Unidad 2: Administración de Recursos en Áreas de Sistemas de Información

Question 1

Buenas Prácticas de la seguridad de la información

Answer 1

• Integridad
• Confidencialidad
• Disponibilidad

Question 2

Buenas Prácticas de la seguridad de la información - Integridad

Answer 2

Mantener la exactitud y completitud de la información y sus métodos de proceso.

Question 3

Buenas Prácticas de la seguridad de la información - Confidencialidad

Answer 3

Garantizar la privacidad de la información y de su tratamiento, para prevenir su divulgación no autorizada cuando está almacenada o en tránsito.

Question 4

Buenas Prácticas de la seguridad de la información - Disponibilidad

Answer 4

Garantizar que los recursos sean accesibles y utilizables por los usuarios autorizados cuando estos lo requieran.

Question 5

Buenas Prácticas de la seguridad de la información - Ciberseguridad

Answer 5

La ciberseguridad se encarga de la protección de los sistemas informáticos.

Question 6

Buenas Prácticas de la seguridad de la información - Seguridad de la información

Answer 6

La seguridad de la información es un proceso que amplía la visión técnica de la seguridad informática extendiéndose a considerar todas las personas, los procesos, funciones y activos de toda la organización.

Question 7

COBIT 2019: Gestión de Riesgos

Answer 7

Dentro de los objetivos de Gestión y en el dominio: Alinear,
Planificar y Organizar (APO), se encuentra el Objetivo: Gestionar el
Riesgo:
▪ Recopilar datos
▪ Analizar el riesgo
▪ Mantener un perfil de riesgo
▪ Articular el riesgo
▪ Definir un portafolio con acciones de gestión de riesgos
▪ Responder al riesgo

Question 8

EL PROCESO DE GESTIÓN DE RIESGOS

Answer 8

Es un proceso iterativo basado en el conocimiento, evaluación y manejo de los riesgos, con el propósito de mejorar la toma de decisiones organizacionales y aplicable a cualquier situación
donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades.

Question 9

EL PROCESO DE GESTIÓN DE RIESGOS: Recopilar datos

Answer 9

Se deberán determinar los riesgos inherentes y documentar sus características

Question 10

EL PROCESO DE GESTIÓN DE RIESGOS: Identificación de activos

Answer 10

La tipificación de los activos es tanto una información documental de interés como un criterio para la posterior identificación de amenazas potenciales y vulnerabilidades, y permitirán establecer controles apropiados a la naturaleza del activo.

Question 11

EL PROCESO DE GESTIÓN DE RIESGOS: Inventario de activos

Answer 11

Un inventario de activos podrá contener:
- Identificador
- Nombre
- Descripción
- Propietario o Dueño del Activo
- Contenedores o Soportes del Activo de Información
- Custodio del Activo
- Origen
- Acceso
- Dependencias

Question 12

TAXONOMÍAS PARA LA IDENTIFICACIÓN DE RIESGOS

Answer 12

La clasificación identifica y organiza la fuente de estos riesgos en cuatro clases:
1. Acciones (o inacción) de las personas: realizadas tanto deliberada como accidentalmente
2. Fallas de los sistemas y tecnología: fallas del hardware, software y sistemas de información
3. Fallas de los procesos internos: problemas en los procesos internos del negocio que impactan en la habilidad para implementar, gestionar y sostener a la seguridad.
4. Eventos externos: cuestiones fuera del control de la organización.

Question 13

ANALIZAR EL RIESGO

Answer 13

En el contexto de Proyectos PMI define al riesgo relacionado con
las Oportunidades (resultados positivos) y las Amenazas (resultados negativos).

Question 14

VALORACIÓN DE LOS RIESGOS

Answer 14

SEVERIDAD DEL RIESGO = PROBABILIDAD X IMPACTO.

La severidad del riesgo puede evaluarse de dos formas:
o Evaluación Cualitativa: La severidad de los riesgos se calcula utilizando escalas de probabilidad e impacto

o Evaluación Cuantitativa: La severidad de un riesgo se calcula numéricamente.

