hacer log-off cuando se ha terminado
la sesión.utilidades respecto al software aplicativo;Autorizar el uso de las utilidades solo con unpropósito concreto;Definir y documentar los niveles de autorizaciónPP Definir y documentar los niveles de autorizaciónpara las utilidades; y,Desactivar todas las utilidades que no seannecesarias.
Dr.. Carlos Escobar P, Mgs
PS6 EDUCACIÓN Y ENTRENAMIENTO DE USUARIOS- AUTORIZACION-PROCESO
DESCONEXIÓN AUTOMÁTICA Y VENTANAS TEMPORALES
OPO
RTE
OPO
RTE
á
DESCONEXIÓN AUTOMÁTICA DE TERMINALES
LIMITACIÓN DEL TIEMPO DE CONEXIÓN
AC
IÒN
Y S
OA
CIÒ
N Y
SO Los terminales de riesgo se desactivarán
tras un periodo de inactividad;La desactivación borrará la pantalla ycerrará la aplicación y las sesiones; y,
Limitar el periodo de tiempo durante el que seaceptan conexiones reduce la ‘ventana’ deoportunidad para accesos no autorizados; y,Estas medidas se emplearán para aplicaciones
O –
PRES
TAO
–PR
ESTA Muchos PCs suelen tener una forma
limitada de este dispositivo que borra lapantalla, pero no cierra la aplicación olas sesiones.
sensibles, en especial para terminalesinstalados en áreas de riesgo con restriccionescomo ...
Usar ‘ventanas’ de tiempod t i d
PS D
OM
INIO
PS D
OM
INIO predeterminadas; y,
La restricción de tiempos de conexión alhorario normal de oficina, si no existenrequerimientos para operar fuera de estehorarioPP horario.
Dr.. Carlos Escobar P, Mgs
PS7 IDENTIFICACIÓN Y ASIGNACIÓN DE COSTOS- PROCESO
Objetivo. Asegurar un conocimiento correcto de los costos atribuibles a losservicios de TI realizando un sistema de contabilidad de costos que asegure queéstos sean registrados, calculados y asignados a los niveles de detalle requeridos
OPO
RTE
OPO
RTE
identificando:
PS7.1 Costo razonable; Los elementos PS7.2 Procedimientos y políticas de cargo;
AC
IÒN
Y S
OA
CIÒ
N Y
SO sujetos a cargo deben ser recursos
identificables, medibles y predecibles paralos usuarios.
Fomentar el uso apropiado de los recursosinformáticos y asegurar trato justo de losdepartamentos usuarios y sus necesidades.
O –
PRES
TAO
–PR
ESTA
PS7.3 Tarifas; Definiendo eimplementando procedimientos de costeodel servicios, para ser analizados,
PS D
OM
INIO
PS D
OM
INIO
, p ,monitoreados y evaluados asegurando sueconomía.
PP
Dr.. Carlos Escobar P, Mgs
PS8 APOYO Y ASISTENCIA A LOS CLIENTES DE TI- PROCESO
Objetivo. asegurar que cualquier problema experimentado por los usuarios seaatendido apropiadamente conformando un Buró de ayuda que proporcionesoporte y asesoría de primera línea, considerando:
OPO
RTE
OPO
RTE PS8.1 Consultas de usuarios y respuesta
a problemas; estableciendo un soporte
PS8.2 Monitoreo de consultas y despacho;estableciendo procedimientos que aseguren quel t d l li t d
AC
IÒN
Y S
OA
CIÒ
N Y
SO
p pde una función de buró de ayuda. las preguntas de los clientes que pueden ser
resueltas sean reasignadas al nivel adecuadopara atenderlas..
O –
PRES
TAO
–PR
ESTA PS8.3 Análisis y reporte de tendencias;
adecuado de las preguntas de los clientesy su solución, de los tiempos de respuestay la identificación de tendencias
PS D
OM
INIO
PS D
OM
INIO y la identificación de tendencias.
