2.2 DA SEGUIMIENTO DE OPERACIÓN DE LAS HERRAMIENTAS INFORMÁTICAS DE ACUERDO AL PLAN DE SEGURIDAD
A) ELABORA E INTERPRETA REPORTE DEL ESTADO DE LAS
APLICACIONES.
B) MODIFICA CONFIGURACIONES.
° CONFORME A PROCEDIMIENTOS DEFINIDOS EN EL MANUAL
Un manual de procedimientos es el documento que contiene la
descripción de actividades que deben seguirse en la realización de las
funciones de una unidad administrativa, o más de ellas.
El manual incluye además los puestos o unidades
administrativas que intervienen precisando su responsabilidad y participación. Suelen
contener información y ejemplos de formularios, autorizaciones o documentos
necesarios, máquinas o equipo de oficina a utilizar y cualquier otro dato que
pueda auxiliar al correcto desarrollo de las actividades dentro de la empresa.
En él se encuentra registrada y transmitida sin distorsión la información
básica referente al funcionamiento de todas las unidades administrativas,
facilita las labores de auditoria, la evaluación y control interno y su
vigilancia, la conciencia en los empleados y en sus jefes de que el trabajo se
está realizando o no adecuadamente. También el manual de procedimientos
contiene una descripción precisa de cómo deben desarrollarse las actividades de
cada empresa. Ha de ser un documento interno, del que se debe registrar y controlar
las copias que de los mismos se realizan. A la hora de implantar, por ejemplo
una ISO, ésta exige 4 procedimientos obligatorios como son:
Tratamiento de No Conformidades
Auditoria Interna
Sistema de Mejora
° NUEVOS REQUERIMIENTOS
¿Qué son Requerimientos?
(1) Una condición o necesidad de un usuario para resolver un
problema o alcanzar un objetivo. (2) Una condición o capacidad que debe estar
presente en un sistema o componentes de sistema para satisfacer un contrato,
estándar, especificación u otro documento formal. (3) Una representación
documentada de una condición o capacidad como en (1) o (2).
Los requerimientos puedes dividirse en requerimientos
funcionales y requerimientos no funcionales. Los requerimientos funcionales
definen las funciones que el sistema será capaz de realizar. Describen las
transformaciones que el sistema realiza sobre las entradas para producir
salidas.
Los requerimientos no funcionales tienen que ver con
características que de una u otra forma puedan limitar el sistema, como por
ejemplo, el rendimiento (en tiempo y espacio), interfaces de usuario,
fiabilidad (robustez del sistema, disponibilidad de equipo), mantenimiento,
seguridad, potabilidad, estándares, etc.
Características de los requerimientos
Las características de un requerimiento son sus propiedades
principales. Un conjunto de requerimientos en estado de madurez, deben
presentar una serie de características tanto individualmente como en grupo. A
continuación se presentan las más importantes.
Necesario: Un requerimiento es necesario si su omisión
provoca una deficiencia en el sistema a construir, y además su capacidad,
características físicas o factor de calidad no pueden ser reemplazados por
otras capacidades del producto o del proceso.
Conciso: Un requerimiento es conciso si es fácil de leer y
entender. Su redacción debe ser simple y clara para aquellos que vayan a
consultarlo en un futuro.
Completo: Un requerimiento está completo si no necesita
ampliar detalles en su redacción, es decir, si se proporciona la información
suficiente para su comprensión.
Consistente: Un requerimiento es consistente si no es
contradictorio con otro requerimiento.
No ambiguo: Un requerimiento no es ambiguo cuando tiene una
sola interpretación.
Verificable: Un requerimiento es verificable cuando puede
ser cuantificado de manera que permita hacer uso de los siguientes métodos de
verificación: inspección, análisis, demostración o pruebas.
El respaldo puede incluir la configuración del sistema, la
configuración de Internet Explorer, Firefox y hasta la configuración de
Microsoft Outlook.
Por cada uno de los programas o mejor dicho de las entradas
que tenemos para respaldar, podemos seleccionar varios componentes. Como bien pueden ver en la imagen anterior,
cuando respaldamos la configuración del sistema, podemos elegir los shortcuts
del escritorio, el start menú, los wallpapers, la configuración del teclado,
cursores y otras cosas más.
Esto nos puede servir en distintas situaciones. Por ejemplo cuando reinstalamos el
sistema. Con un respaldo de este tipo,
nos ahorraríamos mucho tiempo de configuraciones. Otra situación es la de sincronizar todos los
sistemas en los cuáles trabajamos como por ejemplo la laptop, la pc de la casa
y la del trabajo.
Es un programa muy facil de usar e intuitivo. Con solo marcar lo que queremos respaldar y
presionar el botón Backup, listo, en cuestión de pocos minutos, tenemos nuestro
respaldo.