Para establecer qué valor de la escala corresponde al impacto podemos referirnos al valor que el activo tiene para la organización o a la magnitud de la pérdida que sufriría la misma si fuese afectado dicho activo.
Las características o atributos que hacen valioso un activo se denominan dimensiones de valoración.

Question 15

Riesgo residual

Answer 15

El riesgo residual será el riesgo que estaremos dispuestos a aceptar.

Question 16

RESPONDER A LOS RIESGOS

Answer 16

Las actividades a desarrollar para responder a los riesgos incluyen controles de tipo preventivo, detectivo y correctivo.
➢ Controles Preventivos: Reducen la probabilidad o impacto del riesgo o eliminan sus causas.

➢ Controles Detectivos: Detectan el riesgo una vez ocurrido, reducen el impacto del riesgo.

➢ Controles Correctivos: identifican y corrigen las causas del riesgo ocurrido.

Question 17

ESTRATEGIAS DE TRATAMIENTO DE LOS RIESGOS

Answer 17

Las estrategias que pueden aplicarse serán:
o Estrategias de tratamiento de riesgos negativos (amenazas)
▪ Evitar: No se acepta de esa forma.
▪ Transferir: a un tercero el riesgo y la gestión del mismo (Subcontratar, Asegurar)
▪ Mitigar: Se hará lo posible para minimizar su ocurrencia (probabilidad) y consecuencias (impacto)
▪ Aceptar: Se acepta las consecuencias de la posible ocurrencia del riesgo

o Estrategias de tratamiento de riesgos positivos (oportunidades)
▪ Explotar: Se hará lo posible para asegurarse que la oportunidad sea una realidad
▪ Compartir: Transferir a un tercero mejor capacitado para capturar la oportunidad
▪ Mejorar: Se hará lo posible por maximizar su ocurrencia (probabilidad) y consecuencias (impacto)
▪ Aceptar: Estoy dispuesto a aceptar las consecuencias de su posible ocurrencia

Question 18

PLANES DE CONTINGENCIA, RECUPERACIÓN Y CONTINUIDAD DE NEGOCIO

Answer 18

Un plan de contingencia especifica los procedimientos que se ejecutarán ante la eventual ocurrencia de un riesgo.

Al plan de contingencia sigue inmediatamente el Plan de Recuperación que permitirá restablecer rápidamente los servicios de la organización.

En el tiempo que media entre que sucede la contingencia y se recuperan los servicios se deberán mantener operativos los procesos críticos de la organización, a esto se denomina Plan de Continuidad de Negocio.

Question 19

GESTIÓN DE SERVICIOS: ITSM (IT Service Management)

Answer 19

Es una disciplina basada en procesos, enfocada en alinear los servicios de TI proporcionados con las necesidades de las organizaciones, poniendo énfasis en los beneficios que puede
percibir el cliente final

Question 20

GESTIÓN DE SERVICIOS: Servicios

Answer 20

Conjunto de recursos provisto a los clientes para apoyarlo en la operación de una o más áreas de negocio.

Question 21

GESTIÓN DE SERVICIOS: Calidad del Servicio

Answer 21

La Calidad de un servicio refiere entonces a cuánto satisfizo el servicio las expectativas del cliente.

Question 22

GESTIÓN DE SERVICIOS: Valor del Servicio

Answer 22

+Utilidad +Garantía -Riesgos

Question 23

GESTIÓN DE SERVICIOS: Activos del Servicio

Answer 23

Para que una organización TI pueda ofrecer valor en forma de servicios debe hacer buen uso de sus recursos y capacidades.

Los recursos son la “materia prima” necesaria para la prestación del servicio.

Las capacidades representan las habilidades desarrolladas a lo largo del tiempo para transformar los recursos en valor.

Question 24

GESTIÓN DE SERVICIOS: ADMINISTRACIÓN DE LA RELACIÓN CON EL CLIENTE

Answer 24

Usuario: Utiliza los servicios.
Cliente: Paga el servicio.

