2.2 Da seguimiento a la operación de las herramientas informáticas de acuerdo con el plan de seguridad determinado.
A. Elabora e interpreta reportes del estado de las aplicaciones
El reporte puede ser la conclusión de una investigación previa o adoptar una estructura de
problema-solución en base a una serie de preguntas. En el caso de los informes impresos,
En el ámbito de la informática, los reportes son informes que organizan y exhiben la información contenida en una base de datos. Su función es aplicar un formato determinado a los datos para mostrarlos por medio de un diseño atractivo y que sea fácil de interpretar por los usuarios.
El reporte, de esta forma, confiere una mayor utilidad a los datos. No es lo mismo trabajar con
una planilla de cálculos con 10.000 campos que con un dibujo en forma de torta que presenta
dichos campos de manera gráfica. Los reportes tienen diversos niveles de complejidad,
desde una lista o enumeración hasta gráficos mucho más desarrollados.
B. Modifica configuraciones
En informática, la configuración es un conjunto de datos que determina el valor de algunas variables de un programa o de un sistema Operativo, estas opciones generalmente son cargadas en su inicio y en algunos casos se deberá reiniciar para poder ver los cambios, ya que el programa no podrá cargarlos mientras se esté ejecutando, si la configuración aún no ha sido definida por el usuario (personalizada), el programa o sistema cargará la configuración por defecto (predeterminada).
-Conforme procedimientos definidos en el manual.
Un manual de procedimientos es el documento que contiene la descripciòn de actividades que deben seguirse en la realización de las funciones de una unidad administrativa, o de dos ò mas de ellas. El manual incluye además los puestos o unidades administrativas que intervienen precisando su responsabilidad y participación. Suelen contener información y ejemplos de formularios, autorizaciones o documentos necesarios, máquinas o equipo de oficina a utilizar y cualquier otro dato que pueda auxiliar al correcto desarrollo de las actividades dentro de la empresa. En el se encuentra registrada y transmitida sin distorsión la información básica referente al funcionamiento de todas las unidades administrativas, facilita las labores de auditoria, la evaluación y control interno y su vigilancia, la conciencia en los empleados y en sus jefes de que el trabajo se esta realizando o no adecuadamente.
-Nuevos requerimientos.
Un requerimiento de servicio puede ser configurado desde la consola windows BLOGIK y desde la consola web BLOGIK. Esta configuración permitirá administrar un requerimiento durante su ciclo de vida. Adicionalmente un requerimiento de servicio debe configurar elementos tranversales.
Por cada uno de los programas o mejor dicho de las entradas que tenemos para respaldar, podemos seleccionar varios componentes.
Esto nos puede servir en distintas situaciones. Por ejemplo cuando reinstalamos el sistema. Con un respaldo de este tipo, nos ahorraríamos mucho tiempo de configuraciones. Otra situación es la de sincronizar todos los sistemas en los cuáles trabajamos como por ejemplo la laptop, la pc de la casa y la del trabajo.
2.3 Controla parámetros de seguridad mediante verificación y actualización de acorde con nuevos
requerimientos obtenidos.
A. Revisa la configuración de las herramientas de seguridad aplicadas a los equipos y redes de comunicación
La infraestructura de una red de datos, es la parte más importante de toda nuestra operación como administradores, dado que si nuestra estructura de medio de transporte es débil y no lo conocemos, por lo tanto nuestra red de datos no puede tener un nivel alto de confiabilidad, por lo que en esta sección proporcionaremos las mejores prácticas para tener o mejorar una infraestructura de red confiable.
El avance tecnológico y del conocimiento ha tenido como consecuencia que hoy en día las empresas o negocios se enfrenten a múltiples intrusos o usuarios mal intencionados que intentan vulnerar sus sistemas de información y comunicación. A su vez, internamente, se viven situaciones que podrían afectar la seguridad por descuidos internos, falta de procedimientos, un software mal configurado o decididamente por la falta de políticas de seguridad. Aunado a esto en ocasiones existe la posibilidad de falta de conocimiento por parte del mismo administrador de la red debido a múltiples factores como pueden ser inexperiencia, falta de conocimiento o capacitación. La consecuencia en muchos casos es hacer actividades no planeadas que pueden afectar a la operación diaria de los distintos sistemas.
Dado que la información es uno de los activos más importantes de una organización, para cuidarla es necesario administrar sus riesgos con procesos y tecnologías adecuadas y para el administrador de la red defender a la empresa de los múltiples intrusos o problemas internos es una prioridad.
Los desafíos asociados a la seguridad de la información evolucionan muy rápidamente, de forma tal que la tecnología por sí sola no es suficiente y que las políticas de seguridad deben ser acorde con las actividades de su empresa. Gracias a los avances tecnológicos tanto de prevención y corrección de problemas han llevado a los administradores a solicitar o contar con todas las herramientas necesarias para entregar una estrategia fundamentada de seguridad que proteja la totalidad de sus activos de los constantes ataques y vulnerabilidades, cuidando así los tres elementos claves de la seguridad: disponibilidad, integridad y privacidad.
