Adquisición e Implementación

2. A1. ADQUISICIÓN E IMPLEMENTACIÓN-DOMINIO
Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas
o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además
este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes.
AI 1 Identificación de Soluciones AI6 Administración de los
Automatizadas Cambios.
AI2 Adquisición y
AI5 Instalación y Aceptación de los
Mantenimiento del Software
Sistemas
Aplicado
AI3 Adquisición y
AI4 Desarrollo y Mantenimiento
Mantenimiento de
de Procesos
Infraestructura Tecnológica.

3. • Asegurar el mejor enfoque para cumplir con los
requerimientos del usuario mediante un
OBJETIVO análisis de las oportunidades comparadas con
los requerimientos de los usuarios para lo cual
se debe observar
Aplicacion
Dirección de Sistemas es
Áreas (Software)
Requerimientos
Usuarias
•Visión
•Misión
Requerimientos/o •Planes, Proyectos y
Sistema programas Áreas Usuarias
Gerencial bjetivos
estratégico •Políticas
•Prioridades
ORGANIZACIÓN

4. AI 01.1 Definición de AI 01.2 Estudio de factibilidad AI 01.3 Arquitectura de
requerimientos de • con la finalidad de satisfacer información
información los requerimientos del • Para tener en consideración
• Para poder aprobar un negocio establecidos para el e modelo de datos al definir
proyecto de desarrollo desarrollo del proyecto. soluciones y analizar la
factibilidad de las mismas.
AI 01.4 Seguridad con relación AI 01.5 Pistas de Auditoría AI 01.6 Contratación de
de costo-beneficio • Proporcionar la capacidad de terceros
• Favorable para controlar que proteger datos sensitivos. • Con el objeto de adquirir
los costos no excedan los Ejm: Campos que no se productos con buena calidad
beneficios. modifiquen creando campos y excelente estado
adicionales
AI 01.7 Aceptación de instalaciones y
tecnología
• a través del contrato con el proveedor
donde se acuerda un plan de aceptación
para las instalaciones y tecnología
específica a ser proporcionada.

5. Son una serie de registros sobre las actividades del sistema operativa, de
proceso o aplicaciones y/o de usuarios del sistema. Las pistas de auditoría
son procedimientos que ayudan a cumplir algunos objetivos de
protección y seguridad de la información, así como evidenciar con
suficiencia de competencia los hallazgos de auditoria son los conocidos
como Logo o registro.
Objetivos de protección y
Pistas de auditoría-Evidencia
seguridad
• Responsabilidad individual • Identificar del usuario asociado
• Reconstrucción de con el evento
eventos • Cuándo ha ocurrido el evento
fecha y hora en la que se produjo
• Detección de
el evento
instrucciones
• Identificador de host anfitrión
• Identificación de que genera el registro
problemas • Tipo de Evento

6. Prevención
Errores Potenciales
RIESGO
Detección Errores en la integridad de la
información
INCIDENTE-
ERROR
•Datos en blanco
•Datos ilegibles
Represión •Problemas de trascripción
DAÑOS •Error de cálculo en medidas
indirectas
•Registro de valores imposible
Corrección •Negligencia
•Falta de aleatoriedad
RECUPERACIÓN •Violentar la secuencia establecida
Evaluación para recolección

7. 5. Evaluación
3. Diagnóstico
Siste
mas
de
Cont 4. Corección 2. Detección-
rol sintomas
Predicción Administración del
Inter
Riesgo
no
1. Prevención
Acciones para
•Actuar sobre las causas
evitarlos
•Técnicas y políticas de
control involucrados
•Empoderar a los acores
RIESGO

8. Si se conectan Si están instalados
El Institute for Defense
todos los en edificios Plataforma
Analyses en 1995,
computadores diferentes WAN de internet
definía varios tipos de
dentro de un (Wide área Network) en las
eventos que necesitan
mismo edificio se estableciendo la actividades
ser auditados y se
denomina LAN comunicación en un empresariale
agrupan en seis
(Local Área esquema cliente- s.
categorías.
Network) servidor
AI 5.6.1 POLITICAS PARA SISTEMAS
DISTRIBUIDOS
AI 5.6.1.1 Administración y Control de
accesos
AI 5.6.1.2 Criptografía
AI 5.6.1.3 Integridad y Confidencialidad
de datos
AI 5.6.1.4 Disponibildad
AI 5.6.1.5 No discrecional
AI 5.6.1.6 Dependientes y por defecto

