1.1- El Entorno

Palestinian r...
Image by Getty Images via Daylife

Hasta hace unos pocos años el entorno reinante posibilitabá que las empresas pudieran triunfar con estrategias poco dinámicas, y con modelos de gestión basados en la continuidad y hasta cierto punto, en la tradición. La competencia no era agresiva y las ventajas competitivas se mantenían en el tiempo sin apenas dificultad. El cambio en el entorno no estaba previsto, no se aceptaba y tampoco se controlaba.
Ante esta situación cualquier organización que pretenda funcionar adecuadamente y obtener resultados satisfactorios, debe prestar interés por conocer lo mejor posible el entorno que la rodea, así como tratar de adaptarse al mismo. De esta manera logrará conocer las amenazas y las oportunidades que se la presentan, y estará en situación de obtener ventaja de ello.

Introducción al Entorno

Hoy en día, las empresas deben afrontar su futuro previendo oportunidades de negocio, situando sus metas en función de sus capacidades y tratando que su pasado no sea una carga para la misma. Para esto es fundamental que la organización conozca su entorno y se sepa adaptar a él. Se puede decir que se ha configurando una nueva filosofía en la dirección empresarial, en la que ya no se busca maximizar el rendimiento, sino que se pretende optimizar el potencial de rendimiento, es decir, tanto el rendimiento presente como el futuro. Al decidir afrontar el cambio, la organización comienza una búsqueda activa y creadora de oportunidades, en un intento de aventajar a sus competidores, recompensando comportamientos creativos y la iniciativa de sus miembros. Dirigir en un ambiento globalizado se ha convertido en uno de los retos de la gestión actual.
En este contexto de gran complejidad, se puede decir que todas las variables interaccionan, y la organización necesita, más que nunca, prever las condiciones del entorno y armonizar su funcionamiento interno para anticiparse y dar una respuesta sólida a los cambios que pudieran producirse. Ha de aprovechar las oportunidades del mercado en cualquier dirección, no sólo en el mercado donde coloca sus productos o servicios, sino logrando las condiciones más favorables en la captación de sus recursos. La organización excelente es, en este entorno globalizado de cambio y competencia, aquella que logra anticiparse al futuro, y no sólo la que sigue un comportamiento adaptativo.
La actual situación ha provocado que la intensidad de los cambios haga difícil la planificación, no ya a tres o cinco años, sino incluso a seis meses. La única solución posible consiste en dotar a la organización de un modelo estratégico, basado en la misión general y la cohesión interna, apoyada en la cultura empresarial que sustituya a una estructura excesivamente rígida y burocratizada.

Organización Y Entorno

La organización se puede considerar según la “Teoría de Sistemas”, como un sistema abierto1, es decir, como un conjunto de elementos relacionados entre sí, constituyendo un todo indisociable y sinérgico, orientado hacia la consecución de unos objetivos determinados, en un entorno específico; mediante las relaciones de intercambio con dicho entorno, mantiene un equilibrio homeostático que le permite adaptarse al medio, sobrevivir y desarrollarse en él, gracias a las funciones de autorregulación del propio sistema. De esta definición se puede concluir que existe una relación fundamental entre la organización y su entorno.
Las empresas no son entes aislados, existen en un entorno que las afecta y al que responden. Está formado por la localización física, la competencia, la comunidad local o regional, la facilidad para adquirir los recursos…, en resumen por todo el conjunto de elementos que rodean la organización. La organización depende de su entorno para lograr alcanzar sus recursos, que normalmente son escasos, por lo cual tendrá que competir para conseguirlos2.
El ambiente externo es el sistema de nivel superior en el que se inserta la empresa, y está formado por aquellos factores, fuerzas o variables que influyen, directa o indirectamente, en los procesos de gestión. El análisis del ambiente externo es esencial para conocer el origen de las oportunidades y amenazas con las que se encuentra la empresa. La capacidad que tenga la dirección para analizar y predecir la forma en que las fuerzas del entorno van a afectar a la compañía resulta fundamental para desarrollar una estrategia empresarial adecuada.
El entorno representa el medio externo de la organización y una de las definiciones de acuerdo con el Webster´s Third New International Dictionary es:
Conjunto de condiciones sociales y culturales, como costumbres, leyes, lengua, religión, organización política y económica, que influyen en la vida de un individuo o comunidad (organización).
El entorno se refiere a todos aquellos factores externos a la organización que tengan una influencia significativa en la estrategia empresarial y que la misma no puede controlar.