- Herramientas de auditoria para la recopilación de información
Es la revisión y evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes; también se puede decir que es el examen y evaluación de los procesos del área de procesamiento electrónico de datos (ped) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas
que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes; también se puede decir que es el examen y evaluación de los procesos del área de procesamiento electrónico de datos (ped) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas
-Herramientas de auditoria para la comparación de configuraciones
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
- Evaluación de los sistemas y procedimientos.
- Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.
B. Analiza reportes de las aplicaciones
GENERA REPORTES DE OPERACIÓN
DE LAS APLICACIONES.
Muchas veces nos
encontramos realizando sistemas de información que se dedican a capturar datos
pero que también necesitan una manera de procesarlos y mostrarlos. Para esta
tarea entran en juego los famosos Reportes que no son más que objetos que
entregan información en un formato particular y que permiten realizar ciertas
operaciones como imprimirlos, enviarlos por email, guardarlos a un archivo,
etc.
Es importante
mencionar que los datos almacenados son útiles en la misma medida que se puedan
convertir en información para las personas que los necesitan. También es
importante subrayar que la plataforma tecnológica que utilicemos debe poder
tener facilidades para convertir los datos en información y poder entregarlos a
los usuarios de forma que sean útiles.
Pues bien, el caso es
que el .net Framework no es la excepción. Al instalar cualquiera de los
productos, desde las versiones expres hasta la versión TeamSuite podemos
realizar reportes y presentarlos a los usuarios para que puedan utilizar la
preciada información.
- Compara métricas establecidas con los resultados obtenidos
Usos de una Métrica
Funcional Estándar
Una vez que tengo
el tamaño de un SW, entonces puedo utilizar ese dato para
distintos propósitos. La siguiente lista es más enunciativa que limitativa.
Administrar la
productividad.– Si tengo el tamaño y por otro lado el esfuerzo
requeridos entonces
puedo establecer indicadores de productividad en términos de
Horas por Puntos de
Función. Este indicador me puede servir para controlar un plan
de mejora y para
compararme con la industria.
Administración de
calidad.– De manera similar si tengo el tamaño y el número de
defectos que se
entregaron en un desarrollo, entonces puedo establecer un indicador de
calidad como defectos por Puntos Función, para la administración de la calidad.
Con una historia
suficiente de proyectos, puedo estimar proyectos futuros.
Compactibilidad– Al utilizarse la
misma métrica en todos mis proyectos, entonces
puedo compararlos
entre ellos, pero mejor aún, si es una métrica estándar en la
industria podría
compararme contra otros.
- IDENTIFICA NUEVOS
REQUERIMIENTOS
Los requerimientos puedes
dividirse en requerimientos funcionales y requerimientos no funcionales. Los
requerimientos funcionales definen las funciones que el sistema será capaz de
realizar. Describen las transformaciones que el sistema realiza sobre las
entradas para producir salidas.
Los requerimientos no funcionales
tienen que ver con características que de una u otra forma puedan limitar el
sistema, como por ejemplo, el rendimiento (en tiempo y espacio), interfaces de
usuario, fiabilidad (robustez del sistema, disponibilidad de equipo),
mantenimiento, seguridad, portabilidad, estándares, etc.
Los requerimientos deben
ser:
Especificados por escrito. Como
todo contrato o acuerdo entre dos partes
Posibles de probar o verificar. Si
un requerimiento no se puede comprobar, entonces ¿cómo sabemos si cumplimos con
él o no?
Descritos como una característica
del sistema a entregar. Esto es: que es lo que el sistema debe de hacer (y no
como debe de hacerlo)
Lo más abstracto y conciso
posible. Para evitar malas interpretaciones.
NUEVOS REQUERIMIENTOS DE
SEGURIDAD
Definir los equipos que, por razones de seguridad, requieren circuitos
fijamente cableados. Por definición, estos circuitos de seguridad trabajan
independientemente del sistema de automatización (a pesar de que el circuito de
seguridad ofrece normalmente un interface de entrada/salida para la
coordinación con el programa de usuario). Usualmente se configura una matriz
para conectar cada actualizador con su propia área de PARO DE EMERGENCIA. Esta
matriz constituye la base para los esquemas de los circuitos de seguridad.
Proceder de la siguiente manera al diseñar los dispositivos de protección: Definir los encolamientos lógicos y mecánicos/eléctricos entre las diferentes
tareas de automatización. Diseñar circuitos para poder manejar manualmente, en caso de emergencia, los
aparatos integrantes del proceso.
Definir otros requerimientos de seguridad para garantizar un seguro desarrollo
del proceso.
ESTABLECER MEDIDAS PARA
SOLUCIONAR NUEVOS REQUERIMIENTOS.
Objetivo General
Orientar sobre el mejor curso de acción para la puesta en marcha de un
servidor Web que garantice la seguridad de la información.
