SISTEMAS DE INFORMACION
TALLER No. 4
WILMER LOPEZ BOLIVAR HENRY ALEXANDER MEZA VELANDIA JONATHAN STEVEN NIÑO FONSECA LICED LILIANA ROMERO MICAN LUZ DARY VILLARREAL CARDONA
SERVICIO NACIONAL DE APRENDIZAJE SENA CENTRO DE GESTION ADMINISTRATIVA TECNOLOGO EN GESTION DEL TALENTO HUMANO BOGOTA 2009
TALLER No. 4
WILMER LOPEZ BOLIVAR HENRY ALEXANDER MEZA VELANDIA JONATHAN STEVEN NIÑO FONSECA LICED LILIANA ROMERO MICAN LUZ DARY VILLARREAL CARDONA
Informe explicativo de la aplicación del Instrumento de Evaluacion Del Desempeño (Escalas Graficas)
INTRUCTORA LUIS FERNANDO ZAMUDIO
SERVICIO NACIONAL DE APRENDIZAJE SENA CENTRO DE GESTION ADMINISTRATIVA TECNOLOGO EN GESTION DEL TALENTO HUMANO BOGOTA 2009
CONTENIDO
Pág.
Introducción Objetivos Justificación. Contenido Glosario Conclusiones Bibliografía.
INTRODUCCION
En este trabajo se abordara la importancia y las consecuencias del manejo adecuado de la seguridad y control de los sistemas de información. Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet. Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía.
OBJETIVOS
1. Integridad: garantizar que los datos sean los que se supone que son 2. Confidencialidad: asegurar que sólo los individuos autorizados tengan
acceso a los recursos que se intercambian 3. Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información 4. Evitar el rechazo: garantizar de que no pueda negar una operación realizada. 5. Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos
JUSTIFICACION
Este taller se desarrolla con el propósito de conocer he investigar mas de cerca los sistemas de información en una organización y fuera de ellas, mas exactamente en nuestra vida diaria, con el fin de plantear nuevos procesos y corregir o mejorar los ya sabidos. Este taller servirá para controlar la información manejada por nosotros en las diferentes intervenciones que tengamos con los sistemas de información ya sean sistemas de datos enlazados o sistemas personales como los computadores que usamos a diario.
TALLER No 4
Pág.
Definiciones HACKER es el neologismo utilizado para referirse a un experto en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a las obras propias de un hacker. El término "hackers" trasciende a los expertos relacionados con la informática, para también referirse a cualquier profesional que está en la cúspide de la excelencia en su profesión, ya que en la descripción más pura, un hacker es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas. Hacker, usando la palabra inglesa, quiere decir divertirse con el ingenio [cleverness], usar la inteligencia para hacer algo difícil. No implica trabajar solo ni con otros necesariamente. Es posible en cualquier proyecto. No implica tampoco hacerlo con computadoras. Es
posible ser un hacker de las bicicletas. Por ejemplo, una fiesta sorpresa tiene el espíritu del hack, usa el ingenio para sorprender al homenajeado, no para molestarle.
Hacker es el neologismo utilizado para referirse a un experto en varias o alguna rama técnica relacionada con la informática: programación, redes de computadoras, sistemas operativos, hardware de red/voz, etc. Se suele llamar hackeo y hackear a las obras propias de un hacker. El término "hackers" trasciende a los expertos relacionados con la informática, para también referirse a cualquier profesional que está en la cúspide de la excelencia en su profesión, ya que en la descripción más pura, un hacker es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender el funcionamiento de éstas. Hacker, usando la palabra inglesa, quiere decir divertirse con el ingenio [cleverness], usar la inteligencia para hacer algo difícil. No implica trabajar solo ni con otros necesariamente. Es posible en cualquier proyecto. No implica tampoco hacerlo con computadoras. Es posible ser un hacker de las bicicletas. Por ejemplo, una fiesta sorpresa tiene el espíritu del hack, usa el ingenio para sorprender al homenajeado, no para molestarle.
VIRUS DE COMPUTADORA es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más "benignos", que solo se caracterizan por ser molestos. Los virus informáticos tienen, básicamente, la función de propagarse, no se replican a sí mismos por que no tienen esa facultad como el gusano informático, depende de un software para propagarse, son muy dañinos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil. El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al del
programa infectado y se graba en disco, con lo cual el proceso de replicado se completa.