Question 25

FUNDAMENTOS DE LA GESTIÓN DE SERVICIOS DE TI BASADOS EN ITIL

Answer 25

Objetivo: centrarse en el ciclo de vida del servicio y alinear las TI con el negocio. Enfoque: ágil. Modelo de cuatro dimensiones: Sistema de Valor del Servicio (SVS): * Organizaciones y Personas * Información y Tecnología * Socios y Proveedores * Flujos de Valor y Procesos

Question 26

SVC: Cadena del Valor del Servicio

Answer 26

- Plan: Asegurar entendimiento de visión, estado actual y dirección para las 4 dimensiones - Comprometer: Proporcionar buena comprensión de necesidades - Obtener/Construir: Asegurar que los componentes del servicio estén disponibles cuando y donde se necesiten - Diseño y transición: Garantizar que productos y servicios satisfacen continuamente las expectativas de interesados - Entrega y Soporte: Garantizar que servicios se entreguen y respalden de acuerdo a especificaciones. - Mejorar: Garantizar la mejora continua de producto y prácticas en todas las actividades de la SVC y 4 dimensiones

Question 27

ITIL 4: PRÁCTICAS

Answer 27

ITIL 4 cuenta con 34 prácticas agrupadas en 3 categorías: 1. Practicas generales de gestión (14): aquellas que vienen del mundo empresarial y de la gestión propia del negocio. 2. Prácticas de gestión de servicios de TI (17): en este grupo encontraremos las prácticas que han sido desarrolladas para la gestión de servicios de TI (ITSM). 3. Prácticas de gestión técnica (3): este grupo de prácticas han sido tomadas de los dominios netamente tecnológicos.

Question 28

Gestión de Incidentes

Answer 28

Incidente: “una interrupción no planificada de un servicio o la reducción de la calidad de un servicio.”

Question 29

ACTIVIDADES DE LA GESTIÓN DE INCIDENTES

Answer 29

1. Registro 2. Clasificación 3. Análisis, Resolución y Cierre

Question 30

GESTIÓN DE SOLICITUDES DE SERVICIO

Answer 30

La Gestión de Solicitudes de Servicio proporciona al departamento comercial un acceso rápido y efectivo a servicios estándar.

Question 31

ACTIVIDADES DE LA GESTIÓN DE SOLICITUDES DE SERVICIO

Answer 31

1. Selección de solicitudes. 2. Aprobación financiera de la solicitud. 3. Tramitación. 4. Cierre.

Question 32

CENTRO DE SERVICIOS DE TI

Answer 32

Centro de Servicios: Es el punto de contacto con el cliente y puede tomar diversas formas, dependiendo de la amplitud y profundidad de los servicios ofrecidos: * Service Desk (Centro de Servicios) * Call Center: gestionar un alto volumen de llamadas y redirigir a los usuarios * Help Desk (Mesa de ayuda): soporte técnico.

Question 33

GESTIÓN Y MONITORIZACIÓN DE EVENTOS

Answer 33

Clasificación: * Informativos: no requieren acción en el momento en que se identifican → Gestión de Problemas * De advertencia: disparador para Estrategias de Tratamiento en la Gestión de Riesgos * Excepciones: indican que se ha identificado una infracción a una norma establecida. → disparadores de Planes de Contingencia en la Gestión de Riesgos.

Question 34

ACTIVIDADES DEL LA GESTIÓN Y MONITORIZACIÓN DE EVENTOS

Answer 34

1. Detección del disparador del evento: El proceso se inicia cuando ocurre el suceso 2. Notificación del evento: al equipo responsable de su resolución o gestión 3. Detección y filtrado del evento: La notificación llega a un agente o herramienta de gestión que la lee e interpreta el suceso con el fin de determinar si merece mayor atención o no. 4. Clasificación del evento: asigna una categoría y un nivel de prioridad. 5. Correlación: Se analiza si existen eventos similares, así como la importancia del evento en sí mismo y se decide si es necesario tomar medidas. 6. Selección de la respuesta: Se ponen en marcha los mecanismos necesarios para dar respuesta al evento. Se eligen las soluciones a adoptar. 7. Revisión de acciones y cierre: Se revisan las excepciones o eventos importantes para determinar si se han tratado correctamente. Se cierra el proceso de Gestión de Eventos.

