2.2 Da seguimiento a la operación de las herramientas informáticas de acuerdo con el plan de seguridad determinado.

A. Elabora e interpreta reportes del estado de las aplicaciones

  El reporte puede ser la conclusión de una investigación previa o adoptar una estructura de 

problema-solución en base a una serie de preguntas. En el caso de los informes impresos, 

el texto suele ir acompañado por gráficos, diagramas, tablas de contenido y notas al pie de página.

En el ámbito de la informática, los reportes son informes que organizan y exhiben la información contenida en una base de datos. Su función es aplicar un formato determinado a los datos para mostrarlos por medio de un diseño atractivo y que sea fácil de interpretar por los usuarios.

El reporte, de esta forma, confiere una mayor utilidad a los datos. No es lo mismo trabajar con 

una planilla de cálculos con 10.000 campos que con un dibujo en forma de torta que presenta 

dichos campos de manera gráfica. Los reportes tienen diversos niveles de complejidad, 

desde una lista o enumeración hasta gráficos mucho más desarrollados.

B. Modifica configuraciones

En informática, la configuración es un conjunto de datos que determina el valor de algunas variables de un programa o de un sistema Operativo, estas opciones generalmente son cargadas en su inicio y en algunos casos se deberá reiniciar para poder ver los cambios, ya que el programa no podrá cargarlos mientras se esté ejecutando, si la configuración aún no ha sido definida por el usuario (personalizada), el programa o sistema cargará la configuración por defecto (predeterminada).

-Conforme procedimientos definidos en el manual.

Un manual de procedimientos es el documento que contiene la descripciòn de actividades que deben seguirse en la realización de las funciones de una unidad administrativa, o de dos ò mas de ellas. El manual incluye además los puestos o unidades administrativas que intervienen precisando su responsabilidad y participación. Suelen contener información y ejemplos de formularios, autorizaciones o documentos necesarios, máquinas o equipo de oficina a utilizar y cualquier otro dato que pueda auxiliar al correcto desarrollo de las actividades dentro de la empresa. En el se encuentra registrada y transmitida sin distorsión la información básica referente al funcionamiento de todas las unidades administrativas, facilita las labores de auditoria, la evaluación y control interno y su vigilancia, la conciencia en los empleados y en sus jefes de que el trabajo se esta realizando o no adecuadamente.

-Nuevos requerimientos.

Un requerimiento de servicio  puede ser configurado desde la consola windows BLOGIK y desde la consola web BLOGIK. Esta configuración permitirá administrar un requerimiento durante su ciclo de vida. Adicionalmente un requerimiento de servicio debe configurar elementos tranversales. 

-Respalda las configuraciones de las aplicaciones 

Por cada uno de los programas o mejor dicho de las entradas que tenemos para respaldar, podemos seleccionar varios componentes. 

Esto nos puede servir en distintas situaciones.  Por ejemplo cuando reinstalamos el sistema.  Con un respaldo de este tipo, nos ahorraríamos mucho tiempo de configuraciones.  Otra situación es la de sincronizar todos los sistemas en los cuáles trabajamos como por ejemplo la laptop, la pc de la casa y la del trabajo.

2.3 Controla parámetros de seguridad mediante verificación y actualización de acorde con nuevos 
requerimientos obtenidos. 

A. Revisa la configuración de las  herramientas de seguridad aplicadas a  los equipos y redes de comunicación

La infraestructura de una red de datos, es la parte más importante de toda nuestra operación como administradores, dado que si nuestra estructura de medio de transporte es débil y no lo conocemos, por lo tanto nuestra red de datos no puede tener un nivel alto de confiabilidad, por lo que en esta sección proporcionaremos las mejores prácticas para tener o mejorar una infraestructura de red confiable.

