TALLER DE APLICACIÓN DE LAS PRÁCTICAS DE ASEGURAMIENTO DE LA TI APLICANDO COBIT

(BERNABE NUNTON JONATHAN- VENTURA FLORES JUAN)

Situación 1. Administración de Requerimientos al Departamento de Desarrollo de Sistemas.
Actividad Metas de TI
Área Dominio ID_Pro Proceso Práctica
Relacionadas
2. Hacer seguimiento de los requerimientos,
Gestionar la facilitando a las partes interesadas la
Identificación supervisión, revisión y aprobación de los
Construir, Gestionar
y cambios. Asegurar que los resultados de los 01- alineamiento Ti y
Gestión Adquirir e BAI03 cambios a los
Construcción procesos de cambio están completamente estrategia de negocio
Implementar requerimientos.
de entendidos y están de acuerdo todos las partes 07 Entrega de servicios de Ti
Soluciones interesadas y el patrocinador/ propietario del de acuerdo a los requisitos
proceso de negocio. del negocio
3. Durante todo el proyecto, obtener, analizar 12 Capacitación y soporte de
y confirmar que los requerimientos de todas las procesos de negocio
partes interesadas, incluyendo los criterios de integrado aplicaciones y
Definir y
aceptación relevantes, son considerados, tecnología de negocio
mantener los
Construir, Gestionar la obtenidos, priorizados y registrados de un
requerimientos
Gestión Adquirir e BAI02 Definición de modo comprensible para las partes
Técnicos y
Implementar Requisitos interesadas, patrocinadores de negocio y
funcionales de
personal de la implementación técnica,
negocio.
reconociendo que los requerimientos pueden
cambiar y llegar a ser más detallados según se
implementen.
 Situación 2. Carencia de Documentación de las pruebas de Programas y de Sistemas.
Actividad Metas de TI
Área Dominio ID_Pro Proceso Práctica
Relacionadas
4. Identificar, registrar y clasificar (por ejemplo,
Gestionar la
fallos menores, significativos, críticos) los
Identificación
Construir, Ejecutar errores durante las pruebas. Repetir las
y
Gestión Adquirir e BAI03 pruebas de la pruebas hasta que todos los errores
Construcción
Implementar solución. significativos hayan sido resueltos. Asegurarse
de
que existen y se mantienen pistas de auditoría
Soluciones
de los resultados de las pruebas.
Gestionar la 5. Registrar los resultados de las pruebas y
Identificación comunicar los resultados a las partes 7 - entrega de servicios de TI
Construir, Ejecutar
y interesadas conforme al plan de pruebas. de acuerdo a los requisitos
Gestión Adquirir e BAI03 pruebas de la
Construcción de negocio
Implementar solución.
de
Soluciones
1. Desarrollar y documentar el plan de pruebas,
Gestionar la de forma que esté alineado con el programa y
Construir, Planificar
Aceptación plan de calidad del proyecto y estándares
Gestión Adquirir e BAI07 pruebas de
del Cambio y relevantes de la organización. Comunicar y
Implementar aceptación.
la Transición consultar con los propietarios de procesos de
negocio y grupos de interés de TI adecuados.
 Situación 3. Catalogación de Versiones de Programas Fuentes
Área Dominio ID_Pro Proceso Práctica Actividad Metas de TI Relacionadas
3. Utilizar apropiadamente inspección de
Gestionar la
código, pruebas conducidas sobre el desarrollo,
Identificación
Construir, Realizar pruebas automatizadas, integración continua,
y Gestionar el Marco de
Gestión Adquirir e BAI03 controles de revisiones y pruebas sobre aplicaciones.
Construcción Gestión de TI
Implementar calidad. Informar de los resultados del proceso de
de
supervisión y prueba al equipo de desarrollo de
Soluciones
software de aplicación y a la dirección TI.
 Situación 4. Carencia de Procedimientos Estándares de Desarrollo (Programas, Pantallas y Diseño de Tablas)
Actividad Metas de TI
Área Dominio ID_Pro Proceso Práctica
Relacionadas
2. Diseñar las etapas de procesamiento de la
Gestionar la aplicación, incluyendo especificaciones de tipos
Diseñar los
Identificación de transiciones y reglas de negocio, controles
Construir, componentes 07 Entrega de servicios de T.I
y Automatizados, definiciones de datos/objetos
Gestión Adquirir e BAI03 detallados de de acuerdo a los requisitos
Construcción de negocio, casos de uso, interfaces externos,
Implementar la del negocio
de limitaciones de diseño y otros requerimientos
solución.
Soluciones (por ejemplo, licencias, legales, estándares e
internacionalización/localización).
 Situación 5. Carencia de Herramientas de Modelamiento de datos
Área Dominio ID_Pro Proceso Práctica Actividad Metas de TI Relacionadas
Definir la 4. Definir e implementar procedimientos para
Gestionar el propiedad de asegurar la integridad y consistencia de toda la
Alinear,
Marco de la información almacenada en formato Alineamientos de TI
Gestión Planificar y APO01
Gestión de información electrónico, tales como bases de datos, y estrategia de negocio
Organizar
TI (Datos) y del almacenes de datos (data warehouses) y
sistema. archivos de datos.
