TALLER DE APLICACIÓN DE LAS PRÁCTICAS DE ASEGURAMIENTO DE LA TI APLICANDO COBIT
(BERNABE NUNTON JONATHAN- VENTURA FLORES JUAN)
Situación 1. Administración de Requerimientos al Departamento de Desarrollo de Sistemas. Actividad Metas de TI Área Dominio ID_Pro Proceso Práctica Relacionadas 2. Hacer seguimiento de los requerimientos, Gestionar la facilitando a las partes interesadas la Identificación supervisión, revisión y aprobación de los Construir, Gestionar y cambios. Asegurar que los resultados de los 01- alineamiento Ti y Gestión Adquirir e BAI03 cambios a los Construcción procesos de cambio están completamente estrategia de negocio Implementar requerimientos. de entendidos y están de acuerdo todos las partes 07 Entrega de servicios de Ti Soluciones interesadas y el patrocinador/ propietario del de acuerdo a los requisitos proceso de negocio. del negocio 3. Durante todo el proyecto, obtener, analizar 12 Capacitación y soporte de y confirmar que los requerimientos de todas las procesos de negocio partes interesadas, incluyendo los criterios de integrado aplicaciones y Definir y aceptación relevantes, son considerados, tecnología de negocio mantener los Construir, Gestionar la obtenidos, priorizados y registrados de un requerimientos Gestión Adquirir e BAI02 Definición de modo comprensible para las partes Técnicos y Implementar Requisitos interesadas, patrocinadores de negocio y funcionales de personal de la implementación técnica, negocio. reconociendo que los requerimientos pueden cambiar y llegar a ser más detallados según se implementen. Situación 2. Carencia de Documentación de las pruebas de Programas y de Sistemas. Actividad Metas de TI Área Dominio ID_Pro Proceso Práctica Relacionadas 4. Identificar, registrar y clasificar (por ejemplo, Gestionar la fallos menores, significativos, críticos) los Identificación Construir, Ejecutar errores durante las pruebas. Repetir las y Gestión Adquirir e BAI03 pruebas de la pruebas hasta que todos los errores Construcción Implementar solución. significativos hayan sido resueltos. Asegurarse de que existen y se mantienen pistas de auditoría Soluciones de los resultados de las pruebas. Gestionar la 5. Registrar los resultados de las pruebas y Identificación comunicar los resultados a las partes 7 - entrega de servicios de TI Construir, Ejecutar y interesadas conforme al plan de pruebas. de acuerdo a los requisitos Gestión Adquirir e BAI03 pruebas de la Construcción de negocio Implementar solución. de Soluciones 1. Desarrollar y documentar el plan de pruebas, Gestionar la de forma que esté alineado con el programa y Construir, Planificar Aceptación plan de calidad del proyecto y estándares Gestión Adquirir e BAI07 pruebas de del Cambio y relevantes de la organización. Comunicar y Implementar aceptación. la Transición consultar con los propietarios de procesos de negocio y grupos de interés de TI adecuados. Situación 3. Catalogación de Versiones de Programas Fuentes Área Dominio ID_Pro Proceso Práctica Actividad Metas de TI Relacionadas 3. Utilizar apropiadamente inspección de Gestionar la código, pruebas conducidas sobre el desarrollo, Identificación Construir, Realizar pruebas automatizadas, integración continua, y Gestionar el Marco de Gestión Adquirir e BAI03 controles de revisiones y pruebas sobre aplicaciones. Construcción Gestión de TI Implementar calidad. Informar de los resultados del proceso de de supervisión y prueba al equipo de desarrollo de Soluciones software de aplicación y a la dirección TI. Situación 4. Carencia de Procedimientos Estándares de Desarrollo (Programas, Pantallas y Diseño de Tablas) Actividad Metas de TI Área Dominio ID_Pro Proceso Práctica Relacionadas 2. Diseñar las etapas de procesamiento de la Gestionar la aplicación, incluyendo especificaciones de tipos Diseñar los Identificación de transiciones y reglas de negocio, controles Construir, componentes 07 Entrega de servicios de T.I y Automatizados, definiciones de datos/objetos Gestión Adquirir e BAI03 detallados de de acuerdo a los requisitos Construcción de negocio, casos de uso, interfaces externos, Implementar la del negocio de limitaciones de diseño y otros requerimientos solución. Soluciones (por ejemplo, licencias, legales, estándares e internacionalización/localización). Situación 5. Carencia de Herramientas de Modelamiento de datos Área Dominio ID_Pro Proceso Práctica Actividad Metas de TI Relacionadas Definir la 4. Definir e implementar procedimientos para Gestionar el propiedad de asegurar la integridad y consistencia de toda la Alinear, Marco de la información almacenada en formato Alineamientos de TI Gestión Planificar y APO01 Gestión de información electrónico, tales como bases de datos, y estrategia de negocio Organizar TI (Datos) y del almacenes de datos (data warehouses) y sistema. archivos de datos. 