TIPOS DE VIRUS. Los virus se clasifican por el modo en que actúan infectando la computadora: • • • • •
Programa: Infectan archivos ejecutables tales como .com / .exe / .ovl / .drv / .sys / .bin Boot: Infectan los sectores Boot Record, Master Boot, FAT y la Tabla de Partición. Múltiples: Infectan programas y sectores de "booteo". Bios: Atacan al Bios para desde allí reescribir los discos duros. Hoax: Se distribuyen por e-mail y la única forma de eliminarlos es el uso del sentido común. Al respecto, se trata de virus que no existe y que se utiliza para aterrar a los novatos especialmente en la Internet a pesar que los rumores lo muestran como algo muy serio y a veces la información es tomada por la prensa especializada. Por lo general, como ya se expresó, la difusión se hace por cadenas de e-mail con terribles e inopinadas advertencias. En realidad el único virus es el mensaje. A continuación se dan una serie de supuestos "virus", por lo que es aconsejable ignorar los mensajes que aparecen y no ayudar a replicarlos continuando con la cadena:
• • • • • • • • • • • • • • • • • • • • •
3b Trojan (alias PKZIP Virus). AOL4Free Virus Hoax. Baby New Year Virus Hoax. BUDDYLST.ZIP BUDSAVER.EXE Budweiser Hoax Death69 Deeyenda E-Flu FatCat Virus Hoax Free Money Get More Money Hoax Ghost Good Times Hacky Birthday Virus Hoax Hairy Palms Virus Hoax Irina Join the Crew Londhouse Virus Hoax Microsoft Virus Hoax Millenium Time Bomb
• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • •
Penpal Greetings Red Alert Returned or Unable to Deliver Teletubbies Time Bomb Very Cool Win a Holiday World Domination Hoax Yellow Teletubbies A.I.D.S. hoax email virus AltaVista virus scare AOL riot hoax email ASP virus hoax Back Orifice Trojan horse Bill Gates hoax Bloat, see MPEG virus hoax Budweiser frogs screen-saver scare Good Times hoax email virus Irina hoax virus Java virus scare Join the Crew hoax email virus 'Millennium' virus misunderstanding MPEG virus hoax 'My clock says 2097/2098' virus misunderstanding New virus debug device hoax email virus with attached Trojan horse Open: Very Cool, see A.I.D.S. hoax email virus Penpal Greetings, see Good Times hoax email virus PKZ300 Trojan virus scare Returned or Unable to Deliver hoax email virus Walt Disney greeting, see Bill Gates hoax Win a Holiday hoax email virus Windows ’98 MS Warning. Por último, cabe destacar que los HOAX están diseñados únicamente para asustar a los novatos (y a los que no lo son tanto). Otros como el mensaje del carcinoma cerebral de Jessica, Jessica Mydek, Anabelle, Ana, Billy y otros personajes imaginarios tampoco son reales como tampoco lo es la dirección ACS[arroba]aol.com, ya que fueron creados para producir congestionamiento en la Internet.
MANTENIMIENTO DE SOFTWARE Cualquier esfuerzo de Ingeniería del Software – si termina con éxito – acaba por producir un determinado producto software, orientado a satisfacer ciertos requisitos previamente establecidos. El mantenimiento en este contexto se
entiende de manera general como las actividades de cambio de ese producto. Ahora bien, el cambio se puede entender de diferentes maneras. Comenzando por lo básico, la definición de Mantenimiento del Software “El mantenimiento del software es la modificación de un producto software después de la entrega para corregir fallos, para mejorar el rendimiento u otros atributos, o para adaptar el producto a un entorno modificado”. Esta definición implica que las actividades de mantenimiento de un producto comienzan en el tiempo sólo después de que el producto se ha entregado, es decir, después de que el producto está en operación. No obstante, en ocasiones se considera que algunas actividades de mantenimiento puede comenzar antes de la entrega del producto. Se puede considerar que ciertas actividades de mantenimiento comienzan antes de la entrega. Algunas de estas actividades son la planificación de las actividades posteriores a la entrega, así como toda actividad orientada a facilitar el mantenimiento, como la revisión de la documentación. No obstante, estas pueden considerarse actividades de preparación para el mantenimiento, más que de mantenimiento en sí.