10. AI 5.6.2.3.1 TECNICAS DE
INTEGRIDAD Y CONFIDENCIALIDAD
Autenticación: Identificar a los usuarios
que inicien sesiones en sistema o la
aplicación usada para verificar la Auditoría: Seguimiento de entidades
identidad del usuario que han accedido al sistema
identificado el medio. L a auditoría no
proporciona protección, pero es muy
útil en el seguimiento de la intrusión
Autorización: Una vez identificado el una vez que ha ocurrido.
usuario hay que comprobar si tiene los
privilegios necesarios para realizar la
acción que ha solicitado.
Confidencialidad: Ocultar los datos
frente a accesos no autorizados y
Integridad: Garantizar que los asegurar que la información
mensajes sean auténticos y no se transmitida no ha sido interceptada.
alteren

11. Los sistemas de autenticación
en los entornos de las redes de
área local suelen ir asociados a Son habitualmente los sistemas de
los procedimientos de inicio identificación mediante tarjetas, los
de sesión. Una palabra clave cajeros automáticos de los bancos. El
password que tan sólo conoce usuario primero debe insertar
un usuario y que esta asociada primero la tarjeta donde está
con su cuenta en la red, codificado la información de su
garantiza la autenticidad de cuenta, y luego introducir una
dicho usuario. En otros casos palabra clave o un número de
se hace necesario otras identificación personal que sirve de
técnicas para identificar a los comprobación adicional.
usuarios como: verificación de
determinadas características
físicas y biológicas como
huellas digitales y patrones de
voz.

12. Proporciona funciones automatizadas que soportan efectivamente al negocio
con declaraciones específicas sobre requerimientos funcionales y
operacionales y una implementación estructurada fundamentada en:
Planificación, fijación de
Impacto estratégico. Involucre a toda la
objetivos, coordinación,
Oportunidad de ventaja empresa: directivos,
formación, adaptación
competitiva trabajadores, clientes
de toda la organización.
Una filosofía, cultura,
estrategia, estilo de ISO 9001-2000
gestión
Gestión
de
calidad
Tiempo

13. PO 7. ADMINISTRACIÓN DE LOS PROCESOS HUMANOS-PROCESO
Objetivos de control: Políticas y procedimientos relacionados con la metodología del ciclo de
vida del desarrollo de sistemas
Objetivos y planes a corto y largo plazo de tecnología de información
AI 1.3 Documentación AI 1.6 Interface AI 1.4 AI 1. 5 Controles de AI 1.7 Pruebas
(materiales de usuario- Requerimiento aplicación y funcionales (unitarias,
consulta y soporte máquina s de archivo requerimientos de aplicación, de
para usuarios) funcionales integridad y de carga)
• Asegurar que • Requerimiento
• Para que los el software • Para establecer • De acuerdo con
usuarios s de entrada, los controles en el plan de
sea fácil de proceso y
comprendan y utilizar y capaz las aplicaciones prueba del
utilicen el sistema y salida de la debe definirse proyecto y los
de auto información.
las aplicaciones documentarse adecuadamente estándares
óptimamente, los módulos de la establecidos
incluye aplicación para antes de ser
aprobaciones de definir los niveles aprobado por los
diseños, definición de ingreso, usuarios
de requerimientos actualización,
de archivo y proceso y
especificaciones de reporte.
programas.