1. Mantener un repositorio de la arquitectura que contenga los estándares, los componentes Alinear, Gestionar la Definir la reutilizables, el modelado, las relaciones, las Alineamientos de TI Gestión Planificar y APO03 Arquitectura arquitectura dependencias y las vistas para permitir una y estrategia de negocio Organizar Empresarial de referencia. uniformidad en la organización y el mantenimiento. Situación 6. Existencia de Software Aislado Área Dominio ID_Pro Proceso Práctica Actividad Metas de TI Relacionadas 1. Identificar a las partes interesadas clave de la Desarrollar la empresa y sus objetivos/preocupaciones y Alinear, Gestionar la visión de la definir los requisitos clave de la empresa a ser Gestión Planificar y APO03 Arquitectura arquitectura considerados, así como la visión de la Organizar Empresarial de arquitectura a ser desarrollada para satisfacer Empresa. los distintos requisitos de las partes interesadas. Desarrollar la 3. Alinear los objetivos de la arquitectura con las Alinear, Gestionar la visión de la prioridades estratégicas del plan empresarial. Gestión Planificar y APO03 Arquitectura arquitectura Organizar Empresarial de Empresa. Alineamientos de TI Desarrollar la 4. Entender los deseos y las capacidades del y estrategia de negocio Alinear, Gestionar la visión de la negocio y, a continuación, identificar las Gestión Planificar y APO03 Arquitectura arquitectura opciones para realizar dichas capacidades. Organizar Empresarial de Empresa. 8. Entender los objetivos estratégicos actuales Desarrollar la de la empresa y trabajar conjuntamente con el Alinear, Gestionar la visión de la procesos de planificación estratégica para Gestión Planificar y APO03 Arquitectura arquitectura asegurarse que las oportunidades de Organizar Empresarial de arquitectura de TI empresarial se apoyan en el Empresa. desarrollo del plan estratégico. Situación 7. Carencia de Pistas de Auditoría Área Dominio ID_Pro Proceso Práctica Actividad Metas de TI Relacionadas Responsables 1. Entender y priorizar el riesgo de acuerdo con *Director General los objetivos organizativos. 02.Cumplimiento y soporte Financiero 2. Identificar los controles clave y desarrollar una de TI al cumplimiento del estrategia adecuada para la validación de negocio de las leyes y *Propietarios de los Supervisar, Revisar la controles. regulaciones externas. procesos de negocio Evaluar y efectividad de 3. Identificar la información que indica de forma Supervisar, Valorar el los controles convincente si el entorno de control interno está 04.Riesgos de negocio *Cumplimiento Gestión Evaluar y MEA02 Sistema de sobre los operando de forma efectiva. relacionados con las TI normativo Valorar Control procesos de 4. Desarrollar e implementar procedimientos gestionados. Interno. negocio. eficientes para determinar si la información *Auditoría convincente está basada en los criterios de 15.Cumplimiento de las información. políticas internas por parte 5. Mantener evidencia de la efectividad del de TI. control. Situación 8. Bitácoras de Actividad. Actividad Metas de TI Área Dominio ID_Pro Proceso Práctica Responsables Relacionadas 1. Registrar todos los incidentes y peticiones de servicio, registrando toda la información relevante de forma que pueda ser 02. Riesgos de manejada de manera efectiva y se negocio relacionas Gestionar Registrar, mantenga un registro histórico completo. con las TI gestionadas. Entrega, Peticiones clasificar y Gestor de Gestión Servicio y DSS02 e priorizar 2. Para posibilitar análisis de tendencias, 07. Entrega de servicios Soporte Incidentes peticiones e clasificar incidentes y peticiones de servicio servicios de TI de de Servicio incidentes identificando tipo y categoría. acuerdo a los requisitos del negocio 3. Priorizar peticiones de servicio e incidentes según la definición de impacto en el negocio del ANS y la urgencia. Situación 9. Carencia de Procedimientos de Respaldo y Recuperación de programas fuentes Área Dominio ID_Pro Proceso Práctica Actividad Metas de TI Relacionadas Responsables *Propietarios de los procesos de negocio 01.Alineamiento de TI y 1. Hacer un seguimiento del *Oficina de gestión de estrategia de negocio. cumplimiento con políticas y proyectos 02. Cumplimiento y soporte de procedimientos. *Consejo de arquitectura TI al cumplimiento del negocio 2. Analizar los incumplimientos y de la empresa de las leyes y regulaciones adoptar las acciones apropiadas *Jefe de RR HH externas. (puede incluir el cambio de *Director de Informática 09. Agilidad de las TI Gestionar Mantener el requerimientos). *Jefe de arquitectura del Alinear, 11. Optimización de activos, el Marco cumplimiento 3. Integrar rendimiento y negocio Planificar recursos y capacidades de las Gestión APO01 de con las políticas cumplimiento dentro de los *Jefe de Operaciones TI y TI Gestión y objetivos individuales del personal. *Jefe de administración TI Organizar 15. Cumplimiento de las de TI procedimientos. 