1. Mantener un repositorio de la arquitectura
que contenga los estándares, los componentes
Alinear, Gestionar la Definir la
reutilizables, el modelado, las relaciones, las Alineamientos de TI
Gestión Planificar y APO03 Arquitectura arquitectura
dependencias y las vistas para permitir una y estrategia de negocio
Organizar Empresarial de referencia.
uniformidad en la organización y el
mantenimiento.
 Situación 6. Existencia de Software Aislado
Área Dominio ID_Pro Proceso Práctica Actividad Metas de TI Relacionadas
1. Identificar a las partes interesadas clave de la
Desarrollar la
empresa y sus objetivos/preocupaciones y
Alinear, Gestionar la visión de la
definir los requisitos clave de la empresa a ser
Gestión Planificar y APO03 Arquitectura arquitectura
considerados, así como la visión de la
Organizar Empresarial de
arquitectura a ser desarrollada para satisfacer
Empresa.
los distintos requisitos de las partes interesadas.
Desarrollar la 3. Alinear los objetivos de la arquitectura con las
Alinear, Gestionar la visión de la prioridades estratégicas del plan empresarial.
Gestión Planificar y APO03 Arquitectura arquitectura
Organizar Empresarial de
Empresa. Alineamientos de TI
Desarrollar la 4. Entender los deseos y las capacidades del y estrategia de negocio
Alinear, Gestionar la visión de la negocio y, a continuación, identificar las
Gestión Planificar y APO03 Arquitectura arquitectura opciones para realizar dichas capacidades.
Organizar Empresarial de
Empresa.
8. Entender los objetivos estratégicos actuales
Desarrollar la
de la empresa y trabajar conjuntamente con el
Alinear, Gestionar la visión de la
procesos de planificación estratégica para
Gestión Planificar y APO03 Arquitectura arquitectura
asegurarse que las oportunidades de
Organizar Empresarial de
arquitectura de TI empresarial se apoyan en el
Empresa.
desarrollo del plan estratégico.
 Situación 7. Carencia de Pistas de Auditoría
Área Dominio ID_Pro Proceso Práctica Actividad Metas de TI Relacionadas Responsables
1. Entender y priorizar el riesgo de acuerdo con *Director General
los objetivos organizativos. 02.Cumplimiento y soporte Financiero
2. Identificar los controles clave y desarrollar una de TI al cumplimiento del
estrategia adecuada para la validación de negocio de las leyes y *Propietarios de los
Supervisar, Revisar la controles. regulaciones externas. procesos de negocio
Evaluar y efectividad de 3. Identificar la información que indica de forma
Supervisar,
Valorar el los controles convincente si el entorno de control interno está 04.Riesgos de negocio *Cumplimiento
Gestión Evaluar y MEA02
Sistema de sobre los operando de forma efectiva. relacionados con las TI normativo
Valorar
Control procesos de 4. Desarrollar e implementar procedimientos gestionados.
Interno. negocio. eficientes para determinar si la información *Auditoría
convincente está basada en los criterios de 15.Cumplimiento de las
información. políticas internas por parte
5. Mantener evidencia de la efectividad del de TI.
control.
Situación 8. Bitácoras de Actividad.
Actividad Metas de TI
Área Dominio ID_Pro Proceso Práctica Responsables
Relacionadas
1. Registrar todos los incidentes y peticiones
de servicio, registrando toda la información
relevante de forma que pueda ser
02. Riesgos de
manejada de manera efectiva y se
negocio relacionas
Gestionar Registrar, mantenga un registro histórico completo.
con las TI gestionadas.
Entrega, Peticiones clasificar y
Gestor de
Gestión Servicio y DSS02 e priorizar 2. Para posibilitar análisis de tendencias,
07. Entrega de servicios
Soporte Incidentes peticiones e clasificar incidentes y peticiones de servicio
servicios de TI de
de Servicio incidentes identificando tipo y categoría.
acuerdo a los
requisitos del negocio
3. Priorizar peticiones de servicio e
incidentes según la definición de impacto en
el negocio del ANS y la urgencia.
Situación 9. Carencia de Procedimientos de Respaldo y Recuperación de programas fuentes
Área Dominio ID_Pro Proceso Práctica Actividad Metas de TI Relacionadas Responsables
*Propietarios de los
procesos de negocio
01.Alineamiento de TI y
1. Hacer un seguimiento del *Oficina de gestión de
estrategia de negocio.
cumplimiento con políticas y proyectos
02. Cumplimiento y soporte de
procedimientos. *Consejo de arquitectura
TI al cumplimiento del negocio
2. Analizar los incumplimientos y de la empresa
de las leyes y regulaciones
adoptar las acciones apropiadas *Jefe de RR HH
externas.