PP
Dr.. Carlos Escobar P, Mgs
PS9 ADMINISTRACIÓN DE LA CONFIGURACIÓN- PROCESO
Objetivo. Prevenir alteraciones no autorizadas, verificar la existencia física yproporcionar una base para el sano manejo de cambios a través de controles queidentifiquen y registren todos los activos, así como su localización física y un
l d ifi ió fi i t i l l d b
OPO
RTE
OPO
RTE
programa regular de verificación que confirme su existencia para lo cual se debe:
PS9.1 Registro de activos; estableciendo PS9.2 Administración de cambios en la
AC
IÒN
Y S
OA
CIÒ
N Y
SO procedimientos para asegurar que sean
registrados únicamente elementos deconfiguración autorizados e identificablesen el inventario al momento de
configuración; asegurando que los registros deconfiguración reflejen el status real de todos loselementos de la configuración.
O –
PRES
TAO
–PR
ESTA
en el inventario, al momento deadquisición.
PS9 3 Chequeo de software no autorizado; PS9.4 Controles de almacenamiento de
PS D
OM
INIO
PS D
OM
INIO PS9.3 Chequeo de software no autorizado;
revisando periódicamente lascomputadoras personales de laorganización.
software; definiendo un área dealmacenamiento de archivos para todos loselementos de software válidos en las fases delciclo de ida de desarrollo de sistemasPP ciclo de vida de desarrollo de sistemas.
Dr.. Carlos Escobar P, Mgs
PS10 ADMINISTRACIÓN DE PROBLEMAS - PROCESO
Objetivo. Asegurar que los datos permanezcan completos, precisos y válidosdurante su entrada, actualización, salida y almacenamiento, lo cual se logra a travésde una combinación efectiva de controles generales y de aplicación sobre lasoperaciones de TI Para lo cual la administración debe diseñar formatos de entrada
OPO
RTE
OPO
RTE
operaciones de TI. Para lo cual, la administración debe diseñar formatos de entradade datos para los usuarios de manera que se minimicen lo errores y las omisionesdurante la creación de los datos:
AC
IÒN
Y S
OA
CIÒ
N Y
SO PS10.1 Controlando los documentos
fuente; Saber de donde se extraen losdatos, de manera que estén completos,sean precisos y se registren
PS10.2 Chequear software noautorizado; revisando periódicamente
O –
PRES
TAO
–PR
ESTA sean precisos y se registren
apropiadamente. Conformidad ylegalidad de la información.
; plas computadoras personales de laorganización.
PS D
OM
INIO
PS D
OM
INIO
PP
Dr.. Carlos Escobar P, Mgs
PS11 ADMINISTRACIÓN DE DATOS - PROCESO
Objetivo. Asegurar que los datos permanezcan completos, precisos y válidosdurante su entrada, actualización, salida y almacenamiento.
OPO
RTE
OPO
RTE Base de datos; Colección de datos interrelacionados y organizados de modo que correspondan a
las necesidades y estructura de una organización y que puedan ser usados por más de unapersona y por más de una aplicación. Los datos pueden encontrarse en archivos o tablas.
AC
IÒN
Y S
OA
CIÒ
N Y
SO persona y por más de una aplicación. Los datos pueden encontrarse en archivos o tablas.
PS11.1 Crear procedimientos que validen losdatos; De entrada y corrijan o detecten los datos
PS11.2 Crear procedimientos para elalmacenamiento, respaldo y recuperación
O –
PRES
TAO
–PR
ESTA erróneos; como también, procedimientos de
validación para transacciones erróneas demanera que éstas no sean procesadas.
de datos; teniendo un registro físico(discos, disquetes, CDs y cintasmagnéticas) de todas las transacciones ydatos manejados por la organización
PS D
OM
INIO
PS D
OM
INIO datos manejados por la organización.
PS11.3 Asegurar integridad, autenticidad yconfidencialidad de los datos almacenados;Definiendo un manual de documentación yPP Definiendo un manual de documentación yrespaldo.
