Sei sulla pagina 1di 20

Lineamiento y Estndares

Aplicaciones User TI
Gestin de Usuarios de TI
Norma ISO 20001.
Clasificacin de Lineamientos
Auditoras.
Documentacin.
Accesos.
Contingencia.
Control de Cambios.
Incidentes.
Integridad y Confidencialidad.


Agenda
ISO 20001
ISO IEC 20001 se basa en un conjunto estructurado de mejores prcticas y
metodologas estndar para dar respuesta a la necesidad de establecer
procesos y procedimientos para minimizar los riesgos en los negocios
provenientes de un colapso tcnico del sistema de TI de las organizaciones.

Se utiliza para desarrollar un sistema coherente e integrada a travs de
fronteras organizativas y nacionales, y es una valiosa certificacin para los
proveedores de servicios de cualquier tamao.
Estndares Basic Gold Platinum
Sistema Operativo Windows 2008 R2 STD
AIX 6.1 (excepcional)
Base de Datos SQL Server 2008
SQL Server Express 2008
Oracle 11g R2 (excep.)
Lenguaje de Programacin Visual Studio 2008 FMK 3.3
Java EE 5, Java ME 5 (excep.)
Visual Studio 2010 FMK 5
Java EE 6, Java ME 6
Framework de desarrollo .NET: > 3.5
Java: Tapestry, JSF, Spring
Java: Struts 1.1
SDT
Seguridad Active Directory (Autenticacin) ADAM (Autorizacin)
Reporting .NET: Reporting Services 2005
Crystal Report 2009
Contenido Web Sharepoint 2007
Macros VBA
Software de Oficina Microsoft Office 2010
Nivel de Cumplimiento Estndares
Lineamiento Basic Gold Platinum
Documentacion Definir tipo de gestin y facilitar mantenimiento y soporte.
Ej. Requerimientos, Indicaciones de instalacin y uso, Arquitectura tcnica. (*)
Agrega documentacin ms
especializada.
Ej. Doc. De Anlisis y Diseo,
Diagrama de base de datos,
componentes, etc.
Documentacin PAR
Contingencia Aplicaciones crticas deben contar con un mecanismo de contingencia. Informes de resultados de
simulaciones peridicas
Contingencias auxiliares.
Confidencialidad Mecanismos bsicos que preserven la confidencialidad de informacin
sensible. Ej. Uso de asteriscos para ocultar determinados caracteres,
restriccin en acceso a bases de datos. Ambientes de desarrollo y produccin
corren en ambientes separados.
Mecanismos de encriptacin de
informacin sensible. Equipos de
trabajo fsicos distintos para los
diferentes ambientes.
Depuracin de informacin
sensible en ambiente de pruebas.
Uso de data de prueba es
monitoreado constantemente.
Auditora Registro de fecha, hora de eventos, as como de los usuarios involucrados.
Existe un custodio de dichos logs y estos se almacenan histricamente.
Logs protegidos contra
manipulacin, procedimientos de
seguimiento de eventos.
Almacenamiento segn criticidad
de aplicativo, se aaden otros
campos a los logs para ahondar en
detalle de eventos.
Accesos Mecanismos de autenticacin y autorizacin. Ej. Tabla/sistema local. Usar
autenticacin con Active Directory. Poltica de contraseas.
Niveles de Autorizacin segn
grupos y perfiles. Revisin
peridica de privilegios.
Distribucin segura de
contraseas, mximo nmero de
intentos, se define custodio de
generacin de contraseas.
Respaldo y Recuperacin Procesos formales de respaldo y recuperacin, as como almacenamiento
histrico de estos.
Respaldos alineados segn
criticidad de informacin, se
almacenan en locaciones remotas.
Procedimientos de restauracin se
revisan con cierta frecuencia.
Incidentes Asegurar las actualizaciones de antivirus en los distintos ambientes
(desarrollo, testing, produccin). Asegurar que no se requieren cambios en la
configuracin de seguridad de sistemas.
Anlisis estadstico y solucin ante
nuevas amenazas de virus. Soporte
tcnico ante cualquier revisin del
aplicativo.
Entornos controlado de accesos
externos y se implementa
controles de encriptacin de
cdigo.
Control de Cambios Definir procedimientos adecuados para el versionamiento, implementar una
poltica de control de cambios y analizar los impactos de estas.
Implementar responsables
autorizadores de cambios
Implementar atencin de
requerimientos de emergencia y
pistas de auditora de cambios.
Nivel de Cumplimiento Lineamientos
Norma ISO 20001.
Clasificacin de Lineamientos
Auditoras.
Documentacin.
Accesos.
Contingencia.
Control de Cambios.
Incidentes.
Integridad y Confidencialidad.


