lunes, 29 de septiembre de 2014

"DEFINICION DEL PLAN DE SEGURIDAD INFORMATICA"
 
 
ISM3:  Es  un estandar que tiene como funcion la proteccion de datos pesronales. Por ejemplo si en una empresa se desea proteger informacion o datos importantes se recomienda usar el estadar ISM3 ya como se mencionó anteriormente sirve como proteccion a datos o informaciones privadas y niega el acceso a cualquier usuario no autorizado.

ISO 27000
 
TIEMPO ESTABLECIDO PARA LA EJECUCION DE ESTE ESTANDAR:  Dependiendo de el resultado que este se obtenga en la empresa, se podra seguir considerando este estandar ya que por lo regular tiene un gran rendimiento donde se ejecute. Se pretende alcanzar los 5 niveles de madurez aprox. en 1 año y medio.
 
"DEFINICION DE POLITICAS"
 
DE ACCESO FISICO A EQUIPOS: Esto significa poder ver, tocar y modificar una computadora y sus instalaciones. Las del servidor usualmente toman este tipo de acceso muy en serio y se cierra bajo llave la habitación del servidor. El acceso a las computadoras de escritorio no siempre está tan controlado, incluso con las laptops, que pueden llevarse a cualquier lado.
 
 
DE ACCESO LOGICO A EQUIPOS:  Es un acceso en red a través de la intranet de la compañia o de Internet. Los "puertos" son distintos tipos de accesos lógicos para entrar, acceder a archivos, navegar en el servidor, enviar un correo electrónico o tranferir archivos. La mayoría del acceso lógico se relaciona con algún tipo de información de identidad, con claves o direcciones de IP ( Protocolo de Internet) en una lista permitida.
 
PARA LA CREACION DE CUENTAS DE USUARIO:  La administración de cuentas de usuario y grupos es una parte esencial de la administración de sistemas dentro de una organización. Pero para hacer esto efectivamente, un buen administrador de sistemas primero debe entender lo que son las cuentas de usuario y los grupos y como funcionan.
La razón principal para las cuentas de usuario es verificar la identidad de cada individuo utilizando un computador. Una razón secundaria (pero aún importante) es la de permitir la utilización personalizada de recursos y privilegios de acceso.


PARA EL MANEJO DE BITACORAS: Para tener un mejor control sobre las computadoras se usan las cuentas de usuario las cuales se componen de:

Nombre de usuario, contraseña, y una imagen (opcional).Administrador de la cuenta en este caso “Nombre”
[pic]
Cambio de imagen:
[pic]
Cambio de contraseña:
[pic]


DE PROTECCION DE RED (FIREWALL): Este lo usamos para evitar que una aplicación o alguna otra cosa pueda crear una conexión a internet o a lapc, lo que hace es protegernos a que ningún usuario no autorizado ingrese a nuestro sistema.
PARA LA ADMINISTRACION DE  SOFTWARE SEGURIDAD:  Son softwares  que tienen como funcion mantener seguro un sitio o datos personales por ejemplo de una empresa o una computadora.


PARA LA GESTION DE ACTUALIZACIONES DE CONTROL DE CAMBIOS: Significa que el ordfenador estará recibiendo actualizaciones de software para la proteccion de datos.


DE ALMACENAMIENTO: Se usa frecuentemente en los usuarios que tienen autorizado acceseder a informacion privada.

Archivos compartidos:  En un entorno corporativo de red local, es decir, de ordenadores de una organización interconectados sin necesidad de conexión a otra red externa -es decir, una intranet-, los administradores informáticos normalmente nos proporcionan distintas carpetas compartidas con distintos niveles de privilegios, según nuestro destino y cargo, para colaborar a distinto nivel con las diferentes unidades de la organización: carpetas compartidas para un departamento o sección, para un conjunto de departamentos o servicio, y así sucesivamente.
 
DE RESPALDOS: Se usa  para recuperar o tener una copia de seguridad para que en caso  de que se elimine o se dañe la informacion tener un respaldo.


