8.1
Las operaciones de TI deben cumplir los requisitos derivados de la implementación
de la estrategia empresarial y de los procesos empresariales respaldados por TI (véase
AT 7.2 (1) y (2) MaRisk).
|
|
|
- |
8.2
Los componentes de los sistemas informáticos y sus relaciones entre sí deben gestionarse
de manera adecuada, y los datos de inventario registrados a tal fin deben actualizarse
periódicamente y según sea necesario. Los datos de inventario incluyen, en particular:
|
|
|
- |
| Existencia y uso previsto de los componentes del sistema informático con detalles
relevantes sobre su configuración (por ejemplo, versión y nivel de parche).
|
Gestión de inventario totalmente automatizada en todos los niveles de TI: infraestructura,
componentes del sistema, aplicaciones y dispositivos de usuario final (enfoque full-stack).
|
|
100%
 |
|
Durante el proceso de grabación, las versiones de los sistemas operativos, los lenguajes
de programación, los marcos de trabajo y las aplicaciones en uso en el momento de
la grabación se determinan de forma totalmente automática.
|
|
100%
|
|
Los datos de sistemas de terceros, como la supervisión de TI y redes, la gestión de
servicios de TI, los proveedores de servicios en la nube y las aplicaciones empresariales,
se pueden integrar y correlacionar fácilmente utilizando la topología de Versio.io.
|
|
100%
|
| Propietarios de sistemas informáticos y sus componentes |
La información específica del cliente, como el propietario o la aplicación, se puede
definir mediante variables de entorno y, por lo tanto, registrarse en Versio.io. Las
relaciones topológicas entre los activos y los elementos de configuración del entorno
informático registrado permiten también consultar asignaciones de contenido complejas.
Esto permite, por ejemplo, determinar todos los componentes que pertenecen a una aplicación
(de arriba abajo) o todas las aplicaciones que se ejecutan en un ordenador (de abajo
arriba).
|
|
100%
|
| Ubicación de los componentes del sistema informático |
Las geolocalizaciones o los datos de ubicación pueden transferirse desde sistemas
de terceros, definirse mediante variables de entorno o determinarse a partir de la
dirección IP.
|
|
100%
|
| Lista de información relevante sobre garantías y otros contratos de asistencia (con
enlaces, si procede)
|
Versio.io permite importar o registrar contratos en formato digital (por ejemplo,
Microsoft 365) o parámetros clave de contratos en papel. Versio.io ofrece un almacenamiento
de datos a prueba de auditorías que permite rastrear todos los estados y cambios de
un contrato a lo largo de todo su ciclo de vida.
Los datos del contrato importados se pueden analizar en función de su contenido (atributos
de datos, filtros) y relaciones (topología).
Todos los datos del contrato pueden verificarse en cuanto a su plausibilidad, integridad
y conformidad. Cualquier infracción se registra de forma que pueda ser auditada y
se pueden enviar las notificaciones correspondientes.
|
|
100%
|
| Información sobre la fecha de expiración del período de apoyo para los componentes
de los sistemas de TI
|
Versio.io proporciona toda la información relacionada con el lanzamiento de productos
de hardware y software en su «Base de datos de lanzamientos y fin de vida útil de
productos». A partir de esta información, se pueden generar conjuntos de reglas que
proporcionan una verificación totalmente automatizada de las estrategias de lanzamiento
de productos específicas de cada cliente. Por ejemplo, se pueden comprobar estrategias
de lanzamiento como «último lanzamiento», «último parche», «en mantenimiento», «soporte
proporcionado» o «soporte a largo plazo».
|
|
100%
|
| Requisitos de protección para los sistemas informáticos y sus componentes |
El primer paso es determinar el nivel de protección requerido a nivel conceptual.
Versio.io ofrece la opción de poner en práctica los requisitos de protección para
las operaciones de TI en todo el panorama de TI.
Los requisitos de protección pueden almacenarse en forma de variables de entorno o
etiquetas en los sistemas informáticos y sus componentes. Esto permite utilizar los
requisitos de protección en todos los escenarios de implementación posteriores (por
ejemplo, informes, controles de cumplimiento, asignación de costes, etc.).
|
|
75%
 |
| Período aceptado de indisponibilidad de los sistemas informáticos y pérdida máxima
tolerable de datos.
|
Las ventanas de mantenimiento definidas a partir de una amplia gama de sistemas de
terceros (ITSM, supervisión) pueden importarse y almacenarse en una base de datos
histórica.
