lunes, 15 de septiembre de 2014

ANALIZA MODELOS Y BUENAS PRACTICAS DE SEGURIDAD INFORMÁTICA
 
 
ITIL
 
Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de de facto en la Gestión de Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilización.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.


 
COBIT
COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.
Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información.



COBIT contribuye a reducir las brechas existentes entre los objetivos de negocio, y los beneficios, riesgos, necesidades de control y aspectos técnicos propios de un proyecto TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva.


los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.
 

 
 
ISM3
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados)...
Algunas características significativas de ISM3 son:

• Métricas de Seguridad de la Información - "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar" - ISM3 v1.20 hace de la seguridad un proceso medible mediante métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.

• Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.

• Basado el Procesos - ISM3 v1.20 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.

• Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa.

• Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.

• Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.
 

Publicado por en No hay comentarios:

lunes, 8 de septiembre de 2014

"IDENTIFICA RIESGOS FÍSICOS EN LA ORGANIZACIÓN APLICADOS EQUIPOS DE COMPUTO Y COMUNICACIONES"
  • CONTROLES DE ACCESO:
¿QUÉ ES?
Un sistema de control de acceso es un conjunto de dispositivos interactuando entre sí que permite:
  1. Restringir la apertura de puertas o accesos mediante algún medio mecánico.
  2. Identificar al usuario de acuerdo con parámetros establecidos para determinar si el acceso es permitido o denegado.
  3. Registrar  y auditar los eventos de acceso por usuario y por puerta.
  4. Programar la autorización o desautorización del acceso relacionando a cada usuario.
  5. Permitir funciones adicionales de seguridad y funcionalidad.
 ¿CUALES HAY?
-De huella digital: Es un aparato instalado para permitir el acceso a personal por medio del reconocimiento de tu huella dactilar.
 
-De código de acceso: En este solo necesitamos ingresar una clave personal o de la empresa para tener acceso.
 
 -De checador de papel o tarjeta: Este solo necesita reconocer por medio de un desplazamiento la tarjeta otorgada  con la clave de acceso.
 -De voz, de vista o facial: Este controlador de acceso es mas avanzado, ya que es mas personal porque se basa con la identificación directa de uno mismo.

  • PROTECCIÓN CONTRA FALLA ELECTRICA:
¿QUÉ ES? 
Nos ayuda a prevenir nuestros equipos informáticos de sobrecargas, apagones, etc. Una tormenta eléctrica suele ser sinónimo de cortes de luz y la proteccion contra picos y fallas de energía es importante para tus aparatos eléctricos.
El consejo más básico es que apenas uno vea rayos en el cielo desenchufe todos los aparatos electrónicos de la casa.
Entre ellos , la PC, es uno de los más frágiles ante cortez abruptos de electricidad y golpes de tensión.
Conviene tener en cuenta algunos consejos que sirven para tener proteger tu computadora.
Para mantenerla existen tres tipos de dispositivos:
  • Las UPS
  • Los estabilizadores de tensión
  • Las zapatollas con fusible
     
      ¿CUALES HAY?

    -LAS UPS: Es un equipo electrónico que controla la tensión eléctrica, suministra energía y potencia cuando sucede una interrupción del suministro norma de electricidad. Permite continuar trabajando con la PC durante algunos minutos (entre 5 y 15 min. aprox.). Ese tiempo es suficiente para que almacenen los archivos que estaban abiertos, cierre los programas y apague la PC correctamente.
     
    -LOS ESTEBALIZADORES: La función principal de los estabilizadores es mantener la corriente en un nivel constante de 220w con una variación de más o menos 5/10 %, según el modelo.
     
    -LAS ZAPATILLAS CON FUSIBLE: Son la opción más económica (un promedio de $30), pero no las más confiables, porque no vienen con tensión regulada. Es decir que cuando se producen picos de energía, el fusible se quema y hay que reemplazarlo.
     
    -EL MODEM: El modem por su parte, es proclive a sufrir las consecuencias de una descarga y esto sucede a través del cable telefónico. Otro artefacto vulnerable es el router, para conexiones de red e inalámbricas, que suelen entregarse en comodato a los usuarios.


  • ·  PROTECCIÓN CONTRA FALLAS NATURALES: 
    ¿QUÉ ES?
    Para estar debidamente protegidos contra estas fallas el Código Nacional de
    Electricidad Utilización establece:
    Regla 060-002: La puesta a tierra y el enlace equipotencial deben ser
    hechos de tal manera que sirvan para proteger y cuidar la vida e
    integridad física de las personas de las consecuencias que puede
    ocasionar una descarga eléctrica, y evitar daños a la propiedad,
    Enlazando a tierra las partes metálicas normalmente no energizadas de
    las instalaciones, equipos, artefactos, etc.
    Regla 080-010 Requerimiento de Dispositivos de Protección y Control:
    Los aparatos eléctricos y los conductores de fase, deben ser provistos con:
    - Dispositivos para abrir automáticamente un circuito eléctrico en caso de
    Que:
    A. La corriente en el circuito eléctrico alcance un valor tal que dé lugar a
    Que se presenten temperaturas peligrosas en los aparatos o
    Conductores.
    B. En la eventualidad de cortocircuitos a tierra, en concordancia con la
    Regla 080-102
    -C. Ante corrientes residuales a tierra que puedan ocasionar daños o
    Electrocución a personas o animales, en instalaciones accesibles.
    - Dispositivos de control operables manualmente en el punto de
    Alimentación, para desconectar en forma segura y simultánea todos los
    Conductores no puestos a tierra del circuito.
    Dispositivos que, cuando sea necesario desconecten un circuito al
    Producirse una falla o pérdida de tensión apreciable en el mismo.