El avance tecnológico y del conocimiento ha tenido como consecuencia que hoy en día las empresas o negocios se enfrenten a múltiples intrusos o usuarios mal intencionados que intentan vulnerar sus sistemas de información y comunicación. A su vez, internamente, se viven situaciones que podrían afectar la seguridad por descuidos internos, falta de procedimientos, un software mal configurado o decididamente por la falta de políticas de seguridad. Aunado a esto en ocasiones existe la posibilidad de falta de conocimiento por parte del mismo administrador de la red debido a múltiples factores como pueden ser inexperiencia, falta de conocimiento o capacitación. La consecuencia en muchos casos es hacer actividades no planeadas que pueden afectar a la operación diaria de los distintos sistemas.

Dado que la información es uno de los activos más importantes de una organización, para cuidarla es necesario administrar sus riesgos con procesos y tecnologías adecuadas y para el administrador de la red defender a la empresa de los múltiples intrusos o problemas internos es una prioridad.

Los desafíos asociados a la seguridad de la información evolucionan muy rápidamente, de forma tal que la tecnología por sí sola no es suficiente y que las políticas de seguridad deben ser acorde con las actividades de su empresa. Gracias a los avances tecnológicos tanto de prevención y corrección de problemas han llevado a los administradores a solicitar o contar con todas las herramientas necesarias para entregar una estrategia fundamentada de seguridad que proteja la totalidad de sus activos de los constantes ataques y vulnerabilidades, cuidando así los tres elementos claves de la seguridad: disponibilidad, integridad y privacidad.

- Herramientas de auditoria para  la recopilación de información

Es la revisión y evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
 que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes; también se puede decir que es el examen y evaluación de los procesos del área de procesamiento electrónico de datos (ped) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas

-Herramientas de auditoria para la comparación de configuraciones

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

B. Analiza reportes de las aplicaciones

GENERA REPORTES DE OPERACIÓN DE LAS APLICACIONES.

Muchas veces nos encontramos realizando sistemas de información que se dedican a capturar datos pero que también necesitan una manera de procesarlos y mostrarlos. Para esta tarea entran en juego los famosos Reportes que no son más que objetos que entregan información en un formato particular y que permiten realizar ciertas operaciones como imprimirlos, enviarlos por email, guardarlos a un archivo, etc.

Es importante mencionar que los datos almacenados son útiles en la misma medida que se puedan convertir en información para las personas que los necesitan. También es importante subrayar que la plataforma tecnológica que utilicemos debe poder tener facilidades para convertir los datos en información y poder entregarlos a los usuarios de forma que sean útiles.

Pues bien, el caso es que el .net Framework no es la excepción. Al instalar cualquiera de los productos, desde las versiones expres hasta la versión TeamSuite podemos realizar reportes y presentarlos a los usuarios para que puedan utilizar la preciada información.

 

• Compara métricas establecidas con los resultados obtenidos

Usos de una Métrica Funcional Estándar

Una vez que tengo el tamaño de un SW, entonces puedo utilizar ese dato para distintos propósitos. La siguiente lista es más enunciativa que limitativa.

Administrar la productividad.– Si tengo el tamaño y por otro lado el esfuerzo

requeridos entonces puedo establecer indicadores de productividad en términos de

Horas por Puntos de Función. Este indicador me puede servir para controlar un plan

de mejora y para compararme con la industria.

Administración de calidad.– De manera similar si tengo el tamaño y el número de

defectos que se entregaron en un desarrollo, entonces puedo establecer un indicador de calidad como defectos por Puntos Función, para la administración de la calidad.

Con una historia suficiente de proyectos, puedo estimar proyectos futuros.

Compactibilidad– Al utilizarse la misma métrica en todos mis proyectos, entonces

puedo compararlos entre ellos, pero mejor aún, si es una métrica estándar en la

industria podría compararme contra otros. 

• IDENTIFICA NUEVOS REQUERIMIENTOS

Los requerimientos puedes dividirse en requerimientos funcionales y requerimientos no funcionales. Los requerimientos funcionales definen las funciones que el sistema será capaz de realizar. Describen las transformaciones que el sistema realiza sobre las entradas para producir salidas. 

Los requerimientos no funcionales tienen que ver con características que de una u otra forma puedan limitar el sistema, como por ejemplo, el rendimiento (en tiempo y espacio), interfaces de usuario, fiabilidad (robustez del sistema, disponibilidad de equipo), mantenimiento, seguridad, portabilidad, estándares, etc. 