Soporta las siguientes versiones de Windows: NT/2000/XP/2003
2.3 CONTROLA PARÁMETROS DE SEGURIDAD
A) REVISA LA CONFIGURACIÓN DE LAS HERRAMIENTAS DE SEGURIDAD
APLICADAS A LOS EQUIPOS Y REDES DE COMUNICACIÓN.
° HERRAMIENTAS DE AUDITORIA PARA LA RECOPILACIÓN DE
INFORMACIÓN.
Es una de las técnicas más utilizadas para examinar los
diferentes aspectos que intervienen en el funcionamiento del área informática y
los sistemas software, permite recolectar la información directamente sobre el
comportamiento de los sistemas, del área de informática, de las funciones y
actividades, los procedimientos y operación de los sistemas, y de cualquier
hecho que ocurra en el área. En el caso específico de la auditoria se aplica
para observar todo lo relacionado con el área informática y los sistemas de una
organización con el propósito de percibir, examinar, o analizar los eventos que
se presentan en el desarrollo de las actividades del área o de un sistema que
permita evaluar el cumplimiento de las funciones, operaciones y procedimientos.
Esta técnica es la más utilizada por los auditores ya que a través de esta se obtiene
información sobre lo que esta auditando,
además de tips que permitirán conocer más sobre los puntos a evaluar o analizar. La entrevista en general
es un medio directo para la recolección de información para la captura de los
datos informados por medio de grabadoras digitales o cualquier otro medio. En
la entrevista, el auditor interroga, investiga y conforma directamente sobre
los aspectos que se está auditando. En su aplicación se utiliza una guía
general de la entrevista, que contiene una serie de preguntas sobre los temas
que se quiere tocar, y que a medida que avanza pueden irse adaptando para
profundizar y preguntar sobre el tema.
Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado.
Las encuestas son utilizadas frecuentemente para recolectar
información sobre aspectos como el servicio, el comportamiento y utilidad del
equipo, la actuación del personal y los usuarios, entre otros juicios de la
función informática. No existen reglas para el uso de las encuestas, solo los
que regulan los aspectos técnicos y estadísticos tales como la elección del
universo y la muestra, que se contemplan
dentro de la aplicación de
métodos probabilistas y estadísticos para hacer la mejor elección de las
muestras y recolección de opiniones.
Consiste en hacer el recuento físico de lo que se está
auditando, con el fin de compararla con la que existe en los documentos en la
misma fecha. Consiste en comparar las cantidades reales existentes con las que
debería haber para comprobar que sean iguales, de lo contrario iniciar la
investigación de la diferencia para establecer las causas. Con la aplicación de
esta herramienta de la auditoria tradicional, el auditor de sistemas también
puede examinar las existencias de los elementos disponibles para el
funcionamiento del área informática o del sistema, contabilizando los equipos
de cómputo, la información y los datos de la empresa, los programas,
periféricos, consumibles, documentos, recursos informáticos, y demás aspectos
que se desee conocer, con el fin de comparar la cantidad real con las
existencias que se registra en los documentos.
° HERRAMIENTAS DE AUDITORIA PARA LA CONFIGURACIÓN Y
COMPARACIÓN.
A finales del siglo XX, los Sistemas Informáticos se han
constituido en las herramientas más poderosas para materializar uno de los
conceptos más vitales y necesarios para cualquier organización empresarial, los
Sistemas de Información de la empresa.
La Informática hoy, está subsumida en la gestión integral de
la empresa, y por eso las normas y estándares propiamente informáticos deben
estar, por lo tanto, sometidos a los generales de la misma. En consecuencia,
las organizaciones informáticas forman parte de lo que se ha denominado el
"management" o gestión de la empresa. Cabe aclarar que la Informática
no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no
decide por sí misma. Por ende, debido a su importancia en el funcionamiento de
una empresa, existe la Auditoria Informática.
El término de Auditoria se ha empleado incorrectamente con
frecuencia ya que se ha considerado como una evaluación cuyo único fin es
detectar errores y señalar fallas. A causa de esto, se ha tomado la frase
"Tiene Auditora" como sinónimo de que, en dicha entidad, antes de
realizarse la auditoria, ya se habían detectado fallas.
El concepto de auditoria es mucho más que esto. La palabra
auditoria proviene del latínauditorius, y de esta proviene la palabra auditor,
que se refiere a todo aquel que tiene la virtud de oír.
Por otra parte, el diccionario Español Sopena lo define
como: Revisor de Cuentas colegiado. En un principio esta definición carece de
la explicación del objetivo fundamental que persigue todo auditor: evaluar la
eficiencia y eficacia.
