Este documento presenta el dominio de Adquisición e Implementación de sistemas de información. Describe seis procesos clave: 1) Identificación de soluciones automatizadas, 2) Adquisición y mantenimiento de software, 3) Adquisición y mantenimiento de infraestructura tecnológica, 4) Desarrollo y mantenimiento de procesos, 5) Instalación y aceptación de sistemas, y 6) Administración de cambios. El objetivo es permitir a las organizaciones apoyar sus operaciones y objetivos de negocio mediante

1. UNIVERSIDAD CENTRAL DEL
ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
PRESENTACIÓN DEL DOMINIO: ADQUISICIÓN E
IMPLEMENTACION
VALERIA PEREIRA BRAVO
CA 9-4
AÑO LECTIVO
2012-2012

2. AI ADQUISICIÓN E IMPLEMENTACION -
DOMINIO
AI1 Identificación de soluciones automatizadas
AI2 Adquisición y mantenimiento del software apropiado
PROCESOS
AI3 Adquisición y mantenimiento de la infraestructura tecnológica
AI4 Desarrollo y mantenimiento de Procesos
AI5 Instalación y aceptación de los sistemas
AI6 Administración de los Cambios

3. AI 1 IDENTIFICAR SOLUCIONES AUTOMATIZADAS
La definición de las necesidades
Considera las fuentes alternativas
Realiza una revisión de la factibilidad
Permite a las organizaciones minimizar el tecnológica y económica
costo para Adquirir e Implementar
soluciones, mientras que al mismo tiempo
facilitan el logro de los objetivos del Ejecuta un análisis de riesgo
negocio.
Ejecuta un análisis de costo-beneficio
Concluye con una decisión final de
“desarrollar” o “comprar”

4. AI 1.3 Arquitectura de la información
AI 1.1 Definición de AI 1.2 Estudio de factibilidad
requerimientos de
Identificar, dar prioridad, especificar y
información acordar los requerimientos del negocio
Desarrollar estudios de funcionales y técnicos que cubran el
factibilidad que examine la alcance completo de todas las iniciativas
Para aprobar el proyecto de posibilidad de implementar los requeridas para lograr los resultados
esperados de los programas de inversión
desarrollo requerimientos. de TI.
AI 1.4 Seguridad con relación AI 1.5 Pistas de auditoria AI 1.6 Contratación de
costo-beneficio
terceros
Proteger a los datos del usuario
Controlar que los costos de como pueden se su identificación o
evitar que se creen campos Busca adquirir productos en
inversión no superen a los
adicionales en su registro. buen estado y de calidad
beneficios
AI 1.7 Aceptación de instalaciones
y tecnologías
El patrocinador del negocio tiene la
decisión final con respecto a la
elección de la solución y al enfoque
de adquisición.

5. AI 5.2 PISTAS DE AUDITORIA-OBJETIVOS DE PROTECCION
Para llevar a cabo un examen, revisión o Objetivos de protección y Seguridad
auditoría, se hace necesario, para poder
Responsabilidad Individual
emitir una opinión sobre el trabajo
Seguimiento de las acciones del usuario
realizado, recopilar la evidencia Reconstrucción de eventos
suficiente y apropiada que sirva e base Identificar acciones anormales realizadas y a sus autores
para sustentar las conclusiones, Detección de Instrucciones
opiniones y recomendaciones.. Realizar un examen en tiempo real o por tramos.
Identificación de Problemas
Para detectar problemas adicionales en el sistema
Pistas de auditoria - Evidencia
Identificador del Usuario
Este tipo de prueba tiene una función
Debe proporcionarse en cada evento
relevante, que permita tener un mejor Cuando a ocurrido el evento
criterio a la hora de determinar y Registrado por fecha y hora
esclarecer ciertos hallazgos. Lo que se Identificador de host
pretende es dar un nuevo enfoque al uso El registro informa de las conexiones realizadas a la red
y aplicación de este tipo de instrumento. Tipo de evento
Registrar las acciones realizadas a niveles de capas ya se en
el sistema o en las aplicaciones