Objetivos Específicos
1. Evaluar y seleccionar
un Sistema Operativo adecuado para la implementación de herramientas de
seguridad informática en servidores de Web.
2. Enunciar los
requerimientos del equipo necesarios para el
desarrollo del Sistema Operativo seleccionado.
1. Establecer mecanismos
y métodos eficaces con enfoque activo hacia la seguridad para ser implementados
al sistema.
1. Proporcionar
técnicas de protección que brinden soluciones
óptimas a la vulnerabilidad de los servidores Web.
1. Presentar una
serie de recomendaciones para el desempeño
satisfactorio del sistema mencionado, así como
para su correcta instalación.
Seguridad
La seguridad en redes de telecomunicaciones está fundamentada en tres
elementos:
- La Integridad.- Se refiere a
que el contenido y el significado de la información no se altere al viajar
por una red, no obstante el número y tipo de equipos que se encuentren
involucrados; la infraestructura utilizada debe ser transparente para el
usuario.
- La Confiabilidad.- Implica
que el servicio debe estar disponible en todo momento.
- La Confidencialidad.- Es
quizá la parte más estratégica del negocio, ya que contribuye a impedir
que personas no autorizadas lean y conozcan la información que se
transmite.
La verdadera seguridad de un sistema va más allá de la instalación
de la actualización más reciente, la configuración de un cierto fichero, o la
cuidadosa administración del acceso de los usuarios a los recursos de
sistema. Es una manera de ver las diferentes amenazas que acechan su
sistema y lo que se está dispuesto a hacer para evitarlas.
Seguridad De Redes
Si usa su sistema en una red (como una red de área local, red de área
amplia o Internet), deberá ser consciente de que su sistema estará a un
nivel más alto de riesgo que si no estuviese conectado a una. Además de
atentados brutales a los ficheros de contraseñas y usuarios sin
acceso apropiado, la presencia de su sistema en una red más grande aumenta
la oportunidad de que ocurra un problema de seguridad y la forma posible
en que pueda ocurrir.
C) Implementacion de acciones
correctivas en la configuración y ejecución de herramientas de seguridad
Planes de contingencia.
Pese a todas las
medidas de seguridad puede (va a) ocurrir un desastre. De hecho los expertos en
seguridad afirman "sutilmente" que hay que definir un plan de
recuperación de desastres "para cuando falle el sistema", no
"por si falla el sistema" (1).
Por tanto, es
necesario que el Plan de Contingencias que incluya un plan de
recuperación de desastres, el cual tendrá como objetivo, restaurar el servicio
de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles.
Si bien es cierto que
se pueden presentar diferentes niveles de daños, también se hace necesario
presuponer que el daño ha sido total, con la finalidad de tener un Plan de
Contingencias lo más completo y global posible.
Un Plan de
Contingencia de Seguridad Informática consiste los pasos que se deben
seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad
funcional del sistema aunque, y por lo general, constan de reemplazos de dichos
sistemas.
Se entiende por Recuperación,
"tanto la capacidad de seguir trabajando en un plazo mínimo después de que
se haya producido el problema, como la posibilidad de volver a la situación
anterior al mismo, habiendo reemplazado o recuperado el máximo posible de los
recursos e información" (1).
Se dice que el Plan
de Contingencias es el encargado de sostener el modelo de Seguridad Informática
planteado y de levantarlo cuando se vea afectado.
La recuperación de la
información se basa en el uso de una política de copias de seguridad (Backup)
adecuada.
Actualización de
software y equipo de seguridad.
Las actualizaciones
tienen como objetivo reparar problemas específicos de vulnerabilidades que se
presentan en un programa. Algunas veces, en lugar de liberar un sólo parche o
actualización, los distribuidores publican una versión actualizada de su
software, aunque podrían referirse a ésta como un parche. Cuando las actualizaciones están disponibles, los
distribuidores usualmente las liberan a través de sus sitios web para que los
usuarios las descarguen. Algunos programas cuentan con herramientas de
actualización automática cada vez que existe algún parche disponible, tal es el
caso de Windows Update. Es importante instalar las actualizaciones tan pronto
como sea posible para proteger al equipo de los intrusos, quienes buscan tomar
ventaja de las vulnerabilidades. Si estas opciones automáticas están
disponibles, es recomendable aprovercharlas, si no lo están, se aconseja
verificar los sitios web de su distribuidor periódicamente en busca de actualizaciones.
Asegúrate de descargar software o actualizaciones sólo desde sitios web
confiables, nunca lo hagas a través de enlaces que aparezcan en mensajes de
correo electrónico, pues los intrusos acostumbran hacer que los usuarios
visiten sitios web que inyectan o propagan códigos maliciosos disfrazados de
actualizaciones. También, ten cuidado con los mensajes de correo electrónico en
los que se afirme que un archivo adjunto es una actualización de software,
estos archivos adjuntos comúnmente son virus.
No hay comentarios:
Publicar un comentario