Niveles de Entorno

Para estudiar el entorno es necesario definir unas dimensiones y unos niveles de referencia. Ellos nos permitirán entrar en el análisis de su diversa naturaleza o de las diferentes formas en que el entorno se manifiesta en la empresa. El gran interés de este estudio se produjo durante los años setenta a raíz de los fuertes cambios habidos en él y que tan duras consecuencias tuvieron para las economías, sectores y empresas de los países industrializados, y más aún en los que todavía siguen en vías de desarrollo.
Existen diversas clasificaciones del entorno. Para empezar presentaremos una de ellas que distingue entre los niveles: el macroentorno, el microentorno y el intraentorno

El Macroentorno (Entorno General)

Está compuesto por todas aquellas variables que influyen en la organización y que ésta no puede controlar, aunque, suelen ser muy poderosas y tienen un efecto decisivo sobre la organización. A diferencia de los factores que forman el microentorno, los factores del macroentorno, teóricamente, no guardan una relación causa-efecto con la actividad empresarial. Son genéricos y existen con independencia de la compañía en el mercado. Se refiere al medio externo que rodea a la organización desde una perspectiva genérica, es decir, a todo lo que rodea a la organización derivado del sistema socioeconómico en el que desarrolla su actividad.
Reúne a todos los demás niveles. Cada vez tiene una dimensión más amplia e intensa, debido en gran medida a la creciente internacionalización de la actividad económica.
La nación o ámbito geográfico que no engloba necesariamente al sector ni a la cadena de actividades empresariales, aunque se interrelaciona con él. Es un espacio intermedio que puede equipararse a un cierto espacio económico, nación o región en el que múltiples cadenas empresariales desarrollan su actividad y en el que las administraciones públicas o los agentes económicos representan un papel más o menos destacado en el desarrollo de la misma. Porter, al estudiar las ventajas competitivas de las naciones, considera la existencia de lo que denomina “el diamante”, formado por cuatro elementos:

  • Las condiciones de los factores: hace referencia a los recursos disponibles en el área, distinguiéndose fundamentalmente los recursos físicos, los de capital, los humanos y de conocimiento, las infraestructuras y los equipamientos.
  • Las condiciones de la demanda: se refiere a las características del mercado en donde
Economía
Socio-Cultural
Leyes y Regulaciones
Tecnología

Gartner (Consultoría) en el 2006 dio a conocer las 10 tecnologías estratégicas que tendrán alto impacto en las organizaciones

Reblog this post [with Zemanta]

5.6- Manual de Seguridad Informática

Es una medida que busca establecer los estándares de seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos.
Es una forma de suministrar un conjunto de normas internas para guiar la acción de las personas en la realización de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas, pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos.
Sin embargo, la realización del análisis de riesgos como primer elemento de la acción de seguridad, es un hecho determinante para procesos críticos en que son analizadas todas las amenazas. De esta manera son considerados y analizados todos los activos de la organización, sea por muestreo o en su totalidad, para que estén libres de vulnerabilidades con el propósito de reducir los riesgos. Por esta razón serán abordados en esta unidad todos los elementos necesarios para la realización de un análisis de riesgos como etapa de rastreo de vulnerabilidades de todo el ambiente de un proceso de negocios.
Entre mayor sea la exposición o el daño histórico a los bienes de la empresa, el margen de tiempo tomado para el análisis de riesgos debe ser menor y viceversa.
El Manual es elaborada considerando el entorno en que se está trabajando como la tecnología de la seguridad de la información, para que los criterios establecidos estén de acuerdo con las prácticas internas más recomendadas de la organización, con las prácticas de seguridad actualmente adoptadas, para buscar una conformidad mayor con criterios actualizados y reconocidos en todo el mundo.
Un Manual de la Política de Seguridad Informática es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional,  con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandardización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.

Áreas de Normalización de la Manual de Seguridad Informática
Es necesario considerar los dos aspectos, tecnológico y humano al momento de definir un Manual de la Política de Seguridad Informática de la información
Tecnológica Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la cúpula es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios. Humana Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la cúpula, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de Retroalimentación más apropiado. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación.

Elaboración de el Manual de Seguridad Informática

El Manual es elaborado tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento.  Es importante considerar que para la elaboración de un Manual de la Política de Seguridad Informática institucional se debe:

  1. Integrar el Equipo de Seguridad responsable de definir el Manual de la Política de Seguridad.
  2. Elaborar el documento final.
  3. Hacer oficial el Manual una vez que se tenga definida.

