CONFIGURACIÓN DE SEGURIDAD

Actualizaciones automáticas del Sistema Operativo y aplicaciones

Es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.

Administracion de actualizaciones

Es una aplicación basada en web, usada para manejar y actualizar su site. SAC le permite al administrador del site, que puede o no poseer conocimientos informáticos, de diseño Web o programación, el lograr crear, modificar, remover u organizar la información en su site. En las organizaciones con un sistema muy grande y complicado, generalmente dividen al personal informático según su especialidad. En este caso un administrador de sistema es aquel responsable del mantenimiento de un sistema informático existente.En muchas organizaciones, la tarea de un administrador de sistemas no se limita al mantenimiento, sino también a la planificación de crecimiento de la infraestructura IT a través del tiempo laboral.

Manejo de cuenta

Para tener un mejor control sobre las computadoras se usan las cuentas de usuario las cuales se componen de:

Nombre de usuario, contraseña, y una imagen (opcional).Administrador de la cuenta en este caso “Brenda”
[pic]
Cambio de imagen:
[pic]
Cambio de contraseña:
[pic]

Manejo de bitacoras

Para tener un mejor control sobre los equipos o elmobiliario usamos las bitácoras que pueden ser como la siguiente:

|N° de maquina |usuario |recibir |entregar |observaciones|
|1 |Madelyn                              | | | |
|2 |Liandro                              || | |
|3 |Diego                              | | ||
|4 |Maria                              | | | |
|5 |Jesus| | | |

Manejo de software
Esto lo empleamos para controlar el estado del software como son sus: actualizaciones, versiones, etc. Y evitar riesgos innecesarios como los virus o amenazas para el equipo
Ejemplos de software eficaces y libres de virus.

Firewall local

Este lo usamos para evitar que una aplicación o alguna otra cosa pueda crear una conexión a internet o a lapc, lo que hace es protegernos a que ningún usuario no autorizado ingrese a nuestro sistema.



METRICAS Y MECANISMOS PARA LA EVALUACION DE CONTROLES IMPLEMENTADOS

Indicadores para evaluar la eficiencia de los controles implementados:

Para poder aplicar indicadores de gestión como herramienta de evaluación es necesario saber que tipo de indicadores se deben aplicar, en que área se aplicara, cómo será el proceso de evaluación y de dónde se obtendrá dicha información. Es necesario entonces conocer los pasos básicos para diseñar indicadores de gestión:

Contar con Objetivos a Corto Plazo:
Mejorar la gestión y organización de la empresa
Lograr alianzas con los principales proveedores de la empresa
Fidelización del cliente
Optimizar la producción

Identificar los factores críticos del éxito.
Recurso Humanos
Abastecimiento.
Ventas

Establecer los indicadores para cada factor critico.
Para definir un buen indicador de control o evaluación de un proceso es importante desarrollar un criterio de selección con una técnica muy sencilla
MODO EN EL QUE LOS INDICADORES SON MEDIDOS:
Una vez definido cada indicador debemos identificar el tipo de control que se desea aplicar sobre el factor clave de éxito, de esta manera se establece la naturaleza del indicador a construir, y una vez identificada la naturaleza del indicador se procede a identificar las variables del sistema que serán evaluadas periódicamente para calcular el indicador.

INDICADOR DE EFICIENCIA
Cuando la naturaleza del control más apropiado es la eficiencia, las variables estarán más relacionadas con el uso de los recursos por parte del proceso:

= CANTIDAD DE RECURSO DESPERDICIADO
CANTIDAD DE RECURSO UTILIZADO

Cuando la naturaleza del control más apropiado es la eficacia, las variables estarán relacionadas con el cumplimiento de los recursos esperados por parte de dicho proceso:

INDICADOR DE EFECTIVIDAD

= VALOR DE UN ATRIBUTO DE SALIDA DE UN PROCESO
VALOR ESPERADO DEL ATRIBUTO
Establecer tendencias y referencias a los indicadores.
Toda evaluación es realizada a través de la comparación y esta no es posible si no se cuenta con un nivel de referencia para comparar el valor de un indicador.
Para la aplicación de los indicadores a presentar se tomara en cuenta como punto de referencia la tendencia para un primer periodo y posteriormente con una mayor base de datos aplicar la referencia de tipo histórico para ser de fácil aplicación y la que más de adapta a la pequeña empresa industrial al momento de comenzar a implementar indicadores.

¿QUÉ ES UNA MÉTRICA?