Las ventanas de mantenimiento, incluidas sus relaciones topológicas con los componentes
de TI, pueden analizarse, evaluarse y verificarse. Esto permite, por ejemplo, identificar
las ventanas de mantenimiento durante las horas críticas del negocio o sin una hora
de finalización.
|
|
50%
 |
8.3
La cartera de sistemas informáticos requiere una gestión. Los sistemas informáticos
deben actualizarse periódicamente. Deben gestionarse los riesgos derivados de sistemas
informáticos obsoletos o que ya no cuenten con el soporte del fabricante (gestión
del ciclo de vida).
|
Los sistemas informáticos se registran de forma totalmente automática y continua.
El ciclo de actualización más corto es actualmente de 1 minuto. Esto significa que
los datos sobre el entorno informático están disponibles en Versio.io casi en tiempo
real.
Se registran las versiones de los sistemas operativos, los componentes del sistema,
los lenguajes de programación, las tecnologías y las aplicaciones. Cada cambio de
versión se verifica con la «base de datos de lanzamiento y fin de vida útil de los
productos» interna de Versio.io, de acuerdo con las estrategias específicas del cliente,
como la última versión, el último parche, el soporte a largo plazo, el producto en
mantenimiento y el soporte.
|
|
100%
|
8.4
Los procesos para cambiar los sistemas informáticos deben diseñarse e implementarse
en función del tipo, el alcance, la complejidad y el riesgo que impliquen. Esto también
se aplica a las nuevas adquisiciones o sustituciones de sistemas informáticos y a
las mejoras relacionadas con la seguridad (parches de seguridad). Los cambios en los
sistemas informáticos también incluyen el mantenimiento de los mismos. Algunos ejemplos
de cambios son:
|
|
|
- |
| Mejoras funcionales o correcciones de errores en los componentes del software. |
Las mejoras funcionales de un sistema informático consisten en cambios en las configuraciones,
además del código del software. Entre ellas se incluyen los esquemas de bases de datos,
las configuraciones de archivos (servidores de aplicaciones, web, mensajería o bases
de datos), los artefactos DevOps (configuraciones de Docker o Kubernetes) y las configuraciones
de red (activación de segmentos de red y
puertos). Estas configuraciones se pueden registrar y documentar de forma totalmente
automática. A su vez, cada uno de estos cambios se puede verificar de forma totalmente
automática con respecto a una configuración objetivo, los requisitos de seguridad
y las especificaciones internas.
Los sistemas de supervisión de TI y gestión de registros se utilizan normalmente para
analizar las causas de los errores. Versio.io ofrece la detección de cambios como
fuente de datos adicional esencial para identificar las causas de los errores en las
operaciones de TI.
|
|
75%
|
| migraciones de datos |
Con Versio.io Batch Job Monitoring, las empresas pueden registrar, garantizar la calidad
y optimizar la ejecución cíclica de los procesos diarios de copia de seguridad para
la migración de datos de forma que se puedan auditar.
Los datos registrados del proceso pueden verificarse en cuanto a su contenido
para garantizar la gobernanza y el cumplimiento normativo. Esto le permite, por ejemplo,
recibir una notificación si una copia de seguridad ha fallado o si su tiempo de ejecución
ha cambiado significativamente con respecto a ejecuciones anteriores del proceso.
Para garantizar la calidad de la migración de datos, los importadores de datos genéricos
de Versio.io pueden utilizarse para determinar y garantizar la integridad de la migración
basándose en el número de registros de datos y la corrección del contenido mediante
dígitos de control (valores hash) por registro de datos u objeto. El Delta Topology
Analyser se puede utilizar para detectar automáticamente las diferencias entre las
fuentes de datos migradas y activar alertas si es necesario.
|
|
50%
|
| Cambios en la configuración de los sistemas informáticos |
La competencia principal de Versio.io es la detección de cambios y su posprocesamiento
(verificación, asignación de costes, supervisión de procesos, etc.).
Versio.io almacena todos los cambios de configuración de forma que se puedan auditar.