Una visión más amplia del mantenimiento del software El mantenimiento del software es la totalidad de las actividades necesarias para proporcionar soporte económico (cost-effective) al sistema software. Estas actividades se desarrollan tanto antes como después de la entrega. Las actividades previas a la entrega incluyen la planificación de las operaciones posteriores a la entrega, planificación del soporte y determinación de la logística. Las actividades posteriores a la entrega incluyen la modificación del software, la formación de usuarios, y la operación de un help desk. Como se ve, hay una diferenciación en las diferentes definiciones entre actividades pre- y post- entrega del software. Para clarificar los conceptos, en esta obra diferenciaremos entre: 1. actividades de mantenimiento propiamente dichas (posteriores a la entrega) y 2. actividades de preparación para el mantenimiento.
El criterio para diferenciarlo de otras actividades es el hecho de la entrega del producto software. Se debe tener en cuenta que en ocasiones esa entrega es un acto formal dentro de un contrato, pero en muchas otras es una simple decisión de disponibilidad pública de un grupo de desarrollo. Por ejemplo, en los proyectos de fuente abierto, desarrollados de manera voluntaria, el qué es una entrega lo determinan los propios desarrolladores cuando piensan que la funcionalidad implementada ha llegado a un determinado nivel.
Es importante resaltar que el concepto de mantenimiento del software difiere de la concepción de mantenimiento en otras disciplinas de ingeniería. Esto es debido a que el software no se “deteriora” con el uso. En la ingeniería mecánica, el mantenimiento consiste en las acciones de reparación necesarias para que la máquina o sistema mecánico siga funcionando. En la Ingeniería del Software, el mantenimiento tiene un significado más amplio, cubriendo su adaptación a necesidades
ENCRIPTACION Cifrado, codificación). La encriptación es el proceso para volver ilegible información considera importante. La información una vez encriptada sólo puede leerse aplicándole una clave. Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. Pueden ser contraseñas, nros. de tarjetas de crédito, conversaciones privadas, etc. Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar, se debe usar una clave como parámetro para esas fórmulas. El texto plano que está encriptado o cifrado se llama criptograma. Aclaración: encriptación vs. cifrado Se prefiere el uso de la palabra "cifrado" en lugar de "encriptación", debido a que esta última es una mala traducción del inglés encrypt.
SOFTWARE ANTIVIRUS
Es un programa cuya finalidad es prevenir y evitar la infección de virus, impidiendo también su propagación. Tiene capacidad para detectar y eliminar los virus y restaurar los archivos afectados por su infección (en principio). Podemos generalizar diciendo que los antivirus tienen tres componentes principales: VACUNA o MONITOR ANTIVIRUS: Programa que actúa en tiempo real, analizando los archivos que son abiertos o los programas que ejecutamos. Es una función muy importante, puesto que si un archivo infectado ha conseguido alojarse en nuestro sistema y por cualquier motivo no se ha procedido a chequearlo, el antivirus nos avisará del peligro cuando intentemos ejecutarlo o abrirlo.
De ahí la importancia de tener activado siempre el antivirus. También se conoce a la vacuna como Monitor del antivirus, antivirus residente en memoria etc.. Estos monitores tienen hoy en día unas funciones muy avanzadas en la detección de virus, siendo capaces de monitorizar operaciones que realicemos con archivos de muchos tipos, incluyendo comprimidos, archivos de correo, empaquetados etc... MOTOR DE DETECCIÓN: Programa cuya función es realizar el escaneo de los archivos, directorios o unidades que seleccionemos. Trabaja analizando los archivos, en los que busca la existencia de códigos virales, que son cadenas de códigos ejecutables particulares de cada virus y que el programa reconoce por comparación, si están registrados en su lista de definiciones. De esto se desprende la importancia de actualizar dicha lista de definiciones, diariamente incluso. Aunque no es el único método de detección empleado, siendo generalizado el empleo por los antivirus de otros tipos de análisis en su búsqueda, como el análisis heurístico, la emulación, los algoritmos etc.