Es el conjunto de regularidades formales y sistemáticas que caracterizan la poesía versificada. Dicho de otra forma, lo que hace que un verso sea un verso (a diferencia de la prosa) puede ser considerado de métrica. Cuando se trata de prosa, se trata de prosa rítmica. El estudio métrico comprende tres partes fundamentales: el verso, la estrofa y el poema. La métrica también es la cantidad de sílabas en las que se divide un verso.

La métrica es la disciplina que estudia los elementos rítmicos de los textos escritos en verso. Aborda, por lo tanto, el estudio de:

• El número de sílabas de los versos.

• La rima

• La combinación de los versos.

Establece métricas y mecanismos para la evaluación de los controles implementados.

DEFINE INDICADORES PARA EVALUAR LA EFICIENCIA DE LOS CONTROLADORES IMPLEMENTADOS

Identifica y analiza niveles de riesgo en la organización.

Analiza configuraciones de seguridad en grupos y cuentas de usuario en el sistema operativo.

Con el nombre software malicioso agrupamos todos los tipos de programas que han sido desarrollados para entrar en ordenadores sin permiso de su propietario, y producir efectos no deseados. Estos efectos se producen algunas veces sin que nos demos cuenta en el acto. Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de software o programas de códigos hostiles e intrusivos. Muchos usuarios de computadores no están aún familiarizados con este término y otros incluso nunca lo han utilizado. Sin embargo la expresión "virus informático" es más utilizada en el lenguaje cotidiano y a menudo en los medios de comunicación para describir todos los tipos de malware.

Existen muchísimos tipos de software malicioso, aunque algunos de los más comunes son los virus informáticos, los gusanos, los troyanos, los programas de spyware/adware o incluso ciertos bots.
Dos tipos comunes de software malicioso es los virus y los gusanos informáticos, este tipo de programas tienen en común la capacidad para auto replicarse, es decir, pueden contaminar con copias de sí mismos y en algunas ocasiones mutando, la diferencia entre un gusano y un virus informático radica en la forma de propagación, un gusano opera a través de una red, mientras que un virus lo hace a través de ficheros a los que se añade.

 

Administración de cuentas de usuarios y acceso a recursos.
La administración de cuentas de usuario y grupos es una parte esencial de la administración de sistemas dentro de una organización. Pero para hacer esto efectivamente, un buen administrador de sistemas primero debe entender lo que son las cuentas de usuario y los grupos y cómo funcionan.
La razón principal para las cuentas de usuario es verificar la identidad de cada individuo utilizando un computador. Una razón secundaria (pero aún importante) es la de permitir la utilización personalizada de recursos y privilegios de acceso.

Los recursos incluyen archivos, directorios y dispositivos. El control de acceso a estos dispositivos forma una gran parte de la rutina diaria de un administrador de sistemas; a menudo el acceso a un recurso es controlado por grupos. Los grupos son construcciones lógicas que se pueden utilizar para enlazar a usuarios para un propósito común. Por ejemplo, si una organización tiene varios administradores de sistemas, todos ellos se pueden colocar en un grupo administrador de sistema. Luego se le pueden dar permisos al grupo para acceder a recursos claves del sistema. De esta forma, los grupos pueden ser una herramienta poderosa para la administración de recursos y acceso.

Las secciones siguientes discuten las cuentas de usuario y grupos en más detalles.
Administración de cuentas de usuarios.
Como se indicó anteriormente, las cuentas de usuarios es la forma a través de la cual se identifica y autentifica a un individuo con el sistema. Las cuentas de usuarios tienen diferentes componentes. Primero, esta el nombre de usuario. Luego, está la contraseña, seguida de la información de control de acceso.

Las secciones siguientes exploran cada uno de estos componentes en más detalles.

El nombre de usuario
Desde el punto de vista del sistema, el nombre de usuario es la respuesta a la pregunta "quién es usted?". Como tal, los nombres de usuarios tienen un requerimiento principal — deben ser únicos. En otras palabras, cada usuario debe tener un nombre de usuario que sea diferente a todos los otros usuarios en ese sistema.
Debido a este requerimiento, es vital determinar — por adelantado — cómo se crean los nombres de usuario. De lo contrario, puede encontrarse en la posición de ser forzado a reaccionar cada vez que un nuevo usuario solicita una cuenta.
Lo que necesita es una convención de nombres para sus cuentas de usuarios.
Convenio de nombres
Mediante la creación de un convenio de nombres para los usuarios, puede ahorrarse varios problemas. En vez de inventar nombres cada vez (y darse cuenta de que cada vez se hace más difícil crear un nombre razonable), haga un poco de trabajo de antemano para preparar una convención a utilizar para todas las cuentas siguientes. Su convenio de nombres puede ser muy simple, o solamente su descripción puede tomar muchas páginas.

