2.2 Dar seguimiento de operación de las herramientas informáticas de acuerdo al plan de seguridad.

2.2 Dar seguimiento de operación de las herramientas informáticas de acuerdo al plan de seguridad.

A)Elabora e interpreta reporte de estado de las aplicaciones.

La seguridad de aplicaciones debe ser considerada un importante aspecto de control interno en las entidades con alto por ciento de automatización de sus operaciones ya que se correspondes totalmente los objetivos enunciados en la normativa de control interno vigente.

las aplicaciones son un tipo de programas informáticos diseñado como herramienta para permitir a los usuarios realizar uno o diversos tipos de trabajos.

B)Modifica configuraciones.

La configuración es un conjunto de datos que determina el valor de algunas variables de un programa a de un sistema operativo,Estas opciones generalmente son cargados en su inicio y de algunos casos se deberá reiniciar para poder ver los cambios,ya que el programa no podrá cargarlos mientras se este ejecutando,si la configuración aun no ha sido definida por el usuario,el programa o sistema cargará por defecto.

• Conforme a procedimientos definidos en el manual.

Un manual de procedimiento es el documento que contiene la descripción de actividades que deben seguirse en la realización de funciones de unidad administrativa,o de dos o más de ellas.

El manual incluye además los puestos o unidades administrativas que intervienen precisando su responsabilidad y participación.Suele contener información y ejemplos de formularios,autorizaciones o documentos necesarios,maquinas o equipo de oficina a utilizar y cualquier otro dato que pueda auxiliar al correcto desarrollo de las actividades dentro de la empresa.

• Nuevos requerimientos.

Los requerimientos de seguridad son identificados mediante una evolución metódica de riesgos de seguridad.Las técnicas de evaluación de riesgo pueden ser aplicados a toda la organización,o solo en algunas partes,como en los sistemas  individuales de información,componentes específicos de sistema o servicio donde estés factible,realista y útil.

Existen 3 fuentes principales que deben considerarse para que una organización identifique sus requerimientos de seguridad:

1. La primera fuente se deriva determinando los riesgos de la organización.
2. La segunda fuente se refiere a los requerimientos legales,regulatorios,contractuales y establecido que una organización,sus socios comerciales y proveedores de servicio tienen satisfacer.
3. La tercera fuente es el conjunto particular de principios,objetivos y requerimientos para el procesamiento de la información que una organización ha desarrollado para mantener sus operaciones.

• Respalda las configuraciones de las aplicaciones.

Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un medio que cumpla con una serie de exigencias.

1. Ser confiable.
2. Estar fuera de linea en un lugar seguro.
3. La forma de recuperar sea rápida y eficiente.

Esto nos lleva a que un sistema de respaldo y recuperación de información tienen que ser probado y eficiente.

Las copias de seguridad con uno de los elementos más importantes y que requieren mayor atención a la hora de definir las mediadas de seguridad del mismo sistema de información.

Copiar solo los dados,poco recomendable,ya que en caso de incidencia,sera preciso recuperar el entorno que proporcionan  los programas para acceder a los mismos.

Clasificación de respaldos:

-Copias de información (Backups).

Estos son los respaldos más duplicados de archivos que guardan en "TapeDrives" de alta capacidad.

-Respaldo completo ("Full").

Guarda todos lo archivos que sean especificados al tiempo de ejecutarse el respaldo.

2.3 Controla parámetros de seguridad.

A)Revisa la configuración de las herramientas de seguridad aplicadas a los equipos y redes de comunicación.

• Herramientas de auditoria para la recopilación de la información.

 Es una de las técnicas más utilizadas para examinar los diferentes aspectos que intervienen en el funcionamiento del área informática y los sistemas software, permite recolectar la información directamente sobre el comportamiento de los sistemas, del área de informática, de las funciones y actividades, los procedimientos y operación de los sistemas, y de cualquier hecho que ocurra en el área. En el caso específico de la auditoria se aplica para observar todo lo relacionado con el área informática y los sistemas de una organización con el propósito de percibir, examinar, o analizar los eventos que se presentan en el desarrollo de las actividades del área o de un sistema que permita evaluar el cumplimiento de las funciones, operaciones y procedimientos.

Entrevistas

Esta técnica es la más utilizada por los auditores  ya que a través de esta se obtiene información sobre lo que  esta auditando, además de tips que permitirán conocer más sobre los puntos a  evaluar o analizar. La entrevista en general es un medio directo para la recolección de información para la captura de los datos informados por medio de grabadoras digitales o cualquier otro medio. En la entrevista, el auditor interroga, investiga y conforma directamente sobre los aspectos que se está auditando. En su aplicación se utiliza una guía general de la entrevista, que contiene una serie de preguntas sobre los temas que se quiere tocar, y que a medida que avanza pueden irse adaptando para profundizar y preguntar sobre el tema.