Si consultamos el Boletín de Normas de auditoria del
Instituto mexicano de contadores nos dice: " La auditoria no es una
actividad meramente mecánica que implique la aplicación de ciertos procedimientos
cuyos resultados, una vez llevado a cabo son de carácter indudable."
De todo esto sacamos como deducción que la auditoria es un
examen crítico pero no mecánico, que no implica la preexistencia de fallas en
la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y
eficiencia de una sección o de un organismo.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costes.
Por eso, al igual que los demás órganos de la empresa
(Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas
Informáticos están sometidos al control correspondiente, o al menos debería
estarlo. La importancia de llevar un control de esta herramienta se puede
deducir de varios aspectos. He aquí algunos:
Las computadoras y los Centros de Proceso de Datos se
convirtieron en blancos apetecibles no solo para el espionaje, sino para la
delincuencia y el terrorismo. En este caso interviene la Auditoría Informática
de Seguridad.
Las computadoras creadas para procesar y difundir resultados
o información elaborada pueden producir resultados o información errónea si
dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado
por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad
de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que
se provoque un efecto cascada y afecte a Aplicaciones independientes. En este
caso interviene la Auditoria Informática de Datos.
Un Sistema Informático mal diseñado puede convertirse en una
herramienta harto peligrosa para la empresa: como las maquinas obedecen
ciegamente a las órdenes recibidas y la modernización de la empresa está
determinada por las computadoras que materializan los Sistemas de Información,
la gestión y la organización de la empresa no puede depender de un Software y
Hardware mal diseñados.
Estos son solo algunos de los varios inconvenientes que
puede presentar un Sistema Informático, por eso, la necesidad de la Auditoria
de Sistemas.
B) ANALIZA REPORTES DE LAS APLICACIONES.
° GENERA REPORTES DE OPERACIÓN DE LAS APLICACIONES.
Muchas veces nos encontramos realizando sistemas de
información que se dedican a capturar datos pero que también necesitan una
manera de procesarlos y mostrarlos. Para esta tarea entran en juego los famosos
Reportes que no son más que objetos que entregan información en un formato
particular y que permiten realizar ciertas operaciones como imprimirlos,
enviarlos por email, guardarlos a un archivo, etc.
Es importante mencionar que los datos almacenados son útiles
en la misma medida que se puedan convertir en información para las personas que
los necesitan. También es importante subrayar que la plataforma tecnológica que
utilicemos debe poder tener facilidades para convertir los datos en información
y poder entregarlos a los usuarios de forma que sean útiles.
Pues bien, el caso es que el .net Framework no es la
excepción. Al instalar cualquiera de los productos, desde las versiones expres
hasta la versión TeamSuite podemos realizar reportes y presentarlos a los
usuarios para que puedan utilizar la preciada información.
° COMPRA MÉTRICAS CON RESULTADOS OBTENIDOS
Usos de una Métrica Funcional Estándar
Una vez que tengo el tamaño de un SW, entonces puedo
utilizar ese dato para distintos propósitos. La siguiente lista es más enunciativa
que limitativa.
Administrar la productividad.– Si tengo el tamaño y por otro
lado el esfuerzo
requeridos entonces puedo establecer indicadores de
productividad en términos de
Horas por Puntos de Función. Este indicador me puede servir
para controlar un plan
de mejora y para compararme con la industria.
Administración de calidad.– De manera similar si tengo el
tamaño y el número de
defectos que se entregaron en un desarrollo, entonces puedo
establecer un indicador de calidad como defectos por Puntos Función, para la
administración de la calidad.
Con una historia suficiente de proyectos, puedo estimar
proyectos futuros.
Compactibilidad– Al utilizarse la misma métrica en todos mis
proyectos, entonces
puedo compararlos entre ellos, pero mejor aún, si es una
métrica estándar en la
industria podría compararme contra otros.
°IDENTIFICA NUEVOS REQUERIMIENTOS
Los requerimientos puedes dividirse en requerimientos
funcionales y requerimientos no funcionales. Los requerimientos funcionales
definen las funciones que el sistema será capaz de realizar. Describen las
transformaciones que el sistema realiza sobre las entradas para producir
salidas.
Los requerimientos no funcionales tienen que ver con
características que de una u otra forma puedan limitar el sistema, como por
ejemplo, el rendimiento (en tiempo y espacio), interfaces de usuario,
fiabilidad (robustez del sistema, disponibilidad de equipo), mantenimiento,
seguridad, portabilidad, estándares, etc.Los requerimientos deben ser:
Especificados por escrito. Como todo contrato o acuerdo
entre dos partes
Posibles de probar o verificar. Si un requerimiento no se
puede comprobar, entonces ¿cómo sabemos si cumplimos con él o no?