 

 

DEFINE EL MODO QUE LOS INDICADORES SERÁN MEDIDOS

La naturaleza exacta de su convenio de nombres debe tomar varios factores en cuenta:

El tamaño de su organización

La estructura de su organización

 

La naturaleza de su organización
El tamaño de su organización importa, pues dicta cuántos usuarios puede soportar su convención para nombres. Por ejemplo, una compañía muy pequeña quizás pueda permitir que todo el mundo utilice su primer nombre. Para una organización mucho más grande, este convenio no funciona.

La estructura de la organización también puede tener influencia sobre el convenio de nombres más apropiado. Para organizaciones con una estructura bien definida puede ser adecuado incluir elementos de esa estructura en la convención de nombres. Por ejemplo, puede incluir los códigos de los departamentos como parte del nombre de usuario.

La naturaleza completa de su organización también puede significar que algunas convenciones son más apropiadas que otras. Una organización que maneja datos confidenciales puede decidirse por una convenición que no indica ningún tipo de información personal que pueda vincular al individuo con su nombre. En una organización de este tipo, el nombre de usuario de Maggie McOmie podría ser LUH3417.



He aquí algunas convenciones de nombres que otras organizaciones han utilizado:

Primer nombre (jorge, carlos, pedro, etc.)

Apellido (perez, obregon, ramirez, etc)

Primera inicial, seguido del apellido (jperez, cobregon, pramirez, etc.)

Apellido, seguido del código del departamento (perez029, obregon454, ramirez191, etc.).

Contraseñas
Si el nombre de usuario responde a la pregunta "¿Quién es usted?", la contraseña es la respuesta a la pregunta que inevitablemente sigue:

"Demuéstralo!"
En términos más prácticos, una contraseña proporciona una forma de probar la autenticidad de la persona que dice ser el usuario con ese nombre de usuario. La efectividad de un esquema basado en contraseñas recae en gran parte sobre varios aspectos de la contraseña:

La confidencialidad de la contraseña

La resistencia de adivinar la contraseña

La resistencia de la contraseña ante un ataque de fuerza bruta

Las contraseñas que efectivamente toman en cuenta estos problemas se conocen como contraseñas robustas, mientras que aquellas que no, se les llama débiles. Es importante para la seguridad de la organización crear contraseñas robustas, mientras más robustas sean las contraseñas, hay menos chances de que estas sean descubiertas o que se adivinen. Hay dos opciones disponibles para reforzar el uso de contraseñas robustas:

El administrador del sistema puede crear contraseñas para todos los usuarios.

El administrador del sistema puede dejar que los usuarios creen sus propias contraseñas, a la vez que se verifica que las contraseñas sean lo suficientemente robustas.

Al crear contraseñas para todos los usuarios asegura que estas sean robustas, pero se vuelve una tarea pesada a medida que crece la organización. También incrementa el riesgo de que los usuarios escriban sus contraseñas.

Por estas razones, la mayoría de los administradores de sistemas prefieren dejar que los usuarios mismos creen sus contraseñas. Sin embargo, un buen administrador de sistemas tomará los pasos adecuados para verificar que las contraseñas sean robustas.

Para leer sobre las pautas para la creación de contraseñas robustas, vea el capítulo llamado Seguridad de las Estaciones de trabajo en el Manual de seguridad de Red Hat Enterprise Linux.
La necesidad de mantener secretas las contraseñas debería ser una parte arraigada en la mente de un administrador de sistemas. Sin embargo, este punto se pierde con frecuencia en muchos usuarios. De hecho, muchos usuarios ni siquiera entienden la diferencia entre nombres de usuarios y contraseñas. Dado este hecho, es de vital importancia proporcionar cierta cantidad de educación para los usuarios, para que así estos puedan entender que sus contraseñas se deberían mantener tan secretas como su sueldo.