Agenda
Macros
VBA
AUDITORIA
Manejo de archivos .txt,
.log, .csv, .xls




Uso de Log4Net o Log4J




Log en tablas auxiliares
dentro del modelo
relacional.
Log de Seguridad.
Como llegar? Considerar :
Debe registrar informacin relacionada con la Administracin de la
seguridad de la aplicacin. (creacin, modificacin, bloqueo, des
habilitacin y eliminacin de Usuarios).
Debe registrar informacin relacionada con cambios en los registros del
negocio. (Registrar cambios sobre parmetros de la lgica de la
aplicacin)
Sharepoint
InfoPath
Macros
Digitador
Web
MS
Framework
.Net 3.5
MS
Framework
.Net 4.0
Java
Scripts
BD
.NET Java Windows
Log de Auditora.
Log de Aplicacin. Debe registrar informacin que permita dar soporte a la aplicacin.
(Request de Clientes, Respuestas del servidor, Nmero de
transacciones exitosas o fallidas en un perodo de tiempo)
Para ejecucin de scripts que pertenezcan a un grupo de usuarios, Cuentas Genricas.
Se debe coordinar con AIO la habilitacin de las mismas, as
como el tema de accesos y mantenimiento.
Para bases de datos
La implementacin de logs debe considerar cubrir todo tipo de
usuarios (general y administrador).
Administradores
Norma ISO 20001.
Clasificacin de Lineamientos
Auditoras.
Documentacin.
Accesos.
Contingencia.
Control de Cambios.
Incidentes.
Integridad y Confidencialidad.


Agenda
DOCUMENTACION
Macros
VBA
Sharepoint
InfoPath
Macros
Digitad
Web
Datamart
Motores
(scripts)
.NET Java
Windows
MS
Framework
.Net 3.5
MS
Framework
.Net 4.0
Java
Como llegar? Considerar :
Utilizar plantillas de
documentacin.




Doc. Requerimientos
Anlisis y Diseo
Manual de Instalacin
Manual de Uso
Las plantillas no deben ser limitantes para el contenido de los documentos, el usuario podr considerar la
inclusin de otros puntos complementarios a cada documento.

La estructura de documentos se encuentra en:
Cada usuario tendr acceso solo a la carpeta correspondiente a su rea de trabajo.
http://bcppoint/gcmin/dsyo/arquitectura/guit/DocumentacionUserTI/Uso%20de%20SharePoint%20en%20Proced.%20GUTI.docx
TODOS
Las plantillas se encuentran en la siguiente ruta SharePoint:
Norma ISO 20001.
Clasificacin de Lineamientos
Auditoras.
Documentacin.
Accesos.
Contingencia.
Control de Cambios.
Incidentes.
Integridad y Confidencialidad.


Agenda
ACCESOS
Macros
VBA
Sharepoint
InfoPath
Datamart
Motores
(scripts)
Windows
MS
Framework
.Net 3.5
MS
Framework
.Net 4.0
Java
Como llegar?
Caractersticas:
Considerar :
Construccin de un mdulo de
Administracin de Accesos:
Considerar los usuarios del Active Directory,
como autenticados.
Construccin de tablas locales para
almacenar los roles y grupos asignados a
cada rol.
Solo Usuarios internos.
Definir procedimiento de Creacin de Usuarios, Asignacin de Roles,
eliminacin de Usuario
El usuario administrador de la aplicacin gestiona los accesos.
Macros
Digitad
Web
.NET
Java
Norma ISO 20001.
Clasificacin de Lineamientos
Auditoras.
Documentacin.
Accesos.
Contingencia.
Control de Cambios.
Incidentes.
Integridad y Confidencialidad.


Agenda
CONTINGENCIA
Macros
VBA
Sharepoint
InfoPath
Macros
Digitad
Web
Datamart
Motores
(scripts)
.NET Java
Windows
MS
Framework
.Net 3.5
MS
Framework
.Net 4.0
Java
TODOS
Como llegar?
Caractersticas:
Considerar :
Elaborar plan de contingencia.
La elaboracin de este plan
parte del anlisis de
impactos y riesgos del
aplicativo.
Se define la estrategia de
recuperacin de TI y del
negocio.
Se identifican los
procedimientos alternativos
de contingencia.
La publicacin de los planes de contingencia deber ser similar a la
publicacin de documentacin relacionada al aplicativo,
Solo los aplicativos que afecten un proceso crtico del negocio estarn
afectos a cumplir este lineamiento.
Los procesos crticos del negocio deben ser validados por ARO.
ARO
Debe estar en una
carpeta llamada
"Contingencia" dentro
de la estructura de
carpetas.
Norma ISO 20001.
Clasificacin de Lineamientos
Auditoras.
Documentacin.
Accesos.
Contingencia.
Control de Cambios.
Incidentes.
Integridad y Confidencialidad.