    ¿CUALES HAY?
    -TERREMOTOS:
    Técnicamente el terremoto es un estado vibratorio o inestabilidad de la corteza terrestre, que se presenta súbita y violentamente, produciendo desplazamientos en el suelo, que pueden ser horizontales o verticales. Esto trae como consecuencia las continuas transformaciones y cambios de la superficie de la tierra. Su origen es diverso, ya que puede ser por la ruptura de la corteza terrestre, por el movimiento de las placas tectónicas o por influencia de un volcán.
    -TSUNAMI:
    Un tsunami es una serie de olas procedentes del océano que envía grandes oleadas de agua que, en ocasiones, alcanzan alturas de 30,5 metros, hacia el interior. Estos muros de agua pueden causar una destrucción generalizada cuando golpean la costa. 

     

    • ·  ADMINISTRACIÓN DE SOFTWARE DE LA ORGANIZACIÓN:
    ¿QUÉ ES?
     
    La administración de software abarca la planeación, calendarización, administración de riegos, manejo del personal, estimación de los costos de software y la administración de calidad. En este artículo se cubre la administración de riesgos y el manejo del personal. Muchas son las causas para el fracaso de proyectos de software, se pueden mencionar: entrega tardía, no fiable, costo superior al estimado, características de ejecución pobres. Muchas veces la falla estaba en el enfoque de administración utilizado.
     
    ¿CUALES HAY?
    Administración de Riesgos: Una tarea muy importante del administrador de proyectos es anticipar los riesgos que podrían afectar la programación del proyecto o la calidad del software a desarrollar y emprender acciones para evitar esos riesgos. 
    Riesgos del proyecto: afectan la calendarización o los recursos del proyecto.
    Riesgos del producto: afectan la calidad o desempeño del software que se está desarrollando.
    Riesgos del negocio: afectan a la organización que desarrolla el software.
     
    
     
     
Publicado por en No hay comentarios:
PRINCIPIOS DE LA SEGURIDADA INFORMATICA
SEGURIDAD INFORMATICA:  
Es el conjunto que se encarga de proteger y cuidar el software así como el hardware por ejemplo en caso de que hubiera un virus, mediante medidas podemos asegurar y darle un mejor cuidado del sistema.
Un sistema seguro debe ser íntegro (con información modificable sólo por las personas autorizadas), confidencial (los datos tienen que ser legibles únicamente para los usuarios autorizados), irrefutable (el usuario no debe poder negar las acciones que realizó) y tener buena disponibilidad (debe ser estable).
CONFIDENCIALIDAD:  
Es la garantía de que la información no sea divulgada de manera perjudicante, es decir, es confidente para que los datos personales o diferente información sean protegidos y no sean utilizados por diferentes usuarios. Ejemplo:
Cada individuo tiene derecho a proteger su información personal. Cuando decide compartir dicha información en un estudio de investigación, el médico y personal del estudio debe asegurarle al individuo que su información personal continuará siendo confidencial y sólo será accesible a los pocos individuos que se encuentran directamente involucrados en el estudio.


INTEGRIDAD
Es la propiedad que busca mantener los datos libres de modificaciones, es decir si una persona quiere modificar datos dentro de la información alterara con lo que cuenta al menos de que sea modificado por el servidor que creo el documento.

Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
DISPONIBILIDAD: La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de Web etc.



Publicado por en No hay comentarios:
  "ANALIZA CONFIGURACIÓN DE SEGURIDAD EN GRUPOS Y EN CUENTAS DE USUARIO EN EL SISTEMA OPERATIVO"
 
POLITICAS APLICADAS: 
Las políticas de seguridad informática representan un tipo especial de reglas de negocios documentadas. Así como es inconcebible pensar que millones de conductores de automóviles puedan conducir sin leyes de tránsito, es también difícil pensar que millones de personas de negocios pudieran operar sistemas sin políticas de seguridad informática.
 
 
 
-FIREWALL: 
Un cortafuegos (firewall en inglés) es una parte de un sistema o una red que está diseñada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.
 
-ANTISPYWARE:
Una Antipyware es un programa que evita o elimina infecciones por código malicioso, cómo los Spyware, Adware o Troyanos.Los antispyware son una herramienta o utilidad escencial para tu seguridad, si no tienes uno instalado puedes ser víctima de robos de identidad entre otras cosas muy peligrosas. La utilidad más importante es eliminar todo potente objetivo de tu seguridad.
 
-RESTRICCIONES A USUARIOS: 
Una forma de reducir las brechas de seguridad es asegurar que solo las personas autorizadas pueden acceder a una determinada máquina. Las organizaciones utilizan una gran variedad de herramientas y técnica para identificar a su personal autorizado.
 
-ANTIVIRUS: 
 Los antivirus más recientes son capaces de eliminar programas espía. También hay programas especializados en eliminar o bloquear programas espía. Se recomienda no usar un solo programa antiespía sino una combinación de varios, dado que en muchas ocasiones uno de ellos detecta algunas cosas que no encuentran los otros, y viceversa.
 
-DE CUENTA: 
El software de control de acceso no tiene que tratar a todos los usuarios del mismo modo. Muchos sistemas utilizan contraseña para hacer que los usuarios solo puedan acceder a los ficheros relacionados con su trabajo.
Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)