Esto significa que todas las configuraciones están disponibles para el usuario durante
todo el ciclo de vida. Es comparable a una copia de seguridad o al versionado de configuraciones.
Cualquier cambio en la configuración puede verificarse de forma totalmente automática
y basándose en reglas con respecto a los requisitos de gobernanza y cumplimiento existentes
(seguridad, actualizaciones de productos, especificaciones internas, problemas de
configuración, etc.).
|
|
100%
|
| Sustitución de componentes de hardware (servidores, routers, etc.) |
La configuración de los componentes de hardware sustituidos en forma de servidores
físicos, sistemas de almacenamiento, routers, dispositivos móviles, etc. se puede
recopilar y documentar de forma totalmente automática.
Basándose en el análisis de la topología delta, se pueden comparar las configuraciones
entre la última configuración y el nuevo componente de hardware sustituido para identificar,
por ejemplo, diferencias de configuración.
The recorded configurations of the replaced hardware components can be
verified fully automatically in terms of governance and compliance as part of
the initial
recording and any subsequent configuration changes. This ensures compliance
with compliance
and security aspects (known security vulnerabilities, products without maintenance/support,
more recent product versions, internal specifications, valid SSL certificates,
open ports,
etc.).
|
|
75%
|
| Uso de nuevos componentes de hardware |
La configuración de nuevos componentes de hardware en forma de servidores físicos,
sistemas de almacenamiento, routers, dispositivos móviles, etc. puede recopilarse
y documentarse de forma totalmente automática.
The newly recorded configurations of the hardware components can be
verified fully automatically in terms of governance and compliance during the
initial
recording and any subsequent configuration changes. This ensures compliance
with compliance
and security aspects (known security vulnerabilities, product without maintenance/support,
more recent product versions, internal specifications, valid SSL certificates,
open ports,
etc.).
|
|
75%
|
| Traslado de sistemas informáticos a otra ubicación |
Al reubicar sistemas informáticos, es esencial documentar el estado actual y compararlo
con el sistema informático migrado para garantizar una migración estable y sin errores.
El inventario de activos y configuraciones de Versio.io proporciona todas las configuraciones
actuales de cada uno de los componentes del sistema informático (VM, host, procesos,
servicios, configuraciones, esquema de la base de datos, aplicaciones, etc.) como
base de información. Además, las relaciones entre todos los componentes del sistema
informático se proporcionan en forma de topología.
Basándose en la topología, es posible comparar el sistema informático existente (ACTUAL)
y el sistema informático migrado hasta el nivel de atributos de un subcomponente.
Esto demuestra que el sistema informático se ha restaurado 1:1 en la nueva ubicación.
Se pueden configurar ajustes de filtro específicos del cliente para el análisis delta
de la topología.
|
|
50%
|
8.5.
Los cambios en los sistemas informáticos deben registrarse de forma ordenada, documentarse,
evaluarse teniendo en cuenta los posibles riesgos de implementación, priorizarse,
aprobarse e implementarse de forma coordinada y segura. También deben establecerse
procesos adecuados para los cambios en los sistemas informáticos que requieran una
respuesta rápida. Las siguientes medidas, por ejemplo, sirven para garantizar que
los cambios se implementen de forma segura en las operaciones productivas:
|
|
|
- |
| Análisis de riesgos con respecto a los sistemas informáticos existentes (en particular,
la red y los sistemas informáticos ascendentes y descendentes), también con respecto
a posibles problemas de seguridad o compatibilidad, como parte de la solicitud de
cambio.
|
Los cambios detectados por Versio.io, por ejemplo, en sistemas operativos, tecnologías
de procesos, servidores de aplicaciones, web o bases de datos, configuraciones de
routers, etc., pueden verificarse en relación con vulnerabilidades de seguridad informática
conocidas, versiones obsoletas de lanzamientos o parches, falta de mantenimiento y
soporte para los productos utilizados, y requisitos internos para garantizar la continuidad
operativa.
|
|
100%
|
| Test de los cambios antes de su puesta en marcha para detectar posibles incompatibilidades
y problemas de seguridad con los sistemas informáticos existentes.
|
La competencia principal de Versio.io es la detección de cambios y su postprocesamiento.
Esto significa que no solo se pueden detectar los cambios planificados, sino también
los no planificados durante las pruebas previas a la puesta en marcha. Además, el
alcance de los cambios se puede controlar de forma objetiva y operativa mediante la
comparación delta entre los entornos de prueba y de producción.