6. AI5.3 PISTAS DE AUDITORIA- EVOLUCIÓN DEL RIESGO-ERRORES
POTENCIALES EN TECNOLOGIAS INFORMATICAS
Riesgo • Prevención
Incidente Error • Detección
Represión • Represión
Corrección • Corrección
Recuperación • Evaluación
•Datos Blancos
•Datos Ilegibles
•Problemas de Transcripción
Errores Potenciales •Error de Cálculos en medidas indirectas
•Registro de Valores Imposibles
•Negligencias
•Falta de aleatoriedad
•Violentar la secuencia para recolección

7. AI5.4 PISTA DE AUDITORIA-EVOLUCIÓN Y ADMINISTRACION
DEL RIESGO
Evaluación
Corrección
Diagnostico
Detección - Síntomas
Prevención
Predicción - Actuar sobre la causa
- Técnicas y políticas de control
involucrados
- Empoderar a los actores
- Crear valores y actitudes

8. AI5.6 PISTAS DE AUDITOIA – POLITICAS DE SEGURIDAD PARA
SISTEMAS DISTRIBUIDOS-PROCESO
Existen tres tipos de conexiones
que se deben definir estas son
LAN(red de área local),
WAN(Red de área amplia),
Plataformas de internet.
AI 5.6.3
AI 5.6.4
Administración y
Criptográfica
control de acceso
AI 5.6.5
AI 5.6.2 Integridad y
Disponibilidad confidencialidad
de datos
Políticas para AI5.6.6
AI 5.6.1 No
sistemas Dependientes y
Discrecional
distribuidos por defecto

9. AI5.6.2.1 Técnicas de cifrado de la información
Cifrado de la información
Se emplea un código que se ilegible en
caso de un ataque y solo es de
conocimiento del emisor y receptor típica
en aplicaciones cliente servidor, pero
actualmente muy utilizada en sistemas
distribuidos para otorgar permisos de
acceso.

10. AI5.6.2.3.1 Técnicas de integridad y confidencialidad
Integridad
Verificar integridad de la
información

11. AI 5.6.2.3.2 Técnicas de autenticación
En entornos de red lo mas común es utilizar un password
para ingresar a una aplicación determinada.
Controles de acceso mas sofisticados pueden incluir
identificadores físicos, biológicos o de otra índole.
En los bancos es común una identificación de la
cuenta y el usuario por medio de tarjetas de
crédito

12. AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO
Este proceso cubre el diseño de las aplicaciones
Permite a las organizaciones
apoyar la operatividad del La inclusión apropiada de controles aplicativos y
negocio de forma apropiada con requerimientos de seguridad
las aplicaciones automatizadas
correctas.
El desarrollo y configuración de acuerdo a los
estándares

13. AI3 ADQUISICIONY MANTENIMIENTO DE LA
INFRAESTRUCTURA TECNOLOGICA - PROCESO
Esto requiere de un enfoque Esto garantiza que exista un
planeado para adquirir, soporte tecnológico
mantener y proteger la continuo para las
infraestructura de acuerdo con aplicaciones del negocio.
las estrategias tecnológicas
Las organizaciones deben convenidas y la disposición del
contar con procesos para ambiente de desarrollo y
adquirir, implementar y pruebas.
actualizar la infraestructura
tecnológica

14. AI3.1 Evaluación de Tecnología
Para identificar como afectara el nuevo hardware y software sobre el
sistema en general. Evaluar los costos de complejidad y viabilidad
comercial del proveedor y producto al añadir nueva capacidad técnica.
AI3.2 Mantenimiento preventivo
Desarrollar una estrategia y un plan de mantenimiento de la
infraestructura y garantizar que se controlan los cambios, de acuerdo
con el procedimiento de administración de cambios de la organización.
AI 3.3 Seguridad del software de sistemas
Implementar medidas de control interno, seguridad y auditabilidad
durante la configuración, integración y mantenimiento del hardware y
software para proteger los recursos y garantizar su disponibilidad e
integridad.