Agenda
CONTROL DE CAMBIOS
Macros
VBA
Sharepoint
InfoPath
Datamart
Motores
(scripts)
.NET Java
Windows
MS
Framework
.Net 3.5
MS
Framework
.Net 4.0
Java
TODOS
Como llegar?
Caractersticas:
Considerar :
Seguir procedimiento de
Cambios definido por User TI
para los cambios realizados
sobre Hw y Sw
Procedimiento que
contempla los cambios de
Infraestructura.

Tambin la participacin de
AIO en cambios de Hw en
Escenario 2
Ruta de procedimiento:
http://bcppoint/gcmin/dsyo/arquitectura/guit/DocumentacionUserTI/ControldeVersiones.vsd
Definicin de estructura de documentos en repositorio de documentos (File Server o
SharePoint):
http://bcppoint/gcmin/dsyo/arquitectura/guit/DocumentacionUserTI/Uso%20de%20SharePoint%20en%
20Proced.%20GUTI.docx
Macros
VBA
Norma ISO 20001.
Clasificacin de Lineamientos
Auditoras.
Documentacin.
Accesos.
Contingencia.
Control de Cambios.
Incidentes.
Integridad y Confidencialidad.


Agenda
INCIDENTES
Macros
VBA
Sharepoint
InfoPath
Datamart
Motores
(scripts)
.NET Java
Windows
MS
Framework
.Net 3.5
MS
Framework
.Net 4.0
Java
TODOS
Macros
VBA
Como llegar?
Caractersticas:
Considerar :
Seguir el acuerdo de
servidores de AIO
administrados por el Usuario.
Aplica servidores del Escenario 2
AIO es responsable de implementar lnea base de
Seguridad en Servidores.

Esto incluye Instalacin y mantenimiento de Antivirus,
Antispam y Parches de Seguridad.

AIO asignar un solo administrador del rea usuaria.


Las contraseas de usuarios administradores y de
sistema (root, administrador, cuentas de servicio, cuentas
administradoras, etc.) del Escenario 2 deben ser
custodiadas en un repositorio de contraseas
administrado por el Usuario.
INCIDENTES
Macros
VBA
Sharepoint
InfoPath
Datamart
Motores
(scripts)
.NET Java
Windows
MS
Framework
.Net 3.5
MS
Framework
.Net 4.0
Java
Macros
VBA
Como llegar?
Caractersticas:
Considerar :
Realizar configuracin de lnea
base de Seguridad definido por
GUTI para Escenario 3
Aplica servidores del Escenario
3
Usuario es responsable de realizar la actualizacin
peridica de antivirus en sus servidores.
Revisar Boletines de Actualizaciones de Seguridad de
Microsoft ofrecido por el rea de Seguridad.
Norma ISO 20001.
Clasificacin de Lineamientos
Auditoras.
Documentacin.
Accesos.
Contingencia.
Control de Cambios.
Incidentes.
Integridad y Confidencialidad.


Agenda
INTEGRIDAD Y CONFIDENCIALIDAD
Macros
VBA
Sharepoint
InfoPath
Datamart
Motores
(scripts)
.NET Java
Windows
MS
Framework
.Net 3.5
MS
Framework
.Net 4.0
Java
TODOS
Macros
VBA
Como llegar?
Caractersticas:
Considerar :
Seguir procedimiento definido
por GUTI para copia de
Informacin de Produccin
Contempla escenarios 2 y 3

Se requerir la conformidad de
owner de la informacin.
Identificar ambientes de desarrollo, certificacin y/o
produccin.


Para Escenario 3: Asesor GUTI brindar plantilla de
solicitud de copia de informacin de Produccin.



Para Escenario 2: Asesor GUTI registrara la solicitud de
copia de datos por Service Desk.
http://bcppoint/gcmin/dsyo/arquitectura/guit/DocumentacionUserTI/CopiaInfoProduccion.vsd

Potrebbero piacerti anche