Question 35

GESTIÓN DE PROBLEMAS

Answer 35

La Gestión de Problemas puede ser: * Reactiva: Notificado el incidente o evento que no tiene una solución temporal o definitiva conocida, lo analiza para descubrir su causa y proponer soluciones. * Proactiva: Basándose en los incidentes registrados o monitorizando la calidad de la infraestructura TI y analizando su configuración con el objetivo de prevenir incidentes o eventos con las mismas características antes de que estos ocurran.

Question 36

ACTIVIDADES DE LA GESTIÓN DE PROBLEMAS

Answer 36

1.Identificación y Registro 2.Clasificación y Asignación de recursos 3.Análisis y diagnóstico 4.Control de Errores 5.Revisión Post Implementación y Cierre

Question 37

CONTROL DE CAMBIOS

Answer 37

Principales razones para la realización de cambios en la infraestructura TI : * Solución de errores conocidos. * Desarrollo de nuevos servicios. * Mejora de los servicios existentes. * Imperativo legal. Objetivo: Evaluación y planificación del proceso de cambio para asegurar que se realice en forma eficiente y asegurando en todo momento la calidad y continuidad del servicio TI. Participantes de la práctica: * Gestor de Cambios * Consejo Asesor de Cambios (CAB) * Comité de emergencia (ECAB)

Question 38

ACTIVIDADES DEL CONTROL DE CAMBIOS

Answer 38

1. Registro 2. Aceptación o rechazo 3. Clasificación 4. Aprobación y Planificación 5. Implementación del cambio 6. Evaluación del cambio

Question 39

GESTIÓN DE LA CONFIGURACIÓN DEL SERVICIO Y GESTIÓN DE ACTIVOS DE TI

Answer 39

Objetivos: Gestión de la Configuración del Servicio: mantenimiento y actualización de la Base de Datos de Gestión de la Configuración (CMDB) y la gestión de los elementos de configuración (CI). Gestión de Activos: gestión de los activos de TI a lo largo de su ciclo de vida completo, desde la adquisición hasta la disposición. Maximizar el valor de los activos de TI y optimizar su rendimiento, costo y riesgo asociado.

Question 40

ACTIVIDADES DE LA GESTIÓN DE LA CONFIGURACIÓN DEL SERVICIO

Answer 40

1. Identificación de Elementos de Configuración(CI) 2. Registro y Clasificación de CI 3. Control de la Configuración 4. Auditoría y Verificación de CI 5. Gestión de Relaciones y Dependencias 6. Reportes y Análisis de Configuración 7. Gestión de Versiones y Baselines

Question 41

ACTIVIDADES DE LA GESTIÓN DE ACTIVOS DE TI

Answer 41

1. Planificación Estratégica de Activos 2. Adquisición y Aprovisionamiento 3. Seguimiento y Control de Activos 4. Gestión de Licencias de Software 5. Optimización de Costos 6. Disposición de Activos al Final de su Vida Útil

Question 42

GESTIÓN DE VERSIONES

Answer 42

Es la encargada del control de calidad de todo el software y hardware instalado en el entorno de producción * Versiones mayores: introducen modificaciones importantes en la funcionalidad, características técnicas, etc. * Versiones menores: corrección de varios errores conocidos * Versiones de emergencia: reparan de forma rápida un error conocido. El sistema de codificación universalmente aceptado es: Versiones mayores: 1.0, 2.0, etc. Versiones menores: 1.1, 1.2, 1.3, etc. Versiones de emergencia: 1.1.1, 1.1.2, etc