Los requerimientos deben ser: 

Especificados por escrito. Como todo contrato o acuerdo entre dos partes 

Posibles de probar o verificar. Si un requerimiento no se puede comprobar, entonces ¿cómo sabemos si cumplimos con él o no? 

Descritos como una característica del sistema a entregar. Esto es: que es lo que el sistema debe de hacer (y no como debe de hacerlo) 

Lo más abstracto y conciso posible. Para evitar malas interpretaciones.

NUEVOS REQUERIMIENTOS DE SEGURIDAD

Definir los equipos que, por razones de seguridad, requieren circuitos fijamente cableados. Por definición, estos circuitos de seguridad trabajan independientemente del sistema de automatización (a pesar de que el circuito de seguridad ofrece normalmente un interface de entrada/salida para la coordinación con el programa de usuario). Usualmente se configura una matriz para conectar cada actualizador con su propia área de PARO DE EMERGENCIA. Esta matriz constituye la base para los esquemas de los circuitos de seguridad. Proceder de la siguiente manera al diseñar los dispositivos de protección: Definir los encolamientos lógicos y mecánicos/eléctricos entre las diferentes tareas de automatización. Diseñar circuitos para poder manejar manualmente, en caso de emergencia, los aparatos integrantes del proceso.

Definir otros requerimientos de seguridad para garantizar un seguro desarrollo del proceso.

ESTABLECER MEDIDAS PARA SOLUCIONAR NUEVOS REQUERIMIENTOS.

Objetivo General

Orientar sobre el mejor curso de acción para la puesta en marcha de un servidor Web que garantice la seguridad de la información.

Objetivos Específicos

1.     Evaluar y seleccionar un Sistema Operativo adecuado para la implementación de herramientas de seguridad informática en servidores de Web.

2.     Enunciar los requerimientos del  equipo  necesarios  para  el  desarrollo  del  Sistema Operativo seleccionado.

1.     Establecer mecanismos y métodos eficaces con enfoque activo hacia la seguridad para ser implementados al sistema.

1.     Proporcionar técnicas de protección que brinden  soluciones  óptimas  a  la vulnerabilidad  de los servidores Web.

1.     Presentar una  serie  de  recomendaciones  para  el  desempeño  satisfactorio  del  sistema  mencionado, así  como  para  su  correcta  instalación.

Seguridad

La seguridad en redes de telecomunicaciones está fundamentada en tres elementos:

• La Integridad.- Se refiere a que el contenido y el significado de la información no se altere al viajar por una red, no obstante el número y tipo de equipos que se encuentren involucrados; la infraestructura utilizada debe ser transparente para el usuario.
• La Confiabilidad.- Implica que el servicio debe estar disponible en todo momento.
• La Confidencialidad.- Es quizá la parte más estratégica del negocio, ya que contribuye a impedir que personas no autorizadas lean y conozcan la información que se transmite.

La verdadera seguridad de un sistema va más allá de la instalación de la actualización más reciente, la configuración de un cierto fichero, o la cuidadosa administración del acceso de los usuarios a los recursos de sistema. Es una manera de ver las diferentes amenazas que acechan su sistema y lo que se  está dispuesto a hacer para evitarlas.

Seguridad De Redes

Si usa su sistema en una red (como una red de área local, red de área amplia o Internet), deberá ser consciente de que su sistema estará a un nivel más alto de riesgo que si no estuviese conectado a una. Además de atentados brutales a los ficheros de contraseñas y usuarios sin acceso apropiado, la presencia de su sistema en una red más grande aumenta la oportunidad de que ocurra un problema de seguridad y la forma posible en que pueda ocurrir.

C) Implementacion de acciones correctivas en la configuración y ejecución de herramientas de seguridad

Planes de contingencia.

Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre. De hecho los expertos en seguridad afirman "sutilmente" que hay que definir un plan de recuperación de desastres "para cuando falle el sistema", no "por si falla el sistema" (1).

Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperación de desastres, el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles.