DESINFECTADOR: Programa que una vez localizado el virus y desactivada su estructura procede a eliminarlo, procediendo a reparar sus efectos en el sistema. Hay que reseñar que esto último no siempre es posible, dependiendo del tipo de virus y los efectos producidos. Esto como características principales, pero por lo normal tienen muchas más, como .la posibilidad de actualizarse vía Internet (muy importante), confección de informes y estadísticas, cuarentena de infectados, creación de disquetes de arranque, programación de tareas, etc... Parece ser, entonces, que la amplitud de la base de datos del antivirus y la frecuencia y rapidez con que se añaden las definiciones de los virus a la misma es el mejor indicativo de la calidad del programa. Sí, pero no del todo. Hay otras funciones a valorar en un antivirus: Su protección frente a los medios externos (Internet, Correo) es de vital importancia, análisis heurístico, o la capacidad de reconocimiento (parcial en muchos casos, ya que los códigos de estos nunca coincidirán completamente con los de la base de datos del programa) ante nuevos tipos de virus o mutaciones de los existentes, se trata de un análisis adicional que solamente algunos programas antivirus pueden realizar, para detectar virus que en ese momento son desconocidos, velocidad de escaneo, integración con el sistema operativo, consumo de recursos... Habremos de ponderar todo esto a la hora de elegir nuestro antivirus, pero como norma de oro tendremos en cuenta que es necesario tener siempre instalado un antivirus en nuestro sistema.
Recordemos que el concepto de antivirus es el de un programa que nos brinda protección íntegramente, es decir, desde que arrancamos el ordenador y mientras efectuamos con él cualquier actividad. Por ello es importante mantener siempre su actividad desde el inicio del sistema. Secuwared Applications Otro concepto de antivirus La proliferación de virus en Internet, más de 57.000, a razón de 800 nuevos virus cada mes, es el terrible panorama al que se enfrentan las empresas españolas. Ante está situación, Secuware presenta una solución destinada a fortalecer los sistemas de seguridad informática. Secuwared Applications es un software antivirus genérico que no necesita actualización y que permite la ejecución de programas o macros autorizados por la empresa mediante una huella digital. De esta forma, evita que cualquier software, código o macro descargado de Internet se pueda ejecutar porque no está autorizado por el administrador. Por supuesto, esto incluye programas infectados o troyanos. En la actualidad, las organizaciones necesitan que sus empleados utilicen el software corporativo y no programas o aplicaciones que cada usuario considere importante y decida instalarlas en su equipo sin ningún tipo de supervisión. En el lado opuesto, los empleados defienden el derecho a la intimidad en sus puestos de trabajo, con reiteradas quejas cobre los sistemas de filtrado de los contenidos de Internet o de monitorización del correo electrónico. Este hecho conlleva importantes consecuencias ya que todo software no corporativo puede ser "pirata", producir pérdidas de datos o de productividad y pueden ser la puerta de entrada de virus y troyanos, facilitando ataques por parte de los hackers. Por ello, la solución Secuwared Applications controla las aplicaciones instaladas en los PC corporativos según la política de seguridad de cada compañía. El funcionamiento de Secuwared Applications es sencillo e intuitivo, al crear una huella digital de todas las aplicaciones instaladas en un PC, el administrador del sistema puede establecer cuáles de estas aplicaciones podrán ejecutarse y a cuáles debe estar restringido el acceso. De este modo, impide que un virus contamine la plataforma al impedir que se ejecute en el sistema al no estar autorizado. Tras la pantalla de bienvenida y una vez instalado el programa, el proceso de configuración se relativamente sencillo para las posibilidades que ofrece. Todas las opciones de configuración se llevan a cabo desde una consola desde la que se pueden establecer las directivas de seguridad, tanto para el equipo y los usuarios locales, como para los equipos y los usuarios remotos. En la configuración de la directiva de seguridad de equipos, disponemos de tres opciones diferentes. La primera opción es "Aplicaciones iniciadas cada vez que se inicia Windows", y permite administrar qué aplicaciones se iniciarán automáticamente en cada arranque.