Los cambios en los sistemas operativos y las tecnologías de proceso detectados por
Versio.io pueden verificarse en relación con vulnerabilidades de seguridad informática
conocidas, versiones obsoletas de lanzamientos o parches, y la falta de disponibilidad
de mantenimiento y soporte para los productos.
|
|
50%
|
| Test de los patches antes de su Go Live, teniendo en cuenta su criticidad. |
La competencia principal de Versio.io es la detección de cambios y su postprocesamiento.
Esto significa que no solo se pueden detectar los cambios planificados, sino también
los no planificados durante las pruebas previas a la puesta en marcha. Además, el
alcance de los cambios se puede controlar de forma objetiva y operativa mediante la
comparación delta entre los entornos de prueba y de producción.
|
|
25%
 |
| Copias de seguridad de los sistemas informáticos afectados. |
Con Versio.io Batch Job Monitoring, las empresas pueden registrar, garantizar la calidad
y optimizar la ejecución cíclica de las copias de seguridad diarias de datos de forma
que se puedan auditar. Los datos registrados del proceso pueden verificarse en cuanto
a su contenido para garantizar la gobernanza y el cumplimiento normativo. Esto le
permite, por ejemplo, recibir una notificación si una copia de seguridad ha fallado
o si su tiempo de ejecución ha cambiado significativamente con respecto a ejecuciones
anteriores del proceso.
|
|
25%
|
| Planes de reversión para restaurar una versión anterior del sistema informático si
se produce un problema durante o después de la puesta en marcha.
|
Versio.io automatiza completamente la documentación de todos los cambios en los sistemas
informáticos. En caso de reversión, Versio.io proporciona información detallada sobre
el estado del sistema informático antes del cambio (por ejemplo, configuración de
la aplicación, esquema de la base de datos, etc.).
Basándose en el Delta Topology Analyser, se puede realizar una verificación automatizada
tras la inversión para garantizar que la configuración se corresponde con el último
estado estable del sistema informático.
|
|
50%
|
| Opciones alternativas de recuperación para abordar el fallo de los planes de reversión
primarios.
|
Si no es posible la recuperación basada en procedimientos estándar, como copias de
seguridad o instantáneas, Versio.io ofrece documentación completa de un sistema informático
como requisito previo para la reinstalación parcial o completa de un sistema informático.
Basándose en el Delta Topology Analyser, se puede realizar una verificación automatizada
tras la reinstalación para garantizar que la configuración se corresponde con el último
estado estable del sistema informático.
|
|
50%
|
| Para cambios de configuración y ajustes de parámetros de bajo riesgo (por ejemplo,
cambios en el diseño de las aplicaciones, sustitución de componentes de hardware defectuosos,
conexión de procesadores), se pueden definir diferentes especificaciones/controles
de procedimiento (por ejemplo, principio de doble control, documentación de los cambios
o control posterior).
|
Cualquier cambio en el entorno informático, independientemente de su importancia para
la evaluación, se documenta y registra automáticamente. De este modo, Versio.io crea
una visión general y permite identificar las causas de los problemas a partir de configuraciones
aparentemente insignificantes.
|
|
100%
|
8.6
Los informes sobre desviaciones no planificadas del funcionamiento normal (fallos)
y sus causas deben registrarse de forma adecuada, evaluarse, priorizarse, en particular
en lo que respecta a los riesgos que puedan derivarse, y escalarse de acuerdo con
criterios definidos.
Para ello, deben definirse procedimientos estándar, por ejemplo, para las medidas
y la comunicación, así como las responsabilidades (por ejemplo, para el código malicioso
en los dispositivos finales, los fallos de funcionamiento). Deben documentarse el
tratamiento, el análisis de las causas fundamentales y la búsqueda de soluciones,
incluido el seguimiento. Debe existir un proceso ordenado para analizar las posibles
correlaciones entre
las interrupciones y sus causas. Debe supervisarse y controlarse el estado de
tramitación de los informes abiertos sobre incidentes, así como la idoneidad de la
evaluación y la priorización. La institución debe definir criterios adecuados para
informar a las partes implicadas (por ejemplo, la dirección, la autoridad de control
competente) sobre los incidentes.