Si bien es cierto que se pueden presentar diferentes niveles de daños, también se hace necesario presuponer que el daño ha sido total, con la finalidad de tener un Plan de Contingencias lo más completo y global posible.

Un Plan de Contingencia de Seguridad Informática consiste los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas.

Se entiende por Recuperación, "tanto la capacidad de seguir trabajando en un plazo mínimo después de que se haya producido el problema, como la posibilidad de volver a la situación anterior al mismo, habiendo reemplazado o recuperado el máximo posible de los recursos e información" (1).

Se dice que el Plan de Contingencias es el encargado de sostener el modelo de Seguridad Informática planteado y de levantarlo cuando se vea afectado.

La recuperación de la información se basa en el uso de una política de copias de seguridad (Backup) adecuada.

Actualización de software y equipo de seguridad.

Las actualizaciones tienen como objetivo reparar problemas específicos de vulnerabilidades que se presentan en un programa. Algunas veces, en lugar de liberar un sólo parche o actualización, los distribuidores publican una versión actualizada de su software, aunque podrían referirse a ésta como un parche. Cuando las actualizaciones están disponibles, los distribuidores usualmente las liberan a través de sus sitios web para que los usuarios las descarguen. Algunos programas cuentan con herramientas de actualización automática cada vez que existe algún parche disponible, tal es el caso de Windows Update. Es importante instalar las actualizaciones tan pronto como sea posible para proteger al equipo de los intrusos, quienes buscan tomar ventaja de las vulnerabilidades. Si estas opciones automáticas están disponibles, es recomendable aprovercharlas, si no lo están, se aconseja verificar los sitios web de su distribuidor periódicamente en busca de actualizaciones.

Asegúrate de descargar software o actualizaciones sólo desde sitios web confiables, nunca lo hagas a través de enlaces que aparezcan en mensajes de correo electrónico, pues los intrusos acostumbran hacer que los usuarios visiten sitios web que inyectan o propagan códigos maliciosos disfrazados de actualizaciones. También, ten cuidado con los mensajes de correo electrónico en los que se afirme que un archivo adjunto es una actualización de software, estos archivos adjuntos comúnmente son virus.

1.2 PLA DE SEGURIDAD
A) ANALIZA MODELOS Y PRACTICAS DE SEGURIDAD DE INFORMATICA

 


















-ITIL

¢Propone el establecimiento de estándares que nos ayuden en el control, operación y administración de los recursos.

¢Plantea hacer una revisión y reestructuración de los procesos existentes en caso de que estos lo necesiten.

¢Otra de las cosas que propone es que para cada actividad que se realice se debe de hacer la documentación pertinente (con fechas de cambio y modificaciones), ya que esta puede ser de gran utilidad para otros miembros del área.

-Control Objectives for Information and related Technology (COBIT)

¢Es un estándar abierto desarrollado y promovido por el Instituto de Gobernación de TI.

¢Apoyado en las necesidades gerenciales en cuanto a monitoreo de los niveles apropiados de seguridad de TI que se deben seguir en las organizaciones.

¢El Modelo de Madurez en el cual se basa COBIT, consiste en un método que evalúa el grado de control sobre los procesos de TI de una organización en una escala de 0 a 5, donde el menor (0) significa "No existe" y el mayor "Optimizado" (5).

ISM3

¢Es un estandar de ISECOM para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad

¢ISM3 ve como objetivo la seguridad de la información, el garantizar la consecución de objetivos de negocio.de la información.

¢ ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).

¢Algunas características significativas de ISM3 son:

¢Métricas de Seguridad de la Información

¢Niveles de Madurez

¢Basado en Procesos

¢Adopción de las Mejores Prácticas

¢Certificación 

Accesible 

B)Analiza estándares internacionales de

seguridad informática
ESTANDAR DE SEGURIDAD BS 17799

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un procesopara evaluar, implementar, mantener y administrar la seguridad de la información.

Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control ycontroles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO

Objetivo
El objetivo es proporcionar una base común para desarrollar normasde seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.

Alcance

-Aumento de laseguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoríainterna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
de la imagen de la organización.