A cada aplicación se le debe asignar un nombre y se debe especificar la ruta y los parámetros del archivo ejecutable. La segunda opción a configurar es "aplicaciones iniciadas en el próximo inicio de Windows" y se diferencia de la anterior en que únicamente afectará al próximo inicio del PC. La tercera y última opción hace referencia a los servicios iniciados al arrancar Windows y se configura de la misma manera que las dos anteriores. Una vez que las directivas de seguridad relativas al equipo se hayan configurado satisfactoriamente, el siguiente paso es configurar las opciones de usuario local, en la que las tres primeras opciones se corresponden con las ya configuradas en el equipo. La cuarta opción "Ejecutar sólo aplicaciones Windows permitidas" permite especificar las únicas aplicaciones que podrán ser ejecutadas por el usuario. La quinta opción, "Impedir herramientas de edición del registro", evita el uso de herramientas que puedan modificar el registro de Windows y la sexta y última opción "Restricciones para MS-DOS" está dividida en dos apartados; "Desactivar el símbolo de MS-DOS" para evitar el uso de comandos bajo MS-DOS en una sesión paralela a la del propio Windows y "Desactivar apicaciones en moodo único MS-DOS" que impide la ejecución de antiguos programas basados en DOS Secuwared Applications monitoriza la apertura de documentos de World y hojas de excel, bloqueando el acceso a estos archivos en caso de que el administrador no los haya validado. Todas estas características hacen de Secuwared Applications una herramienta recomendada para su uso en cibercafés o aulas de informática en centros de enseñanza donde sea preciso restringir el acceso a las funciones del sistema, limitando el uso de aplicaciones ajenas a los intereses de las empresas. Su facilidad de implantación en cualquier entorno corporativo convierten a Secuwared Applications en una herramienta versátil, que requiere poco mantenimiento y permite gestionar invididualmente cada puesto desde un sólo punto, ya sea mediante la red local o mediante Internet. Entre las ventajas de Secuwared Applications frente a un producto antivirus cabe destacar que no precisa actualización, únicamente requiere la supervisión por parte de un administrador que regule las directivas de seguridad. Los requerimientos mínimos del sistema para ejecutar Secuwared Applications son PC con procesador Intel o similar, sistema operativo Windows 95, Windows 98, Windows NT 4.0 y Windows 2000, 16 MB de RAM, el espacio que ocupa en dispo no supera 1 MB y admite la administración remota mediante Secuwared Console, herramienta que es capaz de administrar prácticamente la totalidad de soluciones que ofrede Secuware, como Secuwared Internet y Secuwared Files. Con respecto al precio de Secuwared Applications, al ser una solución escalable, su precio va igualmente en escala, dependiendo del número de puestos de trabajo en los que se vaya a instalar el producto.
MEDIDAS DE SEGURIDAD
Uso de la Computadora Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: • • •
tiempo de máquina para uso ajeno copia de programas de la organización para fines de comercialización (copia pirata) acceso directo o telefónico a bases de datos con fines fraudulentos
Sistema de Acceso Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: • • •
nivel de seguridad de acceso empleo de las claves de acceso evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo
Cantidad y Tipo de Información El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que: • •
la información este en manos de algunas personas la alta dependencia en caso de perdida de datos
Control de Programación Se debe tener conocer que el delito más común está presente en el momento de la programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que: • • •
los programas no contengan bombas lógicas los programas deben contar con fuentes y sus ultimas actualizaciones los programas deben contar con documentación técnica, operativa y de emergencia
Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente: • • • •
la dependencia del sistema a nivel operativo y técnico evaluación del grado de capacitación operativa y técnica contemplar la cantidad de personas con acceso operativo y administrativo conocer la capacitación del personal en situaciones de emergencia
Medios de Control
Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. También se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema. Rasgos del Personal Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que pueden surgir: • • •
malos manejos de administración malos manejos por negligencia malos manejos por ataques deliberados
Instalaciones Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar: • • • •
la continuidad del flujo eléctrico efectos del flujo eléctrico sobre el software y hardware evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc. verificar si existen un diseño, especificación técnica, manual o algún tipo de documentación sobre las instalaciones