Cuestionarios

Los cuestionarios son preguntas impresas en formatos o fichas en que el auditado responde de acuerdo a su criterio, de esta manera el auditor obtiene información que posteriormente puede clasificar e interpretar por medio de la tabulación y análisis, para evaluar lo que se está auditando y emitir una opinión sobre el aspecto evaluado.

Encuestas

Las encuestas son utilizadas frecuentemente para recolectar información sobre aspectos como el servicio, el comportamiento y utilidad del equipo, la actuación del personal y los usuarios, entre otros juicios de la función informática. No existen reglas para el uso de las encuestas, solo los que regulan los aspectos técnicos y estadísticos tales como la elección del universo y la muestra, que se contemplan  dentro de la aplicación  de métodos probabilistas y estadísticos para hacer la mejor elección de las muestras y recolección de opiniones.

Inventarios

Consiste en hacer el recuento físico de lo que se está auditando, con el fin de compararla con la que existe en los documentos en la misma fecha. Consiste en comparar las cantidades reales existentes con las que debería haber para comprobar que sean iguales, de lo contrario iniciar la investigación de la diferencia para establecer las causas. Con la aplicación de esta herramienta de la auditoria tradicional, el auditor de sistemas también puede examinar las existencias de los elementos disponibles para el funcionamiento del área informática o del sistema, contabilizando los equipos de cómputo, la información y los datos de la empresa, los programas, periféricos, consumibles, documentos, recursos informáticos, y demás aspectos que se desee conocer, con el fin de comparar la cantidad real con las existencias que se registra en los documentos.

• Herramienta de auditoria para la configuración y comparación.

La auditoria es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.

El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información.

Al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:

• Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad.

• Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos.

• Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modernización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoria de Sistemas.

B)Analiza reportes de las aplicaciones.

• Genera reportes de operación de las aplicaciones.

Muchas veces nos encontramos realizando sistemas de información que se dedican a capturar datos pero que también necesitan una manera de procesarlos y mostrarlos. Para esta tarea entran en juego los famosos Reportes que no son más que objetos que entregan información en un formato particular y que permiten realizar ciertas operaciones como imprimirlos, enviarlos por email, guardarlos a un archivo, etc.

Es importante mencionar que los datos almacenados son útiles en la misma medida que se puedan convertir en información para las personas que los necesitan. También es importante subrayar que la plataforma tecnológica que utilicemos debe poder tener facilidades para convertir los datos en información y poder entregarlos a los usuarios de forma que sean útiles.

Pues bien, el caso es que el .net Framework no es la excepción. Al instalar cualquiera de los productos, desde las versiones exprés hasta la versión TeamSuite podemos realizar reportes y presentarlos a los usuarios para que puedan utilizar la preciada información.

• Identifica nuevos requerimientos.

Los requerimientos pueden dividirse en requerimientos funcionales y requerimientos no funcionales. Los requerimientos funcionales definen las funciones que el sistema será capaz de realizar. Describen las transformaciones que el sistema realiza sobre las entradas para producir salidas. 

Los requerimientos no funcionales tienen que ver con características que de una u otra forma puedan limitar el sistema, como por ejemplo, el rendimiento (en tiempo y espacio), interfaces de usuario, fiabilidad (robustez del sistema, disponibilidad de equipo), mantenimiento, seguridad, portabilidad, estándares, etc. 

Los requerimientos deben ser: 

Especificados por escrito. Como todo contrato o acuerdo entre dos partes 

Posibles de probar o verificar. Si un requerimiento no se puede comprobar, entonces ¿cómo sabemos si cumplimos con él o no? 

Descritos como una característica del sistema a entregar. Esto es: que es lo que el sistema debe de hacer (y no como debe de hacerlo) 

Lo más abstracto y conciso posible. Para evitar malas interpretaciones.

• Nuevos requerimientos de seguridad.

Definir los equipos que, por razones de seguridad, requieren circuitos fijamente cableados. Por definición, estos circuitos de seguridad trabajan independientemente del sistema de automatización (a pesar de que el circuito de seguridad ofrece normalmente un interface de entrada/salida para la coordinación con el programa de usuario). Usualmente se configura una matriz para conectar cada actualizador con su propia área de PARO DE EMERGENCIA. Esta matriz constituye la base para los esquemas de los circuitos de seguridad. Proceder de la siguiente manera al diseñar los dispositivos de protección:

          · Definir los encolamientos lógicos y mecánicos/eléctricos entre las diferentes tareas de automatización.