Integrar el Equipo

Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad. Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización. En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado. Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones.

Elaborar el Documento Final

En este documento deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión. En la elaboración de un Manual de la Política de Seguridad Informática no podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política. Un ejemplo común es solicitar a los usuarios el cambio de su contraseña o password constantemente y que ésta deba tener una complejidad adecuada para la información manejada. La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro del Manual de la Política de Seguridad Informática es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología. Por ejemplo, establecer que los servidores con información crítica de la empresa no deben prestar servicio de estaciones de trabajo a los empleados. La definición de la propia política, Una declaración de la administración que apoye los principios establecidos y una explicación de las exigencias de conformidad con relación a:

  • Legislación y cláusulas contractuales;
  • Educación y formación en seguridad de la información;
  • Prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.)

Debe contener también la atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad. No olvidar de que  toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas.

Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad.
El trabajo de producción se compone por distintas etapas, entre otras:

  1. Objetivos y ámbito
  2. Entrevistas
  3. Investigación y análisis de documentos
  4. Reunión de política
  5. Glosario de el Manual de la Política de Seguridad
  6. Responsabilidades y penalidades

Objetivos y ámbito

En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos, buscando identificar resumidamente cuáles estándares el Manual trata de establecer, además de la amplitud que tendrá en relación a entornos, individuos, áreas y departamentos de la organización involucrados.

Entrevista

Las entrevistas tratan de identificar junto a los usuarios y administradores de la organización las preocupaciones que ellos tienen con los activos, los procesos de negocio, áreas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización.

Investigación y Análisis de Documentos

En esta etapa se identifican y analizan los documentos existentes en la organización y los que tienen alguna relación con el proceso de seguridad en lo referente a la reducción de riesgos, disminución de trabajo repetido y falta de orientación. Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras.

Reuniones

En las reuniones, realizadas con los equipos involucrados en la elaboración, se levantan y discuten los temas, además se redactan los párrafos para la composición de las normas con base en el levantamiento del objetivo y del ámbito del Manual específica.

Glosario de el Manual de la Política de Seguridad

Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de el Manual de la Política de Seguridad. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Por lo tanto se recomienda que el Manual cuente con un glosario específico donde se especifiquen los términos y conceptos presentes en toda el Manual  de seguridad. 

Responsabilidades y Penalidades

Es fundamental identificar a los responsables, por la gestión de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicación de sanciones resultantes de casos de inconformidad con el Manual elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relación a las penalidades que serán aplicadas en casos de infracción del Manual de la Política de Seguridad Informática.

Si existe ya un estándar de estructura de documentos para políticas dentro de la empresa, éste puede ser adoptado. Sin embargo, a continuación sugerimos un modelo de estructura de política que puede ser desarrollado dentro de su organización.

En este modelo, visualizamos que un Manual de la Política de Seguridad Informática esté formada por tres grandes secciones: las Directrices, las Normas los Procedimientos e Instrucciones de Trabajo.

Su estructura de sustentación está formada por tres grandes aspectos: Recursos, cultura y retroalimentación.

Directrices Estratégicas

En el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido. Como la información no está presente en un único entorno (microinformática, por ejemplo) o medio convencional (fax, papel, comunicación de voz, etc.), debe permitir que se aplique a cualquier ambiente existente y no contener términos técnicos de informática. Se compone de un texto, no técnico, con las reglas generales que guían a la elaboración de las normas de seguridad.

Normas de Seguridad (Táctico)

Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, Audiencia a que se destina, etc. Las normas, por estar en un nivel táctico, pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios.

Para Técnicos

Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Pueden ser ampliamente utilizadas para la configuración y administración de ambientes diversos como Windows NT, Netware, Unix etc.

Para Usuarios

Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros. Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc.

Procedimientos (Operacional)

Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter-departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información.

Instrucción de trabajo (Operacional)

Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestión. A continuación presentamos ejemplos de procedimientos e instrucciones de trabajo muy específicas que resultan de beneficio en la operación diaria.

Hacer Oficial el Manual de la Política de Seguridad

La oficialización de una política tiene como base la aprobación por parte de la cúpula de la organización. Debe ser publicada y comunicada de manera   adecuada para todos los empleados, socios, terceros y clientes.

