Módulo adquisición e implementación
-
Upload
mercypojota -
Category
Documents
-
view
167 -
download
0
Transcript of Módulo adquisición e implementación
Para llevar a cabo la estrategia TI las soluciones de TI deben ser
identificadas y a su vez implementadas e integradas dentro
del proceso de negocio .
Proceso
AI1. Identificación de soluciones AutomatizadasAI2. Adquisición y mantenimiento de Software AplicadoAI3. Adquisición y mantenimiento de la infraestructura tecnológicaAI4. Desarrollo y mantenimiento de procesosAI5 Instalación y Aceptación de los sistemasAI 6. Adquisición de los cambios
OBJETIVOAsegurar el mejor enfoque para cumplir con los requisitos de los usuarios mediante un análisis de las oportunidades
Se debe observar:
Áreas usuarias
Sistema Gerencial
Requerimientos
Requerimientos/ objetivos estratégicos
Dirección de
sistemas
VisiónMisión
Planes, Proyectos y programas
PolíticasPrioridades
Aplicaciones (Software)
Áreas usuaria
s
Organización
OBJETIVO
AI01.1 Definición de requerimientos de información para aprobar un proyecto de desarrollo
AI01.2. Estudio de Factibilidad con la finalidad de satisfacer los requerimientos del negocio para el desarrollo del negocio
AI01.5 Pistas de auditoria Proporcionar la capacidad de proteger datos sensitivos.
AI01.3 Arquitectura de información para tener en consideración el modelo de datos
AI01.4 Seguridad con relación de costo- beneficio para controlar los costos
AI01.6 Contratación de terceros Con el objeto de adquirir productos de buena calidad.
AI01.7 Aceptación de instalaciones y tecnología a través del contrato con el proveedor.
Las pistas de auditoria son una serie de registros sobre las actividades del sistema operativo, estas ayudan a cumplir algunos objetivos de protección y seguridad de la información así como evidenciar con suficiencia y competencia.
Objetivos de protección y seguridad Pistas de auditoria
Evidencia
Responsabilidad individual seguimiento de las accionesReconstrucción de eventos Cómo, Cuándo y Quien las realizaDetección de instrucciones mediante un examen automáticoIdentificación de problemas a través de un examen
Identificación del usuario asociado con el eventoCuando ha ocurrido el evento el momento en que se produjo el eventoIdentificador de Host anfitrión que genera el registroTipo de evento En el sistema, en las aplicaciones y resultado del evento
Prevención
Detección
Represión
Corrección
Evaluación
Riesgo
Incidente-error
Daños
Recuperación
Errores potenciales
Datos en blancoDatos ilegiblesProblemas de transcripciónError de cálculo en medidas indirectasRegistro de Valores imposiblesNegligenciaFalta de aleatoriedad
Evaluación del riesgo
Prevención
Detección -
síntomas
Evaluación
Diagnóstico
Corrección
Para evitar los riesgos se debe :
Actuar sobre la causa
Técnicas y políticas de control involucradosEmpoderar a los actores
Crear valores y actitudes.
Políticas para
sistemas distribuidos
AI5.6.1.1 Administración
y control de accesos
AI5.6.1.6 Dependiente
s y por defecto.
AI5.6.1.2 Criptografí
aAI5.6.1.3
Integridad y confidencialidad de datos
AI5.6.1.4 Disponibilid
ad
AI5.6.1.5 No
discrecional
TÉCNICA CIFRADO DE INFORMACIÓN
Para garantizar la confidencialidad de la información en sistemas distribuidos. Es una técnica muy usada para aumentar la seguridad de las redes informáticas.Convertir el texto normal en ilegible por medio de algún esquema reversible de codificación.
Técnicas de integridad y
confidencialidad
Autenticación Identificándolos al iniciar el sistema o
una aplicación
Auditoría Seguimiento de la intrusión si
esta a ocurrido
Confidencialidad Garantizar que los
datos no hayan sido interceptados
Integridad Garantizar que los
datos no sean alterados
Autorización Comprobar si
puede realizar la acción solicitada