Dr.. Carlos Escobar P, Mgs
PS11 ADMINISTRACIÓN DE INSTALACIONES - PROCESO
Objetivo: Proporcionar un ambiente físico conveniente que proteja al equipo y alpersonal de TI contra peligros naturales (fuego, polvo, calor excesivos) o fallashumanas lo cual se hace posible con la instalación de controles físicos yambientales adecuados revisados con regularidad definiendo procedimientos que
OPO
RTE
OPO
RTE
ambientales adecuados revisados con regularidad definiendo procedimientos queprovean control de acceso y contemplen su seguridad física.
Principales Causas de Problemas en las Empresas
AC
IÒN
Y S
OA
CIÒ
N Y
SO
Fuego, Inundaciones
Catástrofes
Principales Causas de Problemas en las Empresas
O –
PRES
TAO
–PR
ESTA
Inundaciones,Tormentas, Sabotaje,Terrorismo
18%
PS D
OM
INIO
PS D
OM
INIO
Fallos de sistema y
82%
PP ySoftware
Pequeñas emergencias
Dr.. Carlos Escobar P, Mgs
PS11 ADMINISTRACIÓN DE LA OPERACIÓN - PROCESO
Objetivo: Asegurar que las funciones importantes de soporte de TI estén siendollevadas a cabo regularmente y de una manera ordenada. Esto se logra a través deuna calendarización de actividades de soporte que sea registrada y completada.
OPO
RTE
OPO
RTE
Para ello, la gerencia deberá establecer y documentar procedimientos para lasoperaciones de TI (incluyendo operaciones de red) revisadas periódicamente.
L d i i t ió d t l í t t d l i l t l í l d d
AC
IÒN
Y S
OA
CIÒ
N Y
SO La administración de tecnología trata de seleccionar las nuevas tecnologías y el modo de
aplicarlas con éxito.
El cambio tecnológico es un factor muy importante para obtener ventajas competitivas
O –
PRES
TAO
–PR
ESTA
La clase de tecnología depende de su aplicación:
PS D
OM
INIO
PS D
OM
INIO -Tecnologías de producto: Grupos de ingeniería e investigación de una empresa cuando crean
nuevos productos y servicios
- Tecnología de proceso: La que aplican los empleados de una compañía para realizar su
PP trabajo
- Tecnología de información: Usado para adquirir, procesar y comunicar información.
Dr.. Carlos Escobar P, Mgs
PS11 ADMINISTRACIÓN DE LA OPERACIÓN - PROCESO
EJEMPLO: UN SISTEMA ENSAMBLADO SOBRE LA SIGUIENTE BASE TECNOLÓGICA:
OPO
RTE
OPO
RTE
GESTOR BASE DE DATOS GBD:(SQL server 2008)
• Datos • Imágenes
SERVIDOR DE APLICACIONES:(WebSphere)
SERVIDOR WEBDesarrollo: JAVA
AC
IÒN
Y S
OA
CIÒ
N Y
SO • Imágenes(WebSphere)Desarrollo: JAVA
O –
PRES
TAO
–PR
ESTA
SERVIDOR DE
PS D
OM
INIO
PS D
OM
INIO DOCUMENTOS:
(Actuate)
PP
S O : Windows XPS.O. : Windows XP Dr.. Carlos Escobar P, Mgs
PS11 ADMINISTRACIÓN DE LA OPERACIÓN - PROCESO
SERVICIOS MULTICANAL O MULTICAPA
OPO
RTE
OPO
RTE
Como producto en tiempo real,los servicios multicanal seproponen en una arquitecturaorientada a servicios con cuatro
AC
IÒN
Y S
OA
CIÒ
N Y
SO orientada a servicios con cuatro
capas que abren la informacióny gestión a internet y lasaplicaciones de los sistemas de
O –
PRES
TAO
–PR
ESTA gestión empresarial:
• Capa de presentación• Capa de integración;• Capa de Negocio; y
PS D
OM
INIO
PS D
OM
INIO • Capa de Negocio; y,
• Capa de datos.
PP
Dr.. Carlos Escobar P, Mgs