4. Para llevar a cabo la estrategia TI las
soluciones de TI deben ser identificadas y
a su vez implementadas e integradas
dentro del proceso de negocio .
AI1. Identificación de soluciones
Automatizadas
AI2. Adquisición y mantenimiento de
Software Aplicado
Proceso AI3. Adquisición y mantenimiento de la
infraestructura tecnológica
AI4. Desarrollo y mantenimiento de procesos
AI5 Instalación y Aceptación de los sistemas
AI 6. Adquisición de los cambios
5. Asegurar el mejor enfoque para cumplir con los
OBJETIVO requisitos de los usuarios mediante un análisis
de las oportunidades
Se debe observar:
Áreas
usuarias Requerimientos
Dirección
de Aplicaciones Áreas
sistemas (Software) usuarias
Sistema Requerimiento
Gerencial s/ objetivos
Visión
estratégicos
Misión
Planes, Proyectos y
programas
Políticas
Prioridades
Organización
6. OBJETIVO
AI01.1 Definición de AI01.3 Arquitectura de
requerimientos de información para tener en
información para consideración el modelo de
aprobar un proyecto de datos
desarrollo
AI01.4 Seguridad con
AI01.2. Estudio de relación de costo- beneficio
Factibilidad con la para controlar los costos
finalidad de satisfacer los
requerimientos del AI01.6 Contratación de
negocio para el desarrollo terceros Con el objeto de
del negocio adquirir productos de
buena calidad.
AI01.5 Pistas de
auditoria Proporcionar AI01.7 Aceptación de
la capacidad de instalaciones y tecnología a
proteger datos través del contrato con el
sensitivos. proveedor.
7. Las pistas de auditoria son una serie de registros sobre las actividades del
sistema operativo, estas ayudan a cumplir algunos objetivos de protección y
seguridad de la información así como evidenciar con suficiencia y competencia.
Objetivos de protección y
seguridad Pistas de auditoria Evidencia
Responsabilidad individual Identificación del usuario
seguimiento de las acciones asociado con el evento
Reconstrucción de Cuando ha ocurrido el evento
eventos Cómo, Cuándo y el momento en que se produjo
Quien las realiza el evento
Detección de Identificador de Host anfitrión
instrucciones mediante un que genera el registro
examen automático Tipo de evento En el sistema,
Identificación de en las aplicaciones y resultado
problemas a través de un del evento
examen
8. Prevención
Errores potenciales
Riesgo
Detección
Incidente-error
Datos en blanco
Represión Datos ilegibles
Problemas de
Daños transcripción
Error de cálculo en
medidas indirectas
Corrección Registro de Valores
imposibles
Recuperación Negligencia
Falta de aleatoriedad
Evaluación
9. Detección
- síntomas
Diagnóstico Para evitar los
riesgos se
Prevención debe :
Evaluación del Actuar sobre
riesgo la causa
Técnicas y
políticas de
control
involucrados
Empoderar a
Evaluación Corrección los actores
Crear valores
y actitudes.
10. AI5.6.1.2
Criptografía
AI5.6.1.1 AI5.6.1.3
Administración y Integridad y
control de confidencialida
accesos Políticas para d de datos
sistemas
distribuidos AI5.6.1.4
AI5.6.1.6
Disponibilida
Dependientes
d
y por defecto.
AI5.6.1.5 No
discrecional
11. TÉCNICA CIFRADO DE INFORMACIÓN
Para garantizar la confidencialidad de la
información en sistemas distribuidos. Es una
técnica muy usada para aumentar la seguridad
de las redes informáticas.
Convertir el texto normal en ilegible por medio
de algún esquema reversible de codificación.
12. Autenticación
Identificándolos al
iniciar el sistema o una
aplicación
Auditoría Autorización
Seguimiento de la Comprobar si puede
intrusión si esta a Técnicas de realizar la acción
ocurrido integridad y solicitada
confidencialidad
Confidencialidad Integridad
Garantizar que los Garantizar que los
datos no hayan sido datos no sean
interceptados alterados