Para llevar a cabo la estrategia TI las soluciones de TI deben ser

identificadas y a su vez implementadas e integradas dentro

del proceso de negocio .

Proceso

AI1. Identificación de soluciones AutomatizadasAI2. Adquisición y mantenimiento de Software AplicadoAI3. Adquisición y mantenimiento de la infraestructura tecnológicaAI4. Desarrollo y mantenimiento de procesosAI5 Instalación y Aceptación de los sistemasAI 6. Adquisición de los cambios

OBJETIVOAsegurar el mejor enfoque para cumplir con los requisitos de los usuarios mediante un análisis de las oportunidades

Se debe observar:

Áreas usuarias

Sistema Gerencial

Requerimientos

Requerimientos/ objetivos estratégicos

Dirección de

sistemas

VisiónMisión

Planes, Proyectos y programas

PolíticasPrioridades

Aplicaciones (Software)

Áreas usuaria

s

Organización

OBJETIVO

AI01.1 Definición de requerimientos de información para aprobar un proyecto de desarrollo

AI01.2. Estudio de Factibilidad con la finalidad de satisfacer los requerimientos del negocio para el desarrollo del negocio

AI01.5 Pistas de auditoria Proporcionar la capacidad de proteger datos sensitivos.

AI01.3 Arquitectura de información para tener en consideración el modelo de datos

AI01.4 Seguridad con relación de costo- beneficio para controlar los costos

AI01.6 Contratación de terceros Con el objeto de adquirir productos de buena calidad.

AI01.7 Aceptación de instalaciones y tecnología a través del contrato con el proveedor.

Las pistas de auditoria son una serie de registros sobre las actividades del sistema operativo, estas ayudan a cumplir algunos objetivos de protección y seguridad de la información así como evidenciar con suficiencia y competencia.

Objetivos de protección y seguridad Pistas de auditoria

Evidencia

Responsabilidad individual seguimiento de las accionesReconstrucción de eventos Cómo, Cuándo y Quien las realizaDetección de instrucciones mediante un examen automáticoIdentificación de problemas a través de un examen

Identificación del usuario asociado con el eventoCuando ha ocurrido el evento el momento en que se produjo el eventoIdentificador de Host anfitrión que genera el registroTipo de evento En el sistema, en las aplicaciones y resultado del evento

Prevención

Detección

Represión

Corrección

Evaluación

Riesgo

Incidente-error

Daños

Recuperación

Errores potenciales

Datos en blancoDatos ilegiblesProblemas de transcripciónError de cálculo en medidas indirectasRegistro de Valores imposiblesNegligenciaFalta de aleatoriedad

Evaluación del riesgo

Prevención

Detección -

síntomas

Evaluación

Diagnóstico

Corrección

Para evitar los riesgos se debe :

Actuar sobre la causa

Técnicas y políticas de control involucradosEmpoderar a los actores

Crear valores y actitudes.

Políticas para

sistemas distribuidos

AI5.6.1.1 Administración

y control de accesos

AI5.6.1.6 Dependiente

s y por defecto.

AI5.6.1.2 Criptografí

aAI5.6.1.3

Integridad y confidencialidad de datos

AI5.6.1.4 Disponibilid

ad

AI5.6.1.5 No

discrecional

TÉCNICA CIFRADO DE INFORMACIÓN

Para garantizar la confidencialidad de la información en sistemas distribuidos. Es una técnica muy usada para aumentar la seguridad de las redes informáticas.Convertir el texto normal en ilegible por medio de algún esquema reversible de codificación.

Técnicas de integridad y

confidencialidad

Autenticación Identificándolos al iniciar el sistema o

una aplicación

Auditoría Seguimiento de la intrusión si

esta a ocurrido

Confidencialidad Garantizar que los

datos no hayan sido interceptados

Integridad Garantizar que los

datos no sean alterados

Autorización Comprobar si

puede realizar la acción solicitada