Control de Residuos Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja. Establecer las Areas y Grados de Riesgo Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la función informática y los medios de prevención que se deben tener, para lo cual se debe: Establecer el Costo del Sistema de Seguridad (Análisis Costo vs Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la información vs el costo de un sistema de seguridad. Para realizar este estudio se debe considerar lo siguiente: • • •
clasificar la instalación en términos de riesgo (alto, mediano, pequeño) identificar las aplicaciones que tengan alto riesgo cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con un alto riesgo
• •
formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera la justificación del costo de implantar las medidas de seguridad
Costo x perdida Costo del de información sistema de seguridad Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en áreas de riesgo que pueden ser: Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual es importante considerar responder las siguientes cuatro preguntas: 1. ¿Qué sucedería si no se puede utilizar el sistema? Si el sistema depende de la aplicación por completo se debe definir el nivel de riesgo. Por ejemplo citemos: o o o
Un sistema de reservación de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo. Una lista de clientes será de menor riesgo. Un sistema de contabilidad fuera del tiempo de balance será de mucho menor riesgo. 2. ¿Qué consecuencias traería si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algún modo de cómo se soluciono este problema en el pasado. 3. ¿Existe un procedimiento alternativo y que problemas ocasionaría? Se debe verificar si el sistema es único o es que existe otro sistema también computarizado de apoyo menor. Ejemplo: Sí el sistema principal esta diseñado para trabajar en red sea tipo WAN quizá haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturación en red, si esta cae, quizá pudiese trabajar en forma distribuida con un módulo menor monousuario y que tenga la capacidad de
que al levantarse la red existan métodos de actualización y verificación automática. 4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando: o o o o o
Que exista un sistema paralelo al menos manual Si hay sistemas duplicados en las áreas críticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado). Si hay sistemas de energía ininterrumpida UPS. Si las instalaciones eléctricas, telefónicas y de red son adecuadas (se debe contar con el criterio de un experto). Si se cuenta con un método de respaldo y su manual administrativo. Conclusión Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, señalando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades. Consideración y Cuantificación del Riesgo a Nivel Institucional (importante) Ahora que se han establecido los riesgos dentro la organización, se debe evaluar su impacto a nivel institucional, para lo cual se debe:
• • •
Clasificar la información y los programas de soporte en cuanto a su disponibilidad y recuperación. Identificar la información que tenga un alto costo financiero en caso de perdida o pueda tener impacto a nivel ejecutivo o gerencial. Determinar la información que tenga un papel de prioridad en la organización a tal punto que no pueda sobrevivir sin ella. Una vez determinada esta información se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensión en el procesamiento y que cuantifiquen el impacto que podrían causar estas situaciones. Disposiciones que Acompañan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organización, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar:
•
Obtener una especificación de las aplicaciones, los programas y archivos de datos.
• • • •
Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso. Prioridades en cuanto a acciones de seguridad de corto y largo plazo. Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de operación ni viceversa. Que los operadores no sean los únicos en resolver los problemas que se presentan.
Higiene Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las áreas involucradas de la organización (centro de computo y demás dependencias), pues esto ayudará a detectar problemas de disciplina y posibles fallas en la seguridad. También podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulación de desperdicios y limita las posibilidades de accidentes. (ejm del rastrillo) Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal. Cultura Personal Cuando hablamos de información, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podría definir la existencia o no de los más altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo.
Conclusión
1. Falta capacitación para Controlar posibles fallas tanto humanos como sistemáticos para, así dar el rendimiento requerido por la implementación y manejo de dicho control y seguridad de los sistemas de información. 2. Las perdidas de información es debido al desconocimiento en el manejo y manipulación de los sistemas de información. 3. Encontrar y evitar posibles situaciones de roce entre el recurso humano y la organización y lograr una mejor comunicación entre ambos. 4. Implementar las medidas necesarias y requeridas de seguridad y control frente a los sistemas de información. 5. Familiarizarnos con los conceptos de sistemas de información.
