Adquisición e implementacion valeria pereira
-
Upload
gloriavaleria -
Category
Business
-
view
127 -
download
0
Transcript of Adquisición e implementacion valeria pereira
![Page 1: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/1.jpg)
UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
PRESENTACIÓN DEL DOMINIO: ADQUISICIÓN E
IMPLEMENTACION
VALERIA PEREIRA BRAVO
CA 9-4
AÑO LECTIVO
2012-2012
![Page 2: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/2.jpg)
AI ADQUISICIÓN E IMPLEMENTACION -
DOMINIOP
RO
CE
SO
S
AI1 Identificación de soluciones automatizadas
AI2 Adquisición y mantenimiento del software apropiado
AI3 Adquisición y mantenimiento de la infraestructura tecnológica
AI4 Desarrollo y mantenimiento de Procesos
AI5 Instalación y aceptación de los sistemas
AI6 Administración de los Cambios
![Page 3: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/3.jpg)
AI 1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS
Permite a las organizaciones minimizar el
costo para Adquirir e Implementar
soluciones, mientras que al mismo tiempo
facilitan el logro de los objetivos del
negocio.
La definición de las necesidades
Considera las fuentes alternativas
Realiza una revisión de la factibilidad
tecnológica y económica
Ejecuta un análisis de riesgo
Ejecuta un análisis de costo-beneficio
Concluye con una decisión final de
“desarrollar” o “comprar”
![Page 4: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/4.jpg)
AI 1.1 Definición de requerimientos de
información
Para aprobar el proyecto de desarrollo
AI 1.2 Estudio de factibilidad
Desarrollar estudios de factibilidad que examine la
posibilidad de implementar los requerimientos.
AI 1.3 Arquitectura de la información
Identificar, dar prioridad, especificar y acordar los requerimientos del negocio funcionales y técnicos que cubran el
alcance completo de todas las iniciativas requeridas para lograr los resultados
esperados de los programas de inversión de TI.
AI 1.4 Seguridad con relación costo-beneficio
Controlar que los costos de inversión no superen a los
beneficios
AI 1.5 Pistas de auditoria
Proteger a los datos del usuario como pueden se su identificación o
evitar que se creen campos adicionales en su registro.
AI 1.6 Contratación de terceros
Busca adquirir productos en buen estado y de calidad
AI 1.7 Aceptación de instalaciones y tecnologías
El patrocinador del negocio tiene la decisión final con respecto a la
elección de la solución y al enfoque de adquisición.
![Page 5: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/5.jpg)
Para llevar a cabo un examen, revisión o
auditoría, se hace necesario, para poder
emitir una opinión sobre el trabajo
realizado, recopilar la evidencia
suficiente y apropiada que sirva e base
para sustentar las conclusiones,
opiniones y recomendaciones..
AI 5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCION
Objetivos de protección y Seguridad
Responsabilidad Individual
Seguimiento de las acciones del usuario
Reconstrucción de eventos
Identificar acciones anormales realizadas y a sus autores
Detección de Instrucciones
Realizar un examen en tiempo real o por tramos.
Identificación de Problemas
Para detectar problemas adicionales en el sistema
Pistas de auditoria - Evidencia
Identificador del Usuario
Debe proporcionarse en cada evento
Cuando a ocurrido el evento
Registrado por fecha y hora
Identificador de host
El registro informa de las conexiones realizadas a la red
Tipo de evento
Registrar las acciones realizadas a niveles de capas ya se en
el sistema o en las aplicaciones
Este tipo de prueba tiene una función
relevante, que permita tener un mejor
criterio a la hora de determinar y
esclarecer ciertos hallazgos. Lo que se
pretende es dar un nuevo enfoque al uso
y aplicación de este tipo de instrumento.