(puede incluir el cambio de *Director de Informática
09. Agilidad de las TI
Gestionar Mantener el requerimientos). *Jefe de arquitectura del
Alinear, 11. Optimización de activos,
el Marco cumplimiento 3. Integrar rendimiento y negocio
Planificar recursos y capacidades de las
Gestión APO01 de con las políticas cumplimiento dentro de los *Jefe de Operaciones TI
y TI
Gestión y objetivos individuales del personal. *Jefe de administración TI
Organizar 15. Cumplimiento de las
de TI procedimientos. 4. Evaluar periódicamente el *Gestor de servicios
políticas internas por parte de
desempeño de los catalizadores del *Gestor de seguridad de la
las TI
marco de referencia y adoptar las Información
16. Personal del negocio y de
acciones necesarias. *Gestor de continuidad de
las TI competente y motivado.
5. Analizar las tendencias en el negocio
17. Conocimiento, Experiencia
funcionamiento y cumplimiento y *Gestor de privacidad de la
e iniciativas para la innovación
adoptar las acciones apropiadas. información
del negocio.
Situación 10. Plan de Contingencias
Actividad Metas de TI
Área Dominio ID_Pro Proceso Práctica Responsables
Relacionadas
1.Definir esquemas de clasificación y priorización de
incidentes y peticiones de servicio y criterios para el
Definir registro de problemas, para asegurar enfoques
02. Riesgos de
esquemas de consistentes en el tratamiento, informando a los usuarios
negocio
clasificación y realizando análisis de tendencias.
relacionas con
Gestionar de incidentes y 2. Definir modelos de incidentes para errores conocidos
las TI
Peticiones peticiones de con el fin de facilitar su resolución eficiente y efectiva.
Entrega, gestionadas.
e servicio 3. Definir modelos de peticiones de servicio según el tipo Gestor de
Gestión Servicio y DSS02
Incidentes Definir de petición de servicio correspondiente para facilitar la servicios
Soporte 07. Entrega de
de esquemas de auto-ayuda y el servicio eficiente para
servicios de TI
Servicio clasificación las peticiones estándar.
de acuerdo a los
de incidentes y 4. Definir reglas y procedimientos de escalaco de
requisitos del
peticiones de incidentes, especialmente para incidentes importantes e
negocio
servicio. incidentes de seguridad.
5. Definir fuentes de conocimiento de incidentes y
peticiones y su uso.
Situación 11. Inventario de Hardware y Software
Actividad Metas de TI
Área Dominio ID_Pro Proceso Práctica Responsables
Relacionadas
1. Identificar todos los activos en propiedad en un
registro que indique el estado actual. Mantener su
alineación con los procesos de gestión de cambios y de
la configuración, el sistema de gestión de la
configuración y los registros contables financieros
2. Identificar los requisitos legales, reglamentarios o
contractuales que deben ser abordados en la gestión
de los activos. 06. Transparencia de
3. Verificar la existencia de todos los activos en los costes, beneficio y
Construir, Gestionar Identificar y
propiedad mediante la realización periódica de riesgos de las TI *Jefe de administración
Gestión Adquirir e BAI09 los registrar los
controles de inventario físicos y lógicos y su 11. Optimización de TI
Implementar Activos activos actuales.
conciliación, incluyendo la utilización de herramientas activos, recursos y
software de descubrimiento. actividades de TI
4. Comprobar que los activos se adecuan a sus
objetivos (p.ej., están en condiciones útiles).
5. Determinar de forma regular si cada activo continúa
proporcionando valor y, si es así, estimar la vida útil
prevista de dicha validez.
6. Asegurar la contabilización de todos los activos.
Situación 12. Política Antivirus
Actividad Metas de TI
Área Dominio ID_Pro Proceso Práctica Responsables
Relacionadas
1. Divulgar concienciación sobre el software malicioso y
forzar procedimientos y responsabilidades de prevención.
2. Instalar y activar herramientas de protección frente a
software malicioso en todas las instalaciones de proceso,
con ficheros de definición de software *Cumplimiento y
malicioso que se actualicen según se requiera (automática soporte de TI al
o semi-automáticamente). cumplimiento del
3. Distribuir todo el software de protección de forma negocio, de las leyes y
*Propietarios de los
centralizada (versión y nivel de parcheado) usando una regulaciones
Proteger procesos de negocio.
configuración centralizada y la gestión de cambios. externas.
Entrega, Gestionar contra *Jefe de RR HH
4. Revisar y evaluar regularmente la información sobre *Riesgos de negocio
Gestión Servicio y DSS05 Servicios de software *Jefe de desarrollo
nuevas posibles amenazas (por ejemplo, revisando relacionados con las TI
Soporte Seguridad malicioso *Jefe de operaciones TI
productos de vendedores y servicios de alertas de gestionados
(malware). *Gestor de seguridad
seguridad). *Seguridad de la
de la información.
5. Filtrar el tráfico entrante, como correos electrónicos y información,
descargas, para protegerse frente a información no infraestructura de
solicitada (por ejemplo, software espía y correos de procesamiento y
phishing). aplicaciones.
6. Realizar formación periódica sobre software malicioso
en el uso del correo electrónico e Internet. Formar a los
usuarios para no instalarse software compartido o no
autorizado.