Descritos como una característica del sistema a entregar.
Esto es: que es lo que el sistema debe de hacer (y no como debe de hacerlo)
Lo más abstracto y conciso posible. Para evitar malas
interpretaciones.
Definir los equipos que, por razones de seguridad, requieren
circuitos fijamente cableados. Por definición, estos circuitos de seguridad
trabajan independientemente del sistema de automatización (a pesar de que el
circuito de seguridad ofrece normalmente un interface de entrada/salida para la
coordinación con el programa de usuario). Usualmente se configura una matriz
para conectar cada actualizador con su propia área de PARO DE EMERGENCIA. Esta
matriz constituye la base para los esquemas de los circuitos de seguridad.
Proceder de la siguiente manera al diseñar los dispositivos de protección:
· Definir
los encolamientos lógicos y mecánicos/eléctricos entre las diferentes tareas de
automatización.
· Diseñar
circuitos para poder manejar manualmente, en caso de emergencia, los aparatos
integrantes del proceso.
· Definir
otros requerimientos de seguridad para garantizar un seguro desarrollo del
proceso.
°ESTABLECER MEDIDAS PARA SOLUCIONAR NUEVOS REQUERIMIENTOS.
Objetivo General
Orientar sobre el mejor curso de acción para la puesta en
marcha de un servidor Web que garantice la seguridad de la información.
Objetivos Específicos
Evaluar y seleccionar un Sistema Operativo adecuado para la
implementación de herramientas de seguridad informática en servidores de Web.
Enunciar los requerimientos del equipo
necesarios para el desarrollo del
Sistema Operativo seleccionado.
Establecer mecanismos y métodos eficaces con enfoque activo
hacia la seguridad para ser implementados al sistema.
Proporcionar técnicas de protección que brinden soluciones
óptimas a la vulnerabilidad de los servidores Web.
Presentar una
serie de recomendaciones para
el desempeño satisfactorio
del sistema mencionado, así como
para su correcta
instalación.
Seguridad
La seguridad en redes de telecomunicaciones está
fundamentada en tres elementos:
La Integridad.- Se refiere a que el contenido y el
significado de la información no se altere al viajar por una red, no obstante
el número y tipo de equipos que se encuentren involucrados; la infraestructura
utilizada debe ser transparente para el usuario.
La Confiabilidad.- Implica que el servicio debe estar
disponible en todo momento.
La Confidencialidad.- Es quizá la parte más estratégica del
negocio, ya que contribuye a impedir que personas no autorizadas lean y
conozcan la información que se transmite.
La verdadera seguridad de un sistema va más allá de la
instalación de la actualización más reciente, la configuración de un cierto
fichero, o la cuidadosa administración del acceso de los usuarios a los
recursos de sistema. Es una manera de ver las diferentes amenazas que acechan
su sistema y lo que se está dispuesto a
hacer para evitarlas.
Seguridad De Redes
Si usa su sistema en una red (como una red de área local,
red de área amplia o Internet), deberá ser consciente de que su sistema estará
a un nivel más alto de riesgo que si no estuviese conectado a una. Además de
atentados brutales a los ficheros de contraseñas y usuarios sin acceso
apropiado, la presencia de su sistema en una red más grande aumenta la
oportunidad de que ocurra un problema de seguridad y la forma posible en que
pueda ocurrir.
Pese a todas las medidas de seguridad puede (va a) ocurrir
un desastre. De hecho los expertos en seguridad afirman "sutilmente"
que hay que definir un plan de recuperación de desastres "para cuando
falle el sistema", no "por si falla el sistema"
Por tanto, es necesario que el Plan de Contingencias que
incluya un plan de recuperación de desastres, el cual tendrá como objetivo,
restaurar el servicio de cómputo en forma rápida, eficiente y con el menor
costo y pérdidas posibles.
Si bien es cierto que se pueden presentar diferentes niveles
de daños, también se hace necesario presuponer que el daño ha sido total, con
la finalidad de tener un Plan de Contingencias lo más completo y global
posible.
Un Plan de Contingencia de Seguridad Informática consiste
los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea
en parte, la capacidad funcional del sistema aunque, y por lo general, constan
de reemplazos de dichos sistemas.
Se entiende por Recuperación, "tanto la capacidad de
seguir trabajando en un plazo mínimo después de que se haya producido el
problema, como la posibilidad de volver a la situación anterior al mismo,
habiendo reemplazado o recuperado el máximo posible de los recursos e
información" (1).
Se dice que el Plan de Contingencias es el encargado de
sostener el modelo de Seguridad Informática planteado y de levantarlo cuando se
vea afectado.
La recuperación de la información se basa en el uso de una política
de copias de seguridad (Backup) adecuada.