Enfoque
* Responsabilidad de ladirección
* Enfoque al cliente en las organizaciones educativas
* La política de calidad en las organizaciones educativas
* Planificación: Definir los objetivos de calidad y las actividadesy recursos necesarios para alcanzar los objetivos
* Responsabilidad, autoridad y comunicación
* Provisión y gestión de los recursos
* Recursos humanos competentes
* Infraestructura yambiente de trabajo de conformidad con los requisitos del proceso educativo
* Planificación y realización del producto
* Diseño y desarrollo
* Proceso de compras
* Control de losdispositivos de seguimiento y medición
* Satisfacción del cliente
* Auditoria Interna ISO
* Revisión y disposición de las no conformidades
* Análisis de datos
Serie ISO 27000
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:

• ISMS(Information Security Management System).
• Valoración de Riesgo.
• Controles.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares
ISO 27001
 Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.
ISO 27002
La norma ISO 27001 cubre a todo tipo de organizaciones (por ej. empresas comerciales, agencias, gubernamentales, organizaciones sin ánimo de lucro) e independientemente de su tamaño (pequeña, mediana o gran empresa), tipo o naturaleza.

informática.
C) Definición del plan de seguridad 

La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos),hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

El concepto de seguridad de la información no debe ser confundido con el de «seguridad informática», ya que este último solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

Puesto simple, la seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una definición general de seguridad debe también poner atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Nadie a cargo de seguridad debe determinar quien y cuando se puede tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización a organización. Independientemente, cualquier compañía con una red debe de tener una política de seguridad que se dirija a conveniencia y coordinación.

• Descripción de los principales

elementos de protección.

ELEMENTOS DE SEGURIDAD INFORMATICA

Integridad

Los componentes del sistema permanecen
inalterados a menos que sean modificados por los
usuarios autorizados.

Disponibilidad

Los usuarios deben tener disponibles todos los
componentes del sistema cuando así lo deseen.

Privacidad
Los componentes del sistema son accesibles sólo
por los usuarios autorizados.

Control

Solo los usuarios autorizados deciden cuando y
como permitir el acceso a la información.

Autenticidad

Definir que la información requerida es válida y
utilizable en tiempo, forma y distribución.

No Repudio

Evita que cualquier entidad que envió o recibió
información alegue, que no lo hizo.

Auditorìa

Determinar qué, cuándo, cómo y quién realiza
acciones sobre el sistema.

• Definición de políticas.

Una política de seguridad en el ámbito de la criptografía de clave pública o PKI es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prácticas para la seguridad de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de un país entero.

La política de seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información. Contiene la definición de la seguridad de la información bajo el punto de vista de cierta entidad.

Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de seguridad, procedimientos (véase referencias más adelante). Debe estar fácilmente accesible de forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede ser también un documento único o inserto en un manual de seguridad. Se debe designar un propietario que será el responsable de su mantenimiento y su actualización a cualquier cambio que se requiera.

- De acceso físico a equipos.
La posibilidad de acceder físicamente a una máquina Unix - en general, a cualquier sistema operativo - hace inútiles casi todas las medidas de seguridad que hayamos aplicado sobre ella: hemos de pensar que si un atacante puede llegar con total libertad hasta una estación puede por ejemplo abrir la CPU y llevarse un disco duro; sin necesidad de privilegios en el sistema, sin importar la robustez de nuestros cortafuegos, sin nisiquiera una clave de usuario, el atacante podrá seguramente modificar la información almacenada, destruirla o simplemente leerla. Incluso sin llegar al extremo de desmontar la máquina, que quizás resulte algo exagerado en entornos clásicos donde hay cierta vigilancia, como un laboratorio o una sala de informática, la persona que accede al equipo puede pararlo o arrancar una versión diferente del sistema operativo sin llamar mucho la atención. Si por ejemplo alguien accede a un laboratorio con máquinas Linux, seguramente le resultará fácil utilizar un disco de arranque, montar los discos duros de la máquina y extraer de ellos la información deseada; incluso es posible que utilice un ramdisk con ciertas utilidades que constituyan una amenaza para otros equipos, como nukes o sniffers
- De acceso lógico a equipos
El control de acceso lógico a sistemas y aplicaciones es la primera barrera a superar por un atacante para el acceso no autorizado a un equipo y a la información que contiene. La utilización de métodos de seguridad combinados como la autenticación de 2 factores, la biometría y las técnicas de OTP (One Time Password) y SSO (Single Sign On) permiten reducir la probabilidad de éxito en los intentos de acceso por personal no autorizado.