4. Evaluar periódicamente el *Gestor de servicios políticas internas por parte de desempeño de los catalizadores del *Gestor de seguridad de la las TI marco de referencia y adoptar las Información 16. Personal del negocio y de acciones necesarias. *Gestor de continuidad de las TI competente y motivado. 5. Analizar las tendencias en el negocio 17. Conocimiento, Experiencia funcionamiento y cumplimiento y *Gestor de privacidad de la e iniciativas para la innovación adoptar las acciones apropiadas. información del negocio. Situación 10. Plan de Contingencias Actividad Metas de TI Área Dominio ID_Pro Proceso Práctica Responsables Relacionadas 1.Definir esquemas de clasificación y priorización de incidentes y peticiones de servicio y criterios para el Definir registro de problemas, para asegurar enfoques 02. Riesgos de esquemas de consistentes en el tratamiento, informando a los usuarios negocio clasificación y realizando análisis de tendencias. relacionas con Gestionar de incidentes y 2. Definir modelos de incidentes para errores conocidos las TI Peticiones peticiones de con el fin de facilitar su resolución eficiente y efectiva. Entrega, gestionadas. e servicio 3. Definir modelos de peticiones de servicio según el tipo Gestor de Gestión Servicio y DSS02 Incidentes Definir de petición de servicio correspondiente para facilitar la servicios Soporte 07. Entrega de de esquemas de auto-ayuda y el servicio eficiente para servicios de TI Servicio clasificación las peticiones estándar. de acuerdo a los de incidentes y 4. Definir reglas y procedimientos de escalaco de requisitos del peticiones de incidentes, especialmente para incidentes importantes e negocio servicio. incidentes de seguridad. 5. Definir fuentes de conocimiento de incidentes y peticiones y su uso. Situación 11. Inventario de Hardware y Software Actividad Metas de TI Área Dominio ID_Pro Proceso Práctica Responsables Relacionadas 1. Identificar todos los activos en propiedad en un registro que indique el estado actual. Mantener su alineación con los procesos de gestión de cambios y de la configuración, el sistema de gestión de la configuración y los registros contables financieros 2. Identificar los requisitos legales, reglamentarios o contractuales que deben ser abordados en la gestión de los activos. 06. Transparencia de 3. Verificar la existencia de todos los activos en los costes, beneficio y Construir, Gestionar Identificar y propiedad mediante la realización periódica de riesgos de las TI *Jefe de administración Gestión Adquirir e BAI09 los registrar los controles de inventario físicos y lógicos y su 11. Optimización de TI Implementar Activos activos actuales. conciliación, incluyendo la utilización de herramientas activos, recursos y software de descubrimiento. actividades de TI 4. Comprobar que los activos se adecuan a sus objetivos (p.ej., están en condiciones útiles). 5. Determinar de forma regular si cada activo continúa proporcionando valor y, si es así, estimar la vida útil prevista de dicha validez. 6. Asegurar la contabilización de todos los activos. Situación 12. Política Antivirus Actividad Metas de TI Área Dominio ID_Pro Proceso Práctica Responsables Relacionadas 1. Divulgar concienciación sobre el software malicioso y forzar procedimientos y responsabilidades de prevención. 2. Instalar y activar herramientas de protección frente a software malicioso en todas las instalaciones de proceso, con ficheros de definición de software *Cumplimiento y malicioso que se actualicen según se requiera (automática soporte de TI al o semi-automáticamente). cumplimiento del 3. Distribuir todo el software de protección de forma negocio, de las leyes y *Propietarios de los centralizada (versión y nivel de parcheado) usando una regulaciones Proteger procesos de negocio. configuración centralizada y la gestión de cambios. externas. Entrega, Gestionar contra *Jefe de RR HH 4. Revisar y evaluar regularmente la información sobre *Riesgos de negocio Gestión Servicio y DSS05 Servicios de software *Jefe de desarrollo nuevas posibles amenazas (por ejemplo, revisando relacionados con las TI Soporte Seguridad malicioso *Jefe de operaciones TI productos de vendedores y servicios de alertas de gestionados (malware). *Gestor de seguridad seguridad). *Seguridad de la de la información. 5. Filtrar el tráfico entrante, como correos electrónicos y información, descargas, para protegerse frente a información no infraestructura de solicitada (por ejemplo, software espía y correos de procesamiento y phishing). aplicaciones. 6. Realizar formación periódica sobre software malicioso en el uso del correo electrónico e Internet. Formar a los usuarios para no instalarse software compartido o no autorizado.