NOSOTROS SELECCIONAMOS EL ISMA3 PORQUE ES UNA FORMA DE MANTENER PRIVADA Y SEGURA LA INFORMACION DE NUESTRA EMPRESA.

lunes, 22 de septiembre de 2014


BS 17799

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO

 

ISO/IEC 27000

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Comisión), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

 

El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:

 

•ISMS(Information Security Management System).

•Valoración de Riesgo.

•Controles.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.

 

•ISO 27000: En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste.

 

ISO/IEC 27001

ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

 

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

 

ISO/IEC 27002

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

 

ISO/IEC 20000

La serie ISO/IEC 20000 - Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información). La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
 
Javier García Lomelí  
Juan Carlos López
Jorge Ricardo reyes
Leonel Saucedo Ruiz

lunes, 15 de septiembre de 2014


ANALIZA CONFIGURACIÓN DE LA SEGURIDAD EN GRUPOS CUENTAS DE USUARIOS EN EL SISTEMA OPERATIVO.

 

POLÍTICOS Y APLICADOS.

De cuenta.

Auditoria.

Restructuración  a usuario.

Restricciones de software.

Firewall.

Antivirus.

Antispyware.

JORGE RICARDO REYES LOPEZ
JUAN CARLOS LOPEZ REYES
JAVIER GARCIA  LOMELI
LEONEL SAUCEDO RUIZ

“ANALIZA MODELOS Y BUENAS PRACTICAS  DE SEGURIDAD INFORMÁTICA”

 


ITIL: La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.

 
Cobit: Es un acrónimo para Control Objectives for Information and related Technology (Objetivos de Control para tecnología de la información y relacionada); desarrollada por la Information Systems Audit and Control Association (ISACA) y el IT Governance Institute (ITGI).

COBIT es una metodología aceptada mundialmente para el adecuado control de proyectos de tecnología, los flujos de información y los riesgos que éstas implican. La metodología COBIT se utiliza para planear, implementar, controlar y evaluar el gobierno sobre TIC; incorporando objetivos de control, directivas de auditoría, medidas de rendimiento y resultados, factores críticos de éxito y modelos de madurez.

Permite a las empresas aumentar su valor TIC y reducir los riesgos asociados a proyectos tecnológicos. Ello a partir de parámetros generalmente aplicables y aceptados, para mejorar las prácticas de planeación, control y seguridad de las Tecnologías de Información.

 

ISM3: TIC; proporcionando un Marco Referencial Lógico para su dirección efectiva. ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad.

 ISM3COBIT ITIL QUE ES (Information Security Management Maturity Model, que se pronuncia ISM), es un estándar de ISECOM para la gestión de la seguridad de la información.

JORGE RICARDO REYES LOPEZ
JUAN CARLOS LOPEZ REYES
JAVIER GARCIA LOMELI
LEONEL SAUCEDO RUIZ

lunes, 8 de septiembre de 2014


Controles de accenso

 
Controles   de acceso hace referencia al mecanismo que en función de la identificación ya autentificada permite acceder a datos o recursos. Básicamente encontramos controles de acceso en múltiples formas y para diversas aplicaciones. Por ejemplo, encontramos controles de acceso por software cuando digitamos nuestra contraseña para abrir el correo, otro ejemplo es cuando debemos colocar nuestra huella en un lector para encender el PC.

 

Ccontroles de Acceso Autónomos: Son sistemas que permiten controlar una o más puertas, sin estar conectados a un PC o un sistema central, por lo tanto, no guardan registro de eventos. Aunque esta es la principal limitante, algunos controles de acceso autónomos tampoco pueden limitar el acceso por horarios o por grupos de puertas, esto depende de la robustez de la marca

 

Ccontroles de Acceso en Red: Son sistemas que se integran a través de un PC local o remoto, donde se hace uso de un software de control que permite llevar un registro de todas las operaciones realizadas sobre el sistema con fecha, horario, autorización, etc. Van desde aplicaciones sencillas hasta sistemas muy complejos y sofisticados según se requiera.