15. AI4 DESARROLLO Y MANTENIMIENTO DE PROCESOS-PROCESO
Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona
entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura.
AI4.1 Manuales de procedimiento de
usuarios y controles
• Transferencia de conocimiento y habilidad para
permitir que los usuarios finales utilicen con
efectividad y eficiencia el sistema de aplicación
como apoyo a los procesos del negocio.
AI4.2 Manuales de entrenamiento
• Para que el usuario se familiarice con el uso diario
del sistema

16. AI 3 Manuales de operaciones y controles
• Transferir el conocimiento y las habilidades
para permitir al personal de soporte técnico y de
operaciones que entregue, apoyen y mantenga
la aplicación y la infraestructura asociada de
manera efectiva y eficiente de acuerdo a los
niveles de servicio requeridos.
AI4.3 Manuales de Operaciones y controles
AI4 Levantamiento de proceso
• Desarrollar un plan para identificar y
documentar todos los aspectos técnicos, la
capacidad de operación y los niveles de servicio
requeridos, de manera que todos los interesados
puedan tomar la responsabilidad oportunamente
por la producción de procedimientos de
administración, de usuario y operativos, como
resultado de la introducción o actualización de
sistemas automatizados o de infraestructura

17. AI 5 INSTALACION Y ACEPTACION DE LOS SISTEMAS
- PROCESO
Los nuevos sistemas necesitan estar funcionales una vez que su desarrollo se
completa. Esto requiere pruebas adecuadas en un ambiente dedicado con datos de
prueba relevantes, definir la transición e instrucciones de migración, planear la
liberación y la transición en si al ambiente de producción, y revisar la post-
implantación. Esto garantiza que los sistemas operativos estén en línea con las
expectativas convenidas y con los resultados.

18. AI 5.1 Capacitación del personal
Entrenar ala personal de los departamentos de AI 5.2 Conversión /Carga de datos
usuario afectados y al grupo de operaciones de la
Plan de conversión de datos y migración de
función de TI de acuerdo con el plan definido de
infraestructura como parte de los métodos de
entrenamiento e implantación y a los materiales
desarrollo de la organización, incluyendo pistas
asociados, como parte de cada proyecto de
de auditoria, respaldo y vuelta atrás.
sistemas de la información de desarrollo,
implementación o modificación.
AI 5.3 Pruebas Especificas AI 5.4 Validación y acreditación
Remediar los errores significativos Seguimiento a pruebas, controlar la entrega de
identificaciones en el proceso de pruebas, los sistemas cambiados a operaciones,
habiendo completado el conjunto de pruebas manteniéndolo en línea con el plan de
identificadas en el plan de pruebas y cualquier implantación. Obtener la aprobación de los
prueba de regresión necesaria. Siguiendo la interesados clave, tales como usuarios, dueño de
evaluación, aprobación promoción a producción. sistemas y gerente de operaciones
AI 5.5 Revisión Posterior a la implantación
Establecer procedimientos en línea con los estándares
de gestión de cambios organizacionales para requerir
una revisión posterior a la implantación como conjunto
de salida en el plan de implementación.

19. AI 6 ADMINISTRACION DE CAMBIOS- PROCESO
Todos los cambios, incluyendo el mantenimiento de
emergencia y parches, relacionados con la
infraestructura y las aplicaciones dentro del ambiente
de producción, deben administrarse formalmente y
controladamente. Los cambios (incluyendo
procedimientos, procesos, sistemas y parámetros del
servicio) se deben registrar, evaluar y autorizar
previo a la implantación y revisar contra los
resultados planteados después de la implantación.
Esto garantiza la reducción de riesgos que impactan
negativamente la estabilidad o integridad del
ambiente de producción.

20. • Establecer procedimientos de administración de
cambio formales para manejar de manera estándar
AI 6.1 Identificación de todas las solicitudes (incluyendo mantenimiento y
Cambio parches) para cambios a aplicaciones,
procedimientos, procesos, parámetros de sistemas
y servicios, y las plataformas fundamentales.
• . Esta evaluación deberá incluir
AI6.2 Procedimientos categorización y priorización de los
cambios.
• Garantizar que todas las
solicitudes de cambio se
AI6.3 Evaluación del evalúen de una estructurada
impacto que provocaran manera en cuanto a impactos en
los cambios el sistema operacional y su
funcionalidad.

21. • Previo a la migración hacia
AI 6.4 Autorización de producción, los interesados
Cambios correspondientes autorizan los
cambios.
• Se siguen procedimientos
AI 6.5 Manejo de formales que garanticen la
Liberación aprobación de liberación de
software
• Siempre que se implantan cambios al
sistema, actualizar el sistema asociado y la
AI 6.6 Distribución documentación de usuario y
de Software procedimientos correspondientes.
Establecer un proceso de revisión para
garantizar la implantación completa de los
cambios.