5.5- Proceso del Análisis de Riesgos

Enseguida, y con la finalidad de ampliar un poco más el panorama de las posibles vulnerabilidades que pueden comprometer la información de la empresa, se muestra una clasificación concisa de blancos, tipos de ataque y el método de uso más común para lograrlo. Si deseamos analizar los diferentes ámbitos de nuestra empresa, es necesario que tengamos conocimiento sobre cuáles vulnerabilidades son las más comunes cuando nos referimos a los sistemas de  información.
En esta tabla se observan ejemplos de los métodos más comunes utilizados por personas con intenciones maliciosas para el ataque o infiltración a nuestros sistemas. Es importante mencionar que estos son sólo algunos de los ataques potenciales a los que nuestra empresa está expuesta.
Un análisis de riesgos tradicional se forma por medio de un conjunto de actividades preestablecidas que tiene como objetivo identificar el proceso a considerar, saber cuáles son sus elementos o partes constituyentes, cuáles los equipos necesarios en para efectuarlo.

Relevancia de los procesos de negocio y sus activos en el análisis de la seguridad

Para que el análisis de riesgos tenga en realidad un efecto positivo en la empresa, es necesario identificar las diferentes prioridades a lo largo de cada uno de sus procesos de negocio. De esta forma podremos realizar un plan estratégico basado en la importancia y el impacto de nuestras acciones que beneficien la seguridad de la información de nuestra compañía.

Identificación de la Relevancia

Al hacer un análisis de riesgos, es importante identificar la relevancia que tienen los procesos de la empresa en la organización, para así poder priorizar las acciones de seguridad, es decir, iniciar el trabajo de implementación de seguridad en las áreas más estratégicas que puedan traer un impacto mayor a la organización cuando se presente algún incidente.
Relevancia de cada uno de los procesos de negocio en la empresa, es un punto clave a considerar durante la realización del análisis de riesgos. Dicha relevancia será de gran importancia para identificar el rumbo de las acciones de seguridad a implantar en la organización.

Identificación de la Relevancia de los  procesos de negocio

Es determinante para que las acciones de seguridad sean dirigidas a las áreas más críticas, o de mayor prioridad. Este trabajo permite dar prioridad a las acciones que son más urgentes, al dirigir los costos y optimizar los recursos donde realmente sean necesarios. Para entender mejor lo anterior revisemos los siguientes ejemplos: Ejemplos
En la banca financiera las acciones de seguridad debieran probablemente enfocarse principalmente en aquellos procesos que involucren transacciones monetarias, que son aquellas de mayor prioridad dada la naturaleza de su negocio. Por otra parte, si en una empresa existen áreas que son comúnmente atacadas y afectadas, es posible que sea necesario atender primero estos procesos dado los riesgos que pudieran presentar para la seguridad de la información en la empresa. O bien, si en la empresa existen áreas que son importantes para la reducción de costos, pudiera ser importante considerarlas como clave y de alta prioridad para las acciones de seguridad por tomar.
<!– Identificación de la relevancia de la seguridad en los procesos de Ejemplos
El siguiente diagrama muestra la manera en la que podemos tomar alguno de los procesos importantes en nuestra empresa e identificar los posibles ataques o las áreas con mayor vulnerabilidad para después de un análisis, saber hacia dónde dirigir los esfuerzos de más prioridad y mayor capacidad de recursos.
La identificación de los riesgos de seguridad permite aclarar las ideas e identificar los posibles riesgos para la seguridad. La información se recopila en forma de amenazas, vulnerabilidades, puntos débiles y medidas preventivas. El modelo STRIDE proporciona una estructura valiosa y fácil de recordar para identificar las amenazas y los posibles puntos débiles.
La suplantación de identidades es la capacidad de obtener y usar la información de autenticación de otro usuario. Un ejemplo de suplantación de identidad es la utilización del nombre y la contraseña de otro usuario.
La alteración de datos implica su modificación. Un ejemplo sería alterar el contenido del cookie de un cliente.
El repudio es la capacidad de negar que algo haya ocurrido. Un ejemplo es que un usuario cargue datos dañinos en el sistema cuando en éste no se puede realizar un seguimiento de la operación.
La divulgación de información implica la exposición de información ante usuarios que se supone que no deben disponer de ella. Un ejemplo de divulgación de información es la capacidad de un intruso para leer archivos médicos confidenciales a los que no se les ha otorgado acceso.
Los ataques de denegación de servicio privan a los usuarios del servicio normal. Un ejemplo de denegación de servicio consiste en dejar un sitio Web inaccesible, al inundarlo con una cantidad masiva de solicitudes HTTP.
La elevación de privilegios es un proceso que siguen los intrusos para realizar una función que no tienen derecho a efectuar. Para ello se explota una debilidad del software o se usan credenciales de forma ilegítima.

