domingo, 30 de mayo de 2010

OTROS MEDIAS DE SEGURIDAD

• El acceso al centro de cómputo debe contar con las seguridades necesarias para reservar el ingreso al personal autorizado
o Implantar claves o password para garantizar operación de consola y equipo central (mainframe), a personal autorizado.

• Formular políticas respecto a seguridad, privacidad y protección de las facilidades de procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de violación y como responder ante esos eventos.

• Mantener un registro permanente (bitácora) de todos los procesos realizados, dejando constancia de suspensiones o cancelaciones de procesos.

• Los operadores del equipo central deben estar entrenados para recuperar o restaurar información en caso de destrucción de archivos.

• Los backups no deben ser menores de dos y deben guardarse en lugares seguros y adecuados, preferentemente en bóvedas de bancos.

• Se deben implantar calendarios de operación a fin de establecer prioridades de proceso.

domingo, 9 de mayo de 2010

OTRO SITIOS WEB (WEBGRAFIA)

1.es.wikipedia.org/.../Tecnología_de_la_información
2.www.tuobra.unam.mx/.../040702105342-__191_Qu.html
3.members.tripod.com/rach_meli/Seguridad.html
4.www.slideshare.net/.../seguridad-y-control-de-los-sistemas-de-informacin
5.www.scribd.com/.../Auditoria-TI-y-Evaluacion-de-la-Seguridad -
6.alarcos.inf-cr.uclm.es/doc/Auditoria/ASI23.ppt

AUDITORIA DE LA SEGURIDAD DE TI



Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.


Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo, siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.


Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.


La definición de los permisos de acceso requiere determinar cual será el nivel de seguridad necesario sobre los datos, por lo que es imprescindible clasificar la información, determinando el riesgo que produciría una eventual exposición de la misma a usuarios no autorizados. Así los diversos niveles de la información requerirán diferentes medidas y niveles de seguridad.
Para empezar la implementación, es conveniente comenzar definiendo las medidas de seguridad sobre la información más sensible o las aplicaciones más críticas, y avanzar de acuerdo a un orden de prioridad descendiente, establecido alrededor de las aplicaciones.
Una vez clasificados los datos, deberán establecerse las medidas de seguridad para cada uno de los niveles.
Un programa específico para la administración de los usuarios informáticos desarrollado sobre la base de las consideraciones expuestas, puede constituir un compromiso vacío, si no existe una conciencia de la seguridad organizacional por parte de todos los empleados. Esta conciencia de la seguridad puede alcanzarse mediante el ejemplo del personal directivo en el cumplimiento de las políticas y el establecimiento de compromisos firmados por el personal, donde se especifique la responsabilidad de cada uno.
Pero además de este compromiso debe existir una concientización por parte de la administración hacia el personal en donde se remarque la importancia de la información y las consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la organización.
Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.
Garantizar la selección adecuada de equipos y sistemas de computación

Elaboración de un informe técnico en el que se justifique la adquisición del equipo, software y servicios de computación, incluyendo un estudio costo-beneficio.
Formación de un comité que coordine y se responsabilice de todo el proceso de adquisición e instalación
Elaborar un plan de instalación de equipo y software (fechas, actividades, responsables) el mismo que debe contar con la aprobación de los proveedores del equipo.

controles de un sistemas de informacion



Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administración estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilación; se financia con aportaciones del Estado, trabajadores y empresarios.


Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de seguridad.


Con estos conceptos claros podemos avanzar y hablar la criminología ya ha calificado los "delitos hechos mediante computadora"o por "sistemas de información" en el grupo de delitos de cuello blanco.


Crónica del crimen (o delitos en los sistemas de información)


1.- Revisión de controles en el equipo
Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado periódicamente.

2.- Revisión de programas de operación
Se verifica que el cronograma de actividades para procesar la información asegure la utilización efectiva del computador.

3.- Revisión de controles ambientales
Se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores, aire acondicionado, fuentes de energía continua, extintores de incendios, etc.

4.- Revisión del plan de mantenimiento
Aquí se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo.
5.- Revisión del sistema de administración de archivos
Se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estén respaldados, así como asegurar que el uso que le dan es el autorizado.

6.- Revisión del plan de contingencias
Aquí se verifica si es adecuado el plan de recupero en caso de desastre, el cual se detalla mas adelante.

miércoles, 5 de mayo de 2010

SEGURIDAD INTERCONECTADAS

La información se ha convertido en activo tan importante que cada uno de los ministerios y departamentos administrativos cuentan con datos suficientes para que personas inescrupulosas, terroristas o delincuentes puedan “manipular”, “alterar”, “eliminar” o “borrar” dicha información y desinformar a toda una nación.

Las consecuencias de actos como estos, sumados a la alteración y mal funcionamiento de los sistemas de información que manejan y administran los sistemas de salud en los hospitales, los expedientes recientes de los juicios en el sistema penal acusatorio, los servidores de las fuerzas militares, las redes eléctricas interconectadas y monitoreadas, así como los cables de telecomunicaciones disponibles para el desarrollo de las relaciones comerciales y de estado, son elementos que pueden comprometer el control general de una nación.

ADMINISTRACION DE SEGURIDAD

El objetivo de la administración de seguridad es lograr la exactitud, integridad y protección de todos los procesos y recursos de los sistemas de información.

De este modo la administración de seguridad minimiza errores, fraudes y pérdidas en los sistemas de información que interconectan a las empresas actuales, así como a sus clientes, proveedores y otras partes interesadas

SEGURIDAD TI

Toda organización debe estar a la vanguardia de los procesos de cambio. Donde disponer de información continua, confiable y en tiempo, constituye una ventaja fundamental. Donde tener información es tener poder.

La seguridad informática debe garantizar:

La Disponibilidad de los sistemas de información.

El Recupero rápido y completo de los sistemas de infor

La Integridad de la información.

La Confidencialidad de la información.