14. Objetivo
Proporcionar las plataformas apropiadas para soportar aplicaciones de
negocios originados de una evaluación del desempeño del hardware y
software apropiada; provisión de mantenimiento preventivo de hardware e
instalación, seguridad y control del software del sistema y toma en
consideración:
AI 3.1 Evaluación de tecnología
Para identificar el impacto del nuevo hardware o software sobre el rendimiento del
sistema general.
AI 3.2 Mantenimiento preventivo
Del hardware con el objeto de reducir la frecuencia y el impacto de fallas de
rendimiento.
AI 3.3 Seguridad del software de sistema
Instalación y mantenimiento para no arriesgar la seguridad de los datos y programas
ya almacenados en el mismo

15. AI 4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO
Asegurar el uso apropiado de las aplicaciones y
de las soluciones tecnológicas establecidas. Para
OBJETIVO ello se diseñará manuales de procedimiento de
operaciones para usuarios y materiales de
entrenamiento con el propósito de:
AI 4.1 Manuales de procedimientos de usuarios y controles: Rutina de
actividades para explicar como se ejecuta los procedimientos, responsables,
instrumentos requeridos y técnicas de control en la separación de funciones
y responsabilidades informáticas.
AI 4.3 Levantamiento de procesos: Los AI 4.3 Manuales de Operaciones y
procesos deben ser organizados y Controles: Para que el usuario comprende
secuenciados: íntimamente relacionados el alcance de su actividad y valide su
con los objetivos y evaluado el trabajo, se reconoce generalmente como
desempeño de su aplicación con manual del usuario.
indicadores no financieros
AI 4.2 : Enfocados al uso del sistema en la práctica diaria del usuario.

16. AI 5 INSTALACION Y ACEPTACIÓN DE LOS SISTEMAS-PROCESO
Verificar y confirmar que la solución tecnológica PROPUESTTA sea adecuada al propósito deseado,
para lo cual debe aplicarse un procedimiento de instalación y aceptación que incluya: conversión y
migración de datos, plan de aceptaciones formalizado con pruebas, validaciones y revisiones
posteriores a la implementación de los sistemas, de manera puntual en:
AI 5. 1 AI 5.2 Revisiones AI 5.2
AI 5.3 Pruebas AI 5.4 Validación
Capacita post Conversión/carg
específicas y acreditación
ción del personal implementación a de datos
• De acuerdo al • (cambios, • Con el objeto • De Manera que • Que la gerencia
plan de desempeño, de reportar si el los elementos de operaciones
entrenamiento aceptación sistema necesarios del y usuarios
definido, la final, proporciono los sistema acepten los
arquitectura operacional) beneficios anterior sean resultados de
física y con el objeto de esperados de la convertidos al las pruebas y el
plataforma obtener un manera más sistema nuevo. nivel de
lógica a producto económica. seguridad para
implementarse. satisfactorio. los sistemas,
junto con el
riesgo residual
existente.

17. Minimizar la probabilidad Periódicamente es
de interrupciones necesario efectuar
alteraciones y errores a Los cambios en las cambios en el sistema
través de una eficiencia aplicaciones operativo.
AI 6.1
administración del sistema, diseñadas
OBJETI Identifica internamente; así
las aplicaciones y la base de
VO datos con análisis, ción de como las adquiridas a
cambios Revisar y probar a las
implementación y proveedores. aplicaciones cuando se
seguimiento de todos los efectúen cambios para
cambios requeridos y asegurar que no afectan a
llevados para lo cual debe:
las operaciones o a la
seguridad
Técnicas de control
Comprar programas sólo a proveedores fiables
Usar productos evaluados
Inspeccionar el código fuente antes de usarlo
Controlar el acceso y las modificaciones una vez instalado.

18. AI 6.2 Procedimientos:
De categorización, priorización y emergencia de solicitudes de cambios
AI 6.3 Evaluación del impacto que provocarán los cambios
Medición del impacto que producirán los cambios tecnológicos en la perspectiva del cliente,
financiera de procesos, del talento humano y la estructura organizacional de la empresa.
AI 6.4 Autorización de cambios:
Registro y documentación de los cambios autorizados
AI 6.5 Manejo de liberación:
la liberación de software debe estar regida por procedimientos formales asegurando
aprobación.
AI 6.6 Distribución de software
Estableciendo medidas de control específicas para asegurar la distribución de software sea al
lugar y usuario correcto, con integridad y de manera oportuna.