–>

Identificación de la Relevancia de los Activos

Un segundo paso considerado fundamental, consiste en identificar la relevancia de los activos determinantes para el proceso de negocio. Eso quiere decir que cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico, es decir, qué tan importante es para nuestro negocio en comparación con el resto de los activos de la empresa para priorizar, como ocurre en los procesos, las acciones de corrección y protección que deben ser tomadas de inmediato porque se consideran más necesarias. Se evita, de esta manera, invertir en seguridad donde no sea verdaderamente necesario, o por lo menos prioritario.
La relevancia de los activos en los negocios de la empresa, marcará el rumbo definitivo de las acciones de seguridad en la empresa.
Para alcanzar el objetivo de identificar la relevancia de los activos, el análisis de riesgos busca proveer datos cuantitativos y cualitativos sobre el nivel de seguridad existente en la organización, para que se puedan realizar las acciones y cumplan  su propósito en cuanto a la seguridad de la información, como garantizar su confidencialidad, integridad y disponibilidad.
En verdad, el análisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar seguridad, para que puedan cumplir los siguientes propósitos:

  • Identificar los puntos débiles para que sean corregidos, es decir, con esto disminuir las vulnerabilidades presentes en los activos de los procesos de negocios.
  • Conocer los elementos constituyentes de la infraestructura de comunicación, procesamiento y almacenamiento de la información, para dimensionar dónde serán hechos los análisis y cuáles elementos serán considerados.
  • Conocer el contenido de la información manipulada por los activos, con base en los principios de la confidencialidad, integridad y disponibilidad.
  • Dirigir acciones para incrementar los factores tecnológicos y humanos en las áreas críticas y desprotegidas.
  • Permitir una gestión periódica de seguridad, con el objetivo de identificar nuevas amenazas y vulnerabilidades, además de la verificación de la eficacia de las recomendaciones provistas.

Definición del Equipo Involucrado para Entrevistar a los Usuarios.

Uno de los aspectos importantes para la realización del análisis de riesgos es dimensionar de forma adecuada el recurso humano requerido para su  elaboración. Esto es importante dado el costo que representa para la empresa pero de la elección que hagamos de este recurso depende el éxito del análisis de riesgos. La entrevista a los usuarios nos permite conocer cada uno de los procesos de la empresa a través de los ojos de los actores que los llevan a cabo. Además tienen la oportunidad de recibir una retroalimentación que nos permite conocer a mayor profundidad los posibles riesgos en sus actividades diarias.

Integración del Equipo involucrado

La definición del equipo humano es muy importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos; y además, serán los responsables por el acceso a los activos para la recolección de información.
En la gráfica muestra otras consideraciones que al momento de definir el equipo de trabajo involucrado en el análisis, tienen que ser tomados en cuenta.

Entrevista a los usuarios

Junto con el análisis técnico de riesgos dentro de la empresa, el equipo de trabajo tendrá la tarea de realizar entrevistas a los empleados que participan en los diferentes procesos de negocio. Dichas entrevistas permitirán, entre otras cosas, recabar información que ayudará en la identificación de los procesos críticos de la compañía.
La entrevista a usuarios de los procesos de negocio permite:

  • Obtener detalles sobre cómo son gestionados, implementados y utilizados.
  • Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias organizacionales a que está sometido,
  • Definir el nivel de capacitación necesaria del equipo involucrado en su sustentación
  • Conocer la forma con que se da el flujo de información dentro del proceso,
  • Conocer la forma de uso y tratamiento de sus productos derivados, entre otras cosas.

Es fundamental que los usuarios de los procesos de negocios (tanto quienes los administran como aquellos que los respaldan y utilizan) muestren el grado de conciencia que tienen con relación al nivel crítico de la información que manejan. De esta manera, es posible evaluar hasta qué punto el equipo involucrado es consciente de los procedimientos de seguridad necesarios para la continuidad de dicho proceso.
Las entrevistas a los usuarios pueden servir como guía de los análisis técnicos, puesto que rastrean a los involucrados con la administración de los activos que serán analizados y considerados con relación a las vulnerabilidades que puedan desencadenar amenazas al proceso de negocio. También en dichas entrevistas pueden ser detectados nuevos elementos humanos o tecnológicos que hacen parte del proceso de negocio y que también necesitan ser analizados.