-Para la creación de cuenta de usuario

En el contexto de la informática, un usuario es una persona que utiliza un sistema informático. Para que los usuarios puedan obtener seguridad, acceso al sistema, administración de recursos, etc, dichos usuarios deberán identificarse. Para que uno pueda identificarse, el usuario necesita una cuenta (una cuenta de usuario) y un usuario, en la mayoría de los casos asociados a una contraseña. Los usuarios utilizan una interfaz de usuario para acceder a los sistemas, el proceso de identificación es conocido como identificación de usuario o acceso del usuario al sistema (del inglés: "log in").

Los usuarios se caracterizan por ser el tipo de personas que utilizan un sistema sin la amplia experiencia necesaria que se requiere para entender al sistema (en oposición al técnico, hacker u otro perfil que sí se presupone conoce dicho sistema). En el contexto hacker, se les denomina usuarios reales. Véase también Usuario final.

Los usuarios de informática son muy similares a los usuarios en telecomunicaciones, pero con algunas pequeñas diferencias semánticas. La diferencia es comparable a la diferencia que existe entre un usuario final y los consumidores en la economía.

-De protección de red (firewall).

Cada ordenador que se conecta a internet (y, básicamente, a cualquier red de ordenadores) puede ser víctima del ataque de un hacker. La metodología que generalmente usan los hackers consiste en analizar la red (mediante el envío aleatorio de paquetes de datos) en busca de un ordenador conectado. Una vez que encuentra un ordenador, el hacker busca un punto débil en el sistema de seguridad para explotarlo y tener acceso a los datos de la máquina.

Por muchas razones, esta amenaza es aún mayor cuando la máquina está permanente conectada a internet:

• Es probable que la máquina elegida esté conectada pero no controlada.
• Generalmente, la máquina conectada que se elige posee un ancho de banda más elevado.
• La máquina elegida no cambia las direcciones IP o lo hace muy ocasionalmente.

Por lo tanto, es necesario que tanto las redes de las compañías como los usuarios de internet con conexiones por cable o ADSL se protejan contra intrusiones en la red instalando un dispositivo de protección.

¿Qué es un Firewall?

Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes interfaces de red:

• una interfaz para la red protegida (red interna)
• una interfaz para la red externa.

-Para la gestion de actualizaciones

Todas las empresas de software recomiendan la actualización periódica desde la Red de sus programas informáticos cuando estén ejecutados en el escritorio del ordenador del usuario. Así se dota al equipo de una mayor estabilidad. Las actualizaciones añaden funcionalidades nuevas, mejoran las ya existentes y corrigen agujeros de seguridad. Sin embargo, un ordenador con programas en plena actualización puede convertirse en una máquina lenta y torpe; en consecuencia, conviene gestionarlas para que no se produzcan de manera simultánea.

-CONTROL DE CAMBIO

El Control de Cambio es una Medida oficial que se toma para proteger tanto el valor de la moneda local como las reservas internacionales de un país mediante la restricción de la compra y venta de divisas.

El Control de Cambio es una intervención oficial del mercado de divisas, en la que los mecanismos normales de oferta y demanda, quedan total o parcialmente fuera de operación y en su lugar se aplica una reglamentación administrativa sobre compra y venta de divisas.

En un control de cambio se imponen un conjunto de restricciones tanto cuantitativas como cualitativas de una entrada y salida de cambio extranjero.