![Page 6: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/6.jpg)
• PrevenciónRiesgo
• DetecciónIncidente Error
• RepresiónRepresión
• CorrecciónCorrección
• EvaluaciónRecuperación
AI5.3 PISTAS DE AUDITORIA- EVOLUCIÓN DEL RIESGO-ERRORES
POTENCIALES EN TECNOLOGIAS INFORMATICAS
•Datos Blancos
•Datos Ilegibles
•Problemas de Transcripción
•Error de Cálculos en medidas indirectas
•Registro de Valores Imposibles
•Negligencias
•Falta de aleatoriedad
•Violentar la secuencia para recolección
Errores Potenciales
![Page 7: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/7.jpg)
Prevención
Detección - Síntomas
Diagnostico
Corrección
Evaluación
AI5.4 PISTA DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION
DEL RIESGO
Predicción - Actuar sobre la causa
- Técnicas y políticas de control involucrados
- Empoderar a los actores
- Crear valores y actitudes
![Page 8: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/8.jpg)
Existen tres tipos de conexiones
que se deben definir estas son
LAN(red de área local),
WAN(Red de área amplia),
Plataformas de internet.
AI5.6 PISTAS DE AUDITOIA – POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS-PROCESO
Políticas para sistemas
distribuidos
AI 5.6.1 No Discrecional
AI 5.6.2 Disponibilidad
AI 5.6.3 Administración y control de acceso
AI 5.6.4 Criptográfica
AI 5.6.5 Integridad y
confidencialidad de datos
AI5.6.6 Dependientes y
por defecto
![Page 9: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/9.jpg)
Cifrado de la información
Se emplea un código que se ilegible encaso de un ataque y solo es deconocimiento del emisor y receptor típicaen aplicaciones cliente servidor, peroactualmente muy utilizada en sistemasdistribuidos para otorgar permisos deacceso.
AI5.6.2.1 Técnicas de cifrado de la información
![Page 10: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/10.jpg)
AI5.6.2.3.1 Técnicas de integridad y confidencialidad
Integridad
Verificar integridad de la información
![Page 11: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/11.jpg)
En entornos de red lo mas común es utilizar un passwordpara ingresar a una aplicación determinada.
Controles de acceso mas sofisticados pueden incluiridentificadores físicos, biológicos o de otra índole.
En los bancos es común una identificación de lacuenta y el usuario por medio de tarjetas decrédito
AI 5.6.2.3.2 Técnicas de autenticación
![Page 12: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/12.jpg)
AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Permite a las organizaciones apoyar la operatividad del
negocio de forma apropiada con las aplicaciones automatizadas
correctas.
Este proceso cubre el diseño de las aplicaciones
La inclusión apropiada de controles aplicativos y requerimientos de seguridad
El desarrollo y configuración de acuerdo a los estándares
![Page 13: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/13.jpg)
AI3 ADQUISICIONY MANTENIMIENTO DE LA
INFRAESTRUCTURA TECNOLOGICA - PROCESO
Las organizaciones deben
contar con procesos para
adquirir, implementar y
actualizar la infraestructura
tecnológica
Esto requiere de un enfoque
planeado para adquirir,
mantener y proteger la
infraestructura de acuerdo con
las estrategias tecnológicas
convenidas y la disposición del
ambiente de desarrollo y
pruebas.
Esto garantiza que exista un
soporte tecnológico
continuo para las
aplicaciones del negocio.
![Page 14: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/14.jpg)
AI3.1 Evaluación de Tecnología
Para identificar como afectara el nuevo hardware y software sobre el sistema en general. Evaluar los costos de complejidad y viabilidad
comercial del proveedor y producto al añadir nueva capacidad técnica.
AI3.2 Mantenimiento preventivo
Desarrollar una estrategia y un plan de mantenimiento de la infraestructura y garantizar que se controlan los cambios, de acuerdo
con el procedimiento de administración de cambios de la organización.
AI 3.3 Seguridad del software de sistemas
Implementar medidas de control interno, seguridad y auditabilidaddurante la configuración, integración y mantenimiento del hardware y
software para proteger los recursos y garantizar su disponibilidad e integridad.
![Page 15: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/15.jpg)
AI4.1 Manuales de procedimiento de usuarios y controles
• Transferencia de conocimiento y habilidad para permitir que los usuarios finales utilicen con
efectividad y eficiencia el sistema de aplicación como apoyo a los procesos del negocio.
AI4.2 Manuales de entrenamiento
• Para que el usuario se familiarice con el uso diario del sistema
AI4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO
Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona
entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura.