Análisis Técnico de Seguridad

El análisis técnico de seguridad, representa una de los puntos clave dentro del análisis de riesgos en la compañía. Dado que como hemos mencionado antes, la información es hoy en día uno de los principales activos en las empresas y dicho análisis indicará el nivel de seguridad con el que se cuenta actualmente dentro de la empresa.

A través de éste se hacen las colectas de información sobre la forma en que los activos: fueron configurados, estructurados en la red de comunicación, y la forma en que son administrados por sus responsables.
El análisis técnico es la forma en que se obtiene la información específica de como son gestionados en general los activos de la empresa. De esta forma, es posible identificar, en las entrelíneas de las configuraciones, la forma en que son utilizados y manipulados, buscando identificar vulnerabilidades de seguridad.
En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el  propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales.
Dentro de los activos tecnológicos analizados técnicamente, podemos listar los siguientes:

En las Estaciones de trabajo

Son la forma con que estas están configuradas para evitar que los usuarios (con frecuencia de forma inconsciente) permiten la acción de amenazas.

En los Servidores

Los servidores son analizados con prioridades en relación a sus normas de acceso definidas. Se revisan cuáles son los tipos de usuarios que tienen derechos a cuál tipo de información, con base en la clasificación y con relación a la confidencialidad de las informaciones para identificar el exceso o falta de privilegios para la realización de tareas.
El enfoque principal se encuentra en los ficheros de configuración y de definición de usuarios que tienen derechos de administración del ambiente, una vez que son los privilegios de administración los que más amenazan los entornos de tecnología y también son los más anhelados por los invasores.
La interacción que estos servidores tienen con las estaciones de trabajo de los usuarios, con las bases de datos y con las aplicaciones que respalda son el objeto del análisis técnico de servidores, independientemente de sus funciones: como ficheros, correo electrónico, FTP, Web y otras.

En los Equipos de conectividad

El análisis de equipos de conectivicdad está centrado en la detección de configuraciones que ponen en riesgo las conexiones realizadas por la red de comunicación que respalda un proceso de negocio.
Se debe identificar en este análisis la manera en que estos activos han sido configurados: dispositivos de ruteo, parámetros, módems, estaciones nodales, FRADs (dispositivo de acceso a transmisión de cuadro), puentes y otros.
Estos equipos deben poseer un nivel de seguridad muy alto, pues por lo general se sitúan en la entrada de una red de comunicación. Al aplicarse un alto nivel de configuración a estos activos, el acceso externo a la red del proceso de negocio, estará naturalmente más protegido.

En las Conexiones

Las conexiones de comunicación entre las redes deben estar seguras: fibra óptica, satélite, radio, antenas… Para eso, es importante realizar actividades de análisis sobre la forma con que las conexiones están configuradas y dispuestas en la representación topológica de la red. Esto garantiza que la comunicación sea realizada en un medio seguro, encriptado (cifrado) si fuere necesario, libre de posibilidades de rastreo de paquetes o mensajes, y también como el desvío de tránsito para otros destinos indeseados.

En las Bases de datos

Las bases de datos representan un elemento de importancia extrema en la cadena comunicativa, pues almacenan informaciones relativas a los procesos de negocio y con frecuencia, sobre los usuarios de los procesos de negocio. La manera en que la base de datos conversa con las demás aplicaciones de lectura de sus informaciones es uno de los primeros elementos que deben ser analizados. También son evaluados los niveles de confidencialidad, integridad y disponibilidad de las informaciones que allí están, para que se puedan identificar las necesidades de protección y configuración de seguridad para que la información disponible esté de acuerdo con los principios de la seguridad de la información. En las bases de datos son evaluados los privilegios de los usuarios con relación a los permisos de uso, principalmente en lo que se refiere al acceso de aplicaciones que hacen la lectura y escritura de estas informaciones.