Las contraseñas deberían ser tan difíciles de adivinar como sea posible. Una contraseña robusta es aquella que un atacante no podrá adivinar, aún si el atacante conoce bien al usuario.
Un ataque de fuerza bruta sobre una contraseña implica el intento metódico (usualmente a través de un programa conocido como password-cracker) de cada combinación de caracteres posible con la esperanza de que se encontrará la contraseña correcta eventualmente. Una contraseña robusta se debería construir de manera tal que el número de contraseñas potenciales a probar sea muy grande, forzando al atacante a tomarse un largo tiempo buscando la contraseña.
Las contraseñas débiles y robustas se exploran con más detalles en las secciones siguientes.

Cuestionario:
Para usuarios y el uso de la seguridad de la informática.
Hoy en día la palabra "encuesta" se usa más frecuentemente para describir un método de obtener información de una muestra de individuos. Esta "muestra" es usualmente sólo una fracción de la población bajo estudio.
La encuesta es necesaria para saber qué papel juega cada uno de los usuarios en los sistemas de información de la organización, cuál es su perfil para dar acceso a cada uno.
Según su puesto en la organización y a su perfil, deberán darse los privilegios y accesos, por eso es importante entrevistarlos mediante un cuestionario.
Es importante guardar la información porque es algo muy valioso para determinar el poder de un grupo humano sobre otro. Esta importancia abarca a todo tipo de información generada o procesada a través de una computadora, pudiendo ser un bien más valioso que el costo de los mismos equipos donde se trabaja.

Entrevistas:
Para usuarios y el uso de la seguridad de la informática.
Las entrevistas se utilizan para recabar información en forma verbal, a través de preguntas que propone el analista. Quienes responden pueden ser gerentes o empleados, los cuales son usuarios actuales del sistema de información existente, usuarios potenciales del sistema informático propuesto o aquellos que proporcionarán datos o serán afectados por la aplicación propuesta. El analista (Informático) puede entrevistar al personal en forma individual o en grupos algunos analistas (Informático) prefieren este método. Sin embargo, las entrevistas no siempre son la mejor fuente de datos de aplicación.
Preparación de la Entrevista
1. Determinar la posición que ocupa de la organización el futuro entrevistado, sus responsabilidades básicas, actividades, etc. (Investigación).
2. Preparar las preguntas que van a plantearse, y los documentos necesarios (Organización).
3. Fijar un límite de tiempo y preparar la agenda para la entrevista. (Sicología).
4. Elegir un lugar donde se puede conducir la entrevista con la mayor comodidad (Sicología).
5. Hacer la cita con la debida anticipación (Planeación).
Conducción de la Entrevista
1. Explicar con toda amplitud el propósito y alcance del estudio (Honestidad).
2. Explicar la función propietaria como analista y la función que se espera conferir al entrevistado. (Imparcialidad).
3. Hacer preguntas específicas para obtener respuestas cuantitativas (Hechos).
4. Evitar las preguntas que exijan opiniones interesadas, subjetividad y actitudes similares (habilidad).
5. Evitar el cuchicheo y las frases carentes de sentido (Claridad).
6. Ser cortés y comedio, absteniéndose de emitir juicios de valores. (Objetividad).
7. Conservar el control de la entrevista, evitando las divagaciones y los comentarios al margen de la cuestión.
8. Escuchar atentamente lo que se dice, guardándose de anticiparse a las respuestas (Comunicación).

Realizar entrevistas toma tiempo; por lo tanto no es posible utilizar este método para recopilar toda la información que se necesite en la investigación de seguridad; incluso el analista debe verificar los datos recopilados utilizando unos de los otros métodos de recabación de datos.
La entrevista se aplica en todos los niveles gerenciales y de empleados y dependa de quien pueda proporcionar la mayor parte de la información informática útil para el estudio los analistas de información (jefe de informática).

Ficha técnica:
Para usuarios y el uso de la seguridad de la informática.
Una ficha técnica es un documento en forma de sumario que contiene la descripción de las características de un objeto, material, proceso o programa de manera detallada para los sistemas informáticos y del usuario. Los contenidos varían dependiendo del producto, servicio o entidad descrita, pero en general suele contener datos como el nombre, características físicas, el modo de uso o elaboración, propiedades distintivas y especificaciones técnicas.
La correcta redacción de la ficha técnica es importante para garantizar la satisfacción del consumidor o usuario, especialmente en los casos donde la incorrecta utilización de un producto puede resultar en daños personales (daño de la información) o materiales(hardware) o responsabilidades civiles o penales.

También sirve para ver las condiciones, tanto de la información como del uso físico que se le da al hardware, y de esta manera quede asentado en la ficha, para protección del usuario, de la información y del encargado del equipo de computo (informático).