Los riesgos pueden identificarse, por ejemplo, demostrando el incumplimiento
de los objetivos de protección. El análisis de las causas fundamentales también debe
llevarse a cabo si se utilizan varios sistemas informáticos para registrar y procesar
incidentes y causas. Para ello pueden utilizarse soluciones estandarizadas de gestión
de incidentes y problemas.
|
La gestión clásica de incidentes y problemas se lleva a cabo mediante sistemas ITSM
especializados. Versio.io puede hacerse cargo de los informes, registrarlos y asignar
las relaciones existentes a los componentes del sistema afectados (aplicación, servicio,
proceso, host, etc.).
Versio.io admite el procesamiento de mensajes proporcionando información sobre todas
las configuraciones del entorno informático y cualquier cambio realizado en ellas.
La información sobre los cambios constituye la base para el análisis de las causas
raíz, ya que los cambios suelen ser el punto de partida de los incidentes.
Además de proporcionar información centralizada y analizar las causas fundamentales,
se pueden generar informes sobre las configuraciones que causan problemas o incluso
los propios mensajes.
Todas las medidas tomadas en los componentes del sistema como parte de la resolución
de problemas son documentadas automáticamente por Versio.io (por ejemplo, ampliación
de memoria, actualización de versión, cambio de configuración, etc.). Cada uno de
estos cambios puede verificarse en términos de gobernanza y cumplimiento.
|
|
50%
|
8.7
Los requisitos para los procedimientos de copia de seguridad de los datos (excluido
el archivo de datos) deben establecerse por escrito en un concepto de copia de seguridad
de los datos. Los requisitos para la disponibilidad, legibilidad y puntualidad de
los datos de los clientes y de la empresa, así como para los
sistemas informáticos necesarios para su tratamiento, tal y como se establece
en el concepto de copia de seguridad de datos, deben derivarse de los requisitos de
los procesos empresariales y de los planes de continuidad del negocio. Los procedimientos
para restaurar y garantizar la legibilidad de los datos deben testarse periódicamente,
al menos una vez al año, de forma aleatoria y según sea necesario.
Los requisitos para las medidas destinadas a garantizar la disponibilidad, legibilidad
y puntualidad de los datos, así como para los tests que deben realizarse, se derivan
de los análisis de riesgos pertinentes. Puede ser necesario disponer de uno o varios
lugares adicionales para el almacenamiento de las copias de seguridad de los datos.
|
Con Versio.io Batch Job Monitoring, las empresas pueden registrar, garantizar la calidad
y optimizar la ejecución cíclica de los procesos diarios de copia de seguridad y las
pruebas anuales de recuperación de forma que se puedan auditar. Los datos registrados
del proceso pueden verificarse en cuanto a su contenido para garantizar la gobernanza
y el cumplimiento normativo. Esto le permite, por ejemplo, recibir una notificación
si falla una copia de seguridad o un test de recuperación, o si el tiempo de ejecución
ha cambiado significativamente con respecto a ejecuciones anteriores del proceso.
|
|
25%
|
8.8
Se deben determinar los requisitos actuales de rendimiento y capacidad de los sistemas
informáticos. Se deben estimar los requisitos futuros de rendimiento y capacidad.
Se debe planificar y supervisar la prestación de servicios con el fin de identificar
a tiempo los cuellos de botella y responder adecuadamente. Durante la planificación
se deben tener en cuenta los requisitos de rendimiento y capacidad de las medidas
de seguridad de la información.
|
El inventario central de activos y configuraciones de Versio.io proporciona datos
de configuración procedentes de una amplia variedad de fuentes, como centros de datos
y nubes, a través de informes y la API abierta. Esto permite determinar las asignaciones
de recursos configuradas (número de CPU, cantidad de memoria RAM o almacenamiento
en disco, etc.). Versio.io no recopila ningún dato sobre la cantidad de recursos realmente
utilizados.
|
|
25%
|
En 2017, los requisitos de supervisión bancaria para TI (BAIT) se publicaron como
una especificación de los requisitos mínimos para la gestión de riesgos (MaRisk) que
abordaban los requisitos de TI. Estos deben ser implementados por las instituciones
financieras sin un período de transición y los departamentos de TI deben estar alineados
con el BAIT.