GLOSARIO Acceso a Internet: A lo largo de los años, la tecnología para acceder a internet ha cambiado adaptándose a las necesidades de las personas y de los recursos. El principal motivo de cambio de los distintos tipos de accesos a internet ha sido la velocidad de conexión. Actualmente se necesita una muy buena velocidad si se quieren aprovechar todos los recursos de internet al máximo: animaciones, televisión online, realidad virtual, 3D, videoconferencia, etc. Activación del producto: (software activation, product activation, activación del producto). Procedimiento y acción de validar una aplicación de software para poder utilizarla plenamente. Administrador: Un administrador suele tener privilegios que ningún otro usuario tiene. Incluso es el encargado de otorgar los permisos para el resto de los usuarios. Backup: (Copia de seguridad) Es la copia total o parcial de información importante del disco duro, CDs, bases de datos u otro medio de almacenamiento. Esta copia de respaldo debe ser guardada en algún otro sistema de almacenamiento masivo, como ser discos duros, CDs, DVDs o cintas magnéticas (DDS, Travan, AIT, SLR,DLT y VXA). Bandeja de entrada:Los backups se utilizan para tener una o más copias de información considerada importante y así poder recuperarla en el caso de pérdida de la copia original. La bandeja de entrada, es el lugar o carpeta donde se almacenan los e-mails que se han recibido de una o más cuentas de correo electrónico. En general, la bandeja de entrada es la carpeta o ubicación por defecto donde se reciben los emails, excepto que se aplique algún filtro que redireccione los e-mails a otra cuenta, a otra carpeta/ubicación, a los elementos eliminados o al correo basura. La bandeja de entrada muchas veces también recibe el nombre de "Mensajes recibidos", "Elementos de entrada", "Buzón de entrada", "Inbox", etc. Depende del servicio o el programa de e-mail que se esté utilizando. Por defecto los e-mails se ordenan por orden de llegada, aunque el usuario generalmente puede cambiar estas preferencias a su gusto y ordenar por asunto, por remitente, por prioridad del email, etc. Bandeja de salida: En informática e internet, la bandeja de salida es carpeta o ubicación en donde se almacenan por defecto los e-mails que esperan para ser enviados.
En general, una vez enviados, los e-mails pasan a la carpeta Elementos Enviados. La Bandeja de entrada, dependiendo del servicio o el programa de e-mail que se utilice, también puede llamarse "Elementos de salida", "Mensajes sin enviar", "Unsent Messages", etc. Binario: Sistema de numeración discreta en el que todas las cantidades se representan utilizando como base el número dos, o sea, que sólo hay dos dígitos posibles. Estos dos dígitos suelen representarse con ceros y unos. El funcionamiento del sistema digital se basa en el sistema binario. Es el principio fundamental sobre el que se basan las computadoras digitales, pues para procesar y almacenar los datos sólo manejan unos y ceros. Forma ejecutable de un fichero/programa que sólo puede ser interpretado por una computadora, lo contrario de código fuente. Caballo de troya: (troyano). Programa tipo virus que queda activo en el sistema y abre un puerto de entrada a esa computadora. De esta manera la PC queda expuesta y puede ser accedida remotamente. Cibernauta: (internauta). Aquella persona que navega por internet. En principio es un término aplicable a cualquier persona que utiliza un navegador web y visita sitios web; pero suele utilizarse especialmente para aquellas personas que son expertos navegantes de la WWW, incluso sin saber demasiado sobre computación. Database: base de datos. Depurador: (debugger). Herramienta, aplicación o persona encargados de hacer la depuración de errores en programas y piezas de hardware. Ver debugger. Dispositivo de salida: periférico de salida. Dispositivo de entrada: perifericos de entrada E-mail: (Electronic mail) Correo electrónico. Servicio muy utilizado en internet que permite el intercambio gratis de mensajes entre usuarios. Junto con el mensaje se pueden adjuntar archivos. Para enviar un mensaje de e-mail es necesario tener la dirección de nuestro destinatario. Una dirección de e-mail tiene la forma:
[email protected]. Flujo de control: Canal que transfiere controles. Desde un flujo de control sólo pueden esperarse señales tipo instrucciones para controlar u operar algo. Desde un flujo de control nunca pueden llegar datos. Flujo de datos: Canal de transferencia de datos. Desde un flujo de datos sólo pueden esperarse datos y no señales de control (flujo de control). Google: Empresa especializada en búsquedas por internet y publicidad online. Posee 12.238 empleados (31 de marzo de 2007) y está radicada en Mountain View, California (EE.UU.). Gusano: Existen distintos tipos de gusanos: Gusanos de emails, gusanos de IRC, gusanos de mensajeros instantáneos, gusanos de redes de intercambio de archivos, gusanos de internet en general.
El objetivo de los gusanos puede ser desde la simple replicación, o hacer propagandas, colapsar una red, etc.
BIBLIOGRAFIA http://www.alegsa.com.ar/Dic/s.htm http://es.kioskea.net/contents/secu/secuintro.php3 http://www.pdfcoke.com/doc/7596190/Sistemas-de-InformaciOn