-De almacenamiento

os sistemas informáticos pueden almacenar los datos tanto interna (en la memoria) como externamente (en los dispositivos de almacenamiento). Internamente, las instrucciones o datos pueden almacenarse por un tiempo en los chips de silicio de la RAM (memoria de acceso aleatorio) montados directamente en la placa de circuitos principal de la computadora, o bien en chips montados en tarjetas periféricas conectadas a la placa de circuitos principal del ordenador. Estos chips de RAM constan de conmutadores sensibles a los cambios de la corriente eléctrica, esto quiere decir que los datos son almacenados por tiempo limitado (hasta que dejamos de suministrar energía eléctrica) por esta razón aparecen los dispositivos de almacenamiento secundarios o auxiliares, los cuales son capaces de conservar la información de manera permanente, mientras su estado físico sea óptimo. Los dispositivos de almacenamiento externo pueden residir dentro del CPU y están fuera de la placa de circuito principal.

-De respaldo

Los respaldos o copias de seguridad tienen dos objetivos principales:

• Permitir la restauración de archivos individuales
• Permitir la restauración completa de sistemas de archivos completos

El primer propósito es la base para las peticiones típicas de restauraciones de archivos: un usuario accidentalmente borra un archivo y le pide restaurarlo desde el último respaldo. Las circunstancias exactas pueden variar, pero este es el uso diario más común de los respaldos.

La segunda situación es la peor pesadilla de un administrador de sistemas: por la situación que sea, el administrador se queda observando un hardware que solía ser una parte productiva del centro de datos. Ahora, no es más que un pedazo de acero y silicon inútil. Lo que está faltando en todo el software y los datos que usted y sus usuarios habian reunido por años.

D.Establece métricas y mecanismos para la evaluación de los controles implementados.

Establecer métricas y mecanismos para la evaluación de los controles implementados.
• Define indicadores para evaluar la eficiencia de los controles implementados.
• Define el modo en que los indicadores serán medidos.

• Define indicadores para evaluar la eficiencia de los controles implementados.

Para poder aplicar indicadores de gestión como herramienta de evaluación es necesario saber que tipo de indicadores debo aplicar, en que área se aplicara, cómo será el proceso de evaluación y de dónde se obtendrá dicha información. Es necesario entonces conocer los pasos básicos para diseñar indicadores de gestión: Contar con Objetivos a Corto Plazo`: Mejorar la gestión y organización de la empresa Lograr alianzas con los principales proveedores de la empresa Fidelización del cliente Optimizar la producción Identificar los factores críticos del éxito. Recurso Humanos Abastecimiento.
Ventas Establecer los indicadores para cada factor critico.

• Define el modo en que los indicadores serán medidos

Como podréis comprobar los indicadores de gestión son claves para el pilotaje de los procesos relacionados. Cualquiera de los OTROS indicadores citados sirve para ver la evolución del proceso de GESTIÓN DE PEDIDOS. Pero los indicadores que realmente sirven para pilotar el mismo son los indicadores de gestión. En este caso, la gestión del buffer, es el verdadero artífice que nos permite ver la situación del proceso en todo momento y administrar los recursos necesarios para prevenir y cumplir realmente con los pedidos de los clientes y optimizar esos cuellos de botella que nos están limitando y/o que hemos considerados como limites.

Es muy frecuente en las organizaciones establecer indicadores de eficacia y de eficiencia y esperar al resultados de los mismos para tomar acciones. Pero es mas que evidente que con esto solo conseguiremos establecer acciones para el futuro, dejando el presente a las inclemencias de los elementos. Que para el caso que nos ocupa siempre estarán basados en esas leyes de Murphy, cuyo máximo exponente es que si algo puede salir mal estemos seguros que así será. Seguro que ahora mismos se os están ocurriendo algunos ejemplos.

Los ejemplos mas gráficos los encontramos en las medidas de satisfacción de los clientes y en el "time to market" de nuevos productos. El primero de ellos esta relacionado con todas esas encuestas, mas o menos complejas, a las que sometemos y/o nos vemos sometidos. Y el segundo esta relacionado con la necesidad de saber el tiempo que nos cuesta lanzar los nuevos productos. Es evidente que los indicadores aludidos siempre se referirán a comportamientos pasados. Esto esta bien, pero estaréis conmigo que son del todo insuficientes para  gestionar el día a día de los procesos de una empresa o una organización.