        · Diseñar circuitos para poder manejar manualmente, en caso de emergencia, los aparatos integrantes del proceso.

          · Definir otros requerimientos de seguridad para garantizar un seguro desarrollo del proceso.

• Establece medidas para solucionar nuevos requerimientos.

Objetivo General

Orientar sobre el mejor curso de acción para la puesta en marcha de un servidor Web que garantice la seguridad de la información.

Objetivos Específicos

1.     Evaluar y seleccionar un Sistema Operativo adecuado para la implementación de herramientas de seguridad informática en servidores de Web.

2.     Enunciar los requerimientos del  equipo  necesarios  para  el  desarrollo  del  Sistema Operativo seleccionado.

1.     Establecer mecanismos y métodos eficaces con enfoque activo hacia la seguridad para ser implementados al sistema.

1.     Proporcionar técnicas de protección que brinden  soluciones  óptimas  a  la vulnerabilidad  de los servidores Web.

1.     Presentar una  serie  de  recomendaciones  para  el  desempeño  satisfactorio  del  sistema  mencionado, así  como  para  su  correcta  instalación.

Seguridad

La seguridad en redes de telecomunicaciones está fundamentada en tres elementos:

• La Integridad.- Se refiere a que el contenido y el significado de la información no se altere al viajar por una red, no obstante el número y tipo de equipos que se encuentren involucrados; la infraestructura utilizada debe ser transparente para el usuario.
• La Confiabilidad.- Implica que el servicio debe estar disponible en todo momento.
• La Confidencialidad.- Es quizá la parte más estratégica del negocio, ya que contribuye a impedir que personas no autorizadas lean y conozcan la información que se transmite.

La verdadera seguridad de un sistema va más allá de la instalación de la actualización más reciente, la configuración de un cierto fichero, o la cuidadosa administración del acceso de los usuarios a los recursos de sistema. Es una manera de ver las diferentes amenazas que acechan su sistema y lo que se  está dispuesto a hacer para evitarlas.

Seguridad De Redes

Si usa su sistema en una red (como una red de área local, red de área amplia o Internet), deberá ser consciente de que su sistema estará a un nivel más alto de riesgo que si no estuviese conectado a una. Además de atentados brutales a los ficheros de contraseñas y usuarios sin acceso apropiado, la presencia de su sistema en una red más grande aumenta la oportunidad de que ocurra un problema de seguridad y la forma posible en que pueda ocurrir.

C)Implementación de acciones correctivas en la configuración y ejecución de herramientas de seguridad.

• Planes de contingencia.

Un Plan de Contingencia de Seguridad Informática consiste los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas.

Se entiende por Recuperación, "tanto la capacidad de seguir trabajando en un plazo mínimo después de que se haya producido el problema, como la posibilidad de volver a la situación anterior al mismo, habiendo reemplazado o recuperado el máximo posible de los recursos e información" (1).

Se dice que el Plan de Contingencias es el encargado de sostener el modelo de Seguridad Informática planteado y de levantarlo cuando se vea afectado.

La recuperación de la información se basa en el uso de una política de copias de seguridad (Backup) adecuada.

• Actualización de software y equipo de seguridad.

Las actualizaciones tienen como objetivo reparar problemas específicos de vulnerabilidades que se presentan en un programa. Algunas veces, en lugar de liberar un sólo parche o actualización, los distribuidores publican una versión actualizada de su software, aunque podrían referirse a ésta como un parche.

Cuando las actualizaciones están disponibles, los distribuidores usualmente las liberan a través de sus sitios web para que los usuarios las descarguen. Algunos programas cuentan con herramientas de actualización automática cada vez que existe algún parche disponible, tal es el caso de Windows Update. Es importante instalar las actualizaciones tan pronto como sea posible para proteger al equipo de los intrusos, quienes buscan tomar ventaja de las vulnerabilidades. Si estas opciones automáticas están disponibles, es recomendable aprovercharlas, si no lo están, se aconseja verificar los sitios web de su distribuidor periódicamente en busca de actualizaciones.

Asegúrate de descargar software o actualizaciones sólo desde sitios web confiables, nunca lo hagas a través de enlaces que aparezcan en mensajes de correo electrónico, pues los intrusos acostumbran hacer que los usuarios visiten sitios web que inyectan o propagan códigos maliciosos disfrazados de actualizaciones. También, ten cuidado con los mensajes de correo electrónico en los que se afirme que un archivo adjunto es una actualización de software, estos archivos adjuntos comúnmente son virus.