PROTECCION CONTRA FALLAS ELECTRICAS

Las UPS: Es un equipo electrónico que controla la tensión eléctrica, suministra energía y potencia cuando sucede una interrupción del suministro norma de electricidad. Permite continuar trabajando con la PC durante algunos minutos (entre 5 y 15 min. aprox.).Ese tiempo es suficiente para que almacenen los archivos que estaban abiertos, cierre los programas y apague la PC correctamente

 

Los estabilizadores: La función principal de los estabilizadores es mantener la corriente en un nivel constante de 220w con una variación de mas o menos 5/10 %, según el modelo.

 

Las zapatillas con fusible: Son la opción más económica (un promedio de $30), pero no las más confiables, por que no vienen con tensionregulada. Es decir que cuando se producen picos de energía, el fusible se quema y hay que remplazarlo

 

El modem: El modem por su parte, es proclive a sufrir las consecuencias de una descarga y esto sucede a través del cable telefónico. Otro artefacto vulnerable es el Reuter, para conexiones de red e inalámbricas, que suelen entregarse en comodato a los usuarios.

Protección contra fallas naturales

 

Hay muchas causas responsables de los desastres naturales. Las actividades de los seres humanos cumplen un rol importante en la frecuencia y gravedad de estos eventos. Un desastre natural es la interrupción en el equilibrio del medio ambiente. El factor humano aumenta el costo de los daños materiales y la pérdida de vidas. Comprender las causas de las catástrofes naturales puede ayudar a prevenirlas.

 

Inundaciones: Según la información de la Agencia de Protección Ambiental de Estados Unidos, a excepción del fuego, las inundaciones son los desastres naturales más comunes que afectan a los estadounidenses, representando el 90 por ciento de las catástrofes. Las inundaciones tienen causas naturales y artificiales. Las tormentas pueden crear inundaciones que superan la capacidad de contención de agua del medio ambiente o de las estructuras hechas por el hombre

Eventos climáticos: Al igual que la sequía, en los últimos 100 años, el Centro Nacional de Datos Climáticos registró un incremento en el evento meteorológicos extremos. Si bien los sistemas de notificación están en su lugar, aún existen vulnerabilidades para los daños materiales y la pérdida de cultivos. El desarrollo también complicó los efectos de este tipo de eventos, ya que el incremento en el desarrollo ha generado la disminución de pantanos y el aumento de superficies impermeables, como carreteras y superficies de cemento en las entradas de las viviendas. Estas modificaciones crean un escenario para las inundaciones y las crecidas repentinas.

 

No todos los desastres naturales se pueden prevenir. Cada catástrofe tiene sus propios factores y complicaciones. Comprender los principios básicos de la ecología puede proporcionar las claves para disminuir los efectos de estos eventos. La naturaleza evolucionó con los desastres naturales y las consecuencias que generaron. La mejor forma de prevención es analizar las estrategias que ofrece la naturaleza.

Administración de software de la organización

 

En la actualidad el rol de un profesionista en sistemas es muy importante debido a la gran gama de habilidades que debe desarrollar. En este trabajo se mostrará de manera explicita todas las diferentes áreas que un profesionista de sistemas debe conocer y administrar.

Estas áreas son básicamente la administración de recursos en una empresa, el rol del CIO en su departamento de sistemas, la planeación de una empresa con objetivos centrados en el negocio utilizando todas las herramientas de tecnología de información, la aleación del área de Informática en las organizaciones, los Recursos Humanos, Presupuestos, Adquisición de Recursos Computacionales y conocer a los Usuarios Finales, el cómputo y necesidades.

ADMINISTRACIÓN DE RECURSOS

Caso ejemplo

El objetivo de Bottomline es ser el abastecedor principal de soluciones de pago a las empresas. Además de sus esfuerzos de la venta directa, también promueven sus productos y servicios con las relaciones que han creado empresas de planeación de recursos y vendedores de sistemas contables, como Oracle y Rawson, además de consultores.

En marzo de 1998, fueron seleccionados por el Sistema de la Reserva Federal para proveer el software necesario para permitir a más de 12,000 bancos el proceso de pagos electrónicos

 

DE LOS SISTEMAS EN LA EMPRESA ROL

Para esta segunda etapa de nuestro trabajo final, entrevistamos al Ing. Joaquín Hernández del departamento de Servicios Profesionales y Consultoría de Antor Integración, la cual pertenece al Grupo Antor Soluciones.