![Page 16: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/16.jpg)
AI4.3 Manuales de Operaciones y controles
AI 3 Manuales de operaciones y controles
• Transferir el conocimiento y las habilidades para permitir al personal de soporte técnico y de operaciones que entregue, apoyen y mantenga la aplicación y la infraestructura asociada de manera efectiva y eficiente de acuerdo a los
niveles de servicio requeridos.
AI4 Levantamiento de proceso
• Desarrollar un plan para identificar y documentar todos los aspectos técnicos, la
capacidad de operación y los niveles de servicio requeridos, de manera que todos los interesados puedan tomar la responsabilidad oportunamente
por la producción de procedimientos de administración, de usuario y operativos, como resultado de la introducción o actualización de
sistemas automatizados o de infraestructura
![Page 17: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/17.jpg)
AI 5 INSTALACION Y ACEPTACION DE LOS SISTEMAS
- PROCESO
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de
prueba relevantes, definir la transición e instrucciones de migración, planear la
liberación y la transición en si al ambiente de producción, y revisar la post-
implantación. Esto garantiza que los sistemas operativos estén en línea con las
expectativas convenidas y con los resultados.
![Page 18: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/18.jpg)
AI 5.1 Capacitación del personal
Entrenar ala personal de los departamentos de usuario afectados y al grupo de operaciones de la función de TI de acuerdo con el plan definido de entrenamiento e implantación y a los materiales
asociados, como parte de cada proyecto de sistemas de la información de desarrollo,
implementación o modificación.
AI 5.2 Conversión /Carga de datos
Plan de conversión de datos y migración de infraestructura como parte de los métodos de
desarrollo de la organización, incluyendo pistas de auditoria, respaldo y vuelta atrás.
AI 5.3 Pruebas Especificas
Remediar los errores significativos identificaciones en el proceso de pruebas,
habiendo completado el conjunto de pruebas identificadas en el plan de pruebas y cualquier
prueba de regresión necesaria. Siguiendo la evaluación, aprobación promoción a producción.
AI 5.4 Validación y acreditación
Seguimiento a pruebas, controlar la entrega de los sistemas cambiados a operaciones, manteniéndolo en línea con el plan de
implantación. Obtener la aprobación de los interesados clave, tales como usuarios, dueño de
sistemas y gerente de operaciones
AI 5.5 Revisión Posterior a la implantación
Establecer procedimientos en línea con los estándares de gestión de cambios organizacionales para requerir
una revisión posterior a la implantación como conjunto de salida en el plan de implementación.
![Page 19: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/19.jpg)
Todos los cambios, incluyendo el mantenimiento de
emergencia y parches, relacionados con la
infraestructura y las aplicaciones dentro del ambiente
de producción, deben administrarse formalmente y
controladamente. Los cambios (incluyendo
procedimientos, procesos, sistemas y parámetros del
servicio) se deben registrar, evaluar y autorizar
previo a la implantación y revisar contra los
resultados planteados después de la implantación.
Esto garantiza la reducción de riesgos que impactan
negativamente la estabilidad o integridad del
ambiente de producción.
AI 6 ADMINISTRACION DE CAMBIOS- PROCESO
![Page 20: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/20.jpg)
AI 6.1 Identificación de Cambio
• Establecer procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y
parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistemas
y servicios, y las plataformas fundamentales.
AI6.2 Procedimientos
• . Esta evaluación deberá incluir categorización y priorización de los
cambios.
AI6.3 Evaluación del impacto que provocaran
los cambios
• Garantizar que todas las solicitudes de cambio se
evalúen de una estructurada manera en cuanto a impactos en
el sistema operacional y su funcionalidad.
![Page 21: Adquisición e implementacion valeria pereira](https://reader034.fdocuments.es/reader034/viewer/2022052623/5598bedf1a28abe4208b4643/html5/thumbnails/21.jpg)
AI 6.4 Autorización de Cambios
• Previo a la migración hacia producción, los interesados
correspondientes autorizan los cambios.
AI 6.5 Manejo de Liberación
• Se siguen procedimientos formales que garanticen la
aprobación de liberación de software
AI 6.6 Distribución de Software
• Siempre que se implantan cambios al sistema, actualizar el sistema asociado y la
documentación de usuario y procedimientos correspondientes.
Establecer un proceso de revisión para garantizar la implantación completa de los
cambios.