Decidimos realizar una investigación de campo, para tener un contacto más directo con la empresa y con el ambiente profesional. Durante la entrevista nos dimos cuenta de la importancia de los sistemas de información en todas las áreas de la empresa y de su importancia para el buen funcionamiento de la empresa. Debido al giro de esta empresa, los Sistemas Computacionales son muy importantes ya que se dedican a desarrollar software y soluciones integrales para sus clientes.


JORGE RICARDO REYES LOPEZ
JUAN CARLOS LOPEZ REYES
JAVIER GARCIA LOMELI
LEONEL SAUCEDO RUIZ

 

RECOPILACION DE INFORMACION DE LA ORGANIZACION

Objetivos corporativos: Se necesitan datos para tomar decisiones racionales, evaluar los rendimientos de la pesca en relación con los objetivos de ordenación y satisfacer una serie de requisitos regionales. La medida del logro de los objetivos se evalúa mediante la utilización de indicadores, que se generan a partir de datos. No existe ningún conjunto normalizado de indicadores, pero todos deben adaptarse a cada pesquería en función de las cuestiones económicas, sociales o medioambientales que sean importantes. Pueden elaborarse indicadores apropiados que midan la situación de los recursos, los resultados de los controles pesqueros, la eficiencia económica, los resultados socioeconómicos y la continuidad social. Puede obligarse también a las autoridades pesqueras a facilitar información a organizaciones regionales e internacionales y a otros Estados en relación con las poblaciones transzonales o altamente migratorias.

Organigramas: Un organigrama es la representación gráfica de la estructura de una empresa o cualquier otra organización. Representan las estructuras departamentales y, en algunos casos, las personas que las dirigen, hacen un esquema sobre las relaciones jerárquicas y competenciales de vigor en la organización.

El organigrama es un modelo abstracto y sistemático que permite obtener una idea uniforme y sintética de la estructura formal de una organización:

  • Desempeña un papel informativo.
  • Presenta todos los elementos de autoridad, los niveles de jerarquía y la relación entre ellos.

En el organigrama no se tiene que encontrar toda la información para conocer cómo es la estructura total de la empresa.

Manuales de proceso: Un manual de procedimientos es el documento que contiene la descripción de actividades que deben seguirse en la realización de las funciones de una unidad administrativa, o de dos ò mas de ellas.

El manual incluye además los puestos o unidades administrativas que intervienen precisando su responsabilidad y participación. Suelen contener información y ejemplos de formularios, autorizaciones o documentos necesarios, màquinas o equipo de oficina a utilizar y cualquier otro dato que pueda auxiliar al correcto desarrollo de las actividades dentro de la empresa. En el se encuentra registrada y transmitida sin distorsión la información básica referente al funcionamiento de todas las unidades administrativas, facilita las labores de auditoria, la evaluación y control interno y su vigilancia, la conciencia en los empleados y en sus jefes de que el trabajo se està realizando o no adecuadamente. También el manual de procedimientos contiene una descripción precisa de como deben desarrollarse las actividades de cada empresa. Ha de ser un documento interno, del que se debe registrar y controlar las copias que de los mismos se realizan. A la hora de implantar, por ejemplo una ISO, ésta exige 4 procedimientos obligatorios como son:

  • Tratamiento de No Conformidades
  • Auditoría Interna

 

  • Sistema de Mejora
  • Control de la documentación.

JORGE RICARDO REYES LOPEZ
JUAN CARLOS LOPEZ REYES
JAVIER GARCIA LOMELI
LEONEL SAUCEDO RUIZ

 


Es la protección de datos por medio de una computadora

Es la protección de datos personales

Es la ciencia que se encarga del estudio del procesamiento dela información mediante la pc

Almacenamiento de datos

Seguridad

TIPOS DE SEGURIDAD

Información

Seguridad en informática

Informática
Aplicación dela seguridad en informática


JORGE RICARDO REYES LOPEZ
JUAN CARLOS LOPEZ REYES
JAVIER GARCIA LOMELI
LEONEL SAUCEDO RUIZ