En las Aplicaciones

Las aplicaciones son los elementos que hacen la lectura de las informaciones de un proceso de negocio u organización. De esta manera son un elemento muy crítico, puesto que están haciendo la interfaz entre diversos usuarios y diversos tipos de información con relación a la confidencialidad, integridad y disponibilidad. Se considera, por lo tanto, que las aplicaciones deben garantizar un acceso restrictivo, con base en los privilegios de cada usuario, las informaciones que ellas manipulan, al garantizar que sus configuraciones estén de acuerdo con los principios de seguridad establecidos (muchos de los cuales son reconocidos por organismos internacionales) con relación a la disponibilidad de la información, la manera con que la aplicación la lee, guarda y transmite, la forma cómo la aplicación fue desarrollada, cómo son actualizadas y almacenadas sus fuentes, y otras más.

El análisis de riesgos busca también identificar en el entorno físico cuáles son las vulnerabilidades que puedan poner en riesgo los activos que en éste se encuentran. Por ello, se observan y consideran una serie de aspectos dentro de un entorno organizativo en el cual se realizan los trabajos de análisis.
Nuestro entorno debe estar organizado de tal forma que garantice la continuidad y el buen desempeño de las actividades individuales como la manutención debida de los activos.
Preocupaciones como el exceso de humedad o calor, la disposición de los cables de datos y eléctricos, la existencia de fallas en la organización del entorno, pueden exigir la reestructuración del espacio físico para permitir un área de trabajo que sea segura, y por lo tanto, la información de la organización se encuentre también segura. Eso quiere decir que aspectos como control de acceso, disposición topográfica de áreas y activos críticos, salubridad de los ambientes de trabajo (cuidado de la salinidad, humedad, luz, viento, lluvia, inundaciones) deben ser analizados bajo la perspectiva del análisis de seguridad física.

Análisis de seguridad física
El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad.
Estos ambientes deben ser observados con relación a lo siguiente:
Disposición organizativa Se considera la disposición organizativa en especial sobre: La organización del espacio con relación a cómo están acomodados los muebles y los activos de información que las áreas de circulación de personas en lugares de alto transito estén libres de activos valor o importancia que los activos de alta importancia se ubiquen en áreas libres de acceso de personas que no están autorizadas para operarlos.
Sistemas de combate a incendio Se considera la disposición de los mecanismos de combate a incendio, cuidando que estén en los lugares adecuados: Los detectores de humo, los aspersores de agua, los extintores de incendio, entre otras cosas.
Control de acceso Se ocupa de la disposición de sistemas de detección y autorización de acceso a las de personas, para esto se hace uso de: Cámaras de video, hombres de seguridad, trinquete para acceso, mecanismos de reconocimiento individual, entre otros.
Exposición a clima y medio ambiente Disposición de las ventanas y puertas de áreas críticas. Se preocupa que se encuentren ubicadas próximas a activos críticos, Si los activos críticos reciben luz solar o posibilidad de amenaza causadas por los fenómenos de la naturaleza, como viento o lluvias fuertes.
Topografía Se interesa en la localización del centro de procesamiento de datos, de la sala de cómputo o del sitio de servidores, o cualquier área crítica con relación a la topografía del terreno Si se encuentran en el subsuelo, al alcance de inundaciones, próximas a áreas de riesgo como proximidad al mar, ríos o arroyos o áreas de retención de agua o con posibilidad de pérdidas de cañerías hidráulicas.

Revisar los planos de las oficinas para localizar salidas de emergencia y dispositivos de prevención de incendios y verificar que cumplan con las normas de seguridad necesarias. Analizar la localización de los activos de alto valor de la empresa y verificar que se encuentren en áreas de acceso restringido.

Relevancia de los activos para los Resultados

En el análisis de riesgo se sugiere la valoración de la relevancia del proceso de negocio. Esta valoración permite tener una idea del impacto que un incidente de seguridad puede causar al proceso de negocio, al llevar en consideración el valor estratégico que posee para la organización como un todo.
Cuanta mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso.
La consideración de la relevancia también permite que sean dirigidas acciones de corrección de problemas en los activos de mayor prioridad en el momento del análisis, pues son parte de procesos de negocio de alta relevancia.

Los resultados del análisis de riesgos

Una vez que se realiza el análisis de riesgos, la organización tiene en sus manos una poderosa herramienta para el tratamiento de sus vulnerabilidades y un diagnóstico general sobre el estado de la seguridad de su entorno como un todo. A partir de este momento es posible establecer políticas para la corrección de los problemas ya detectados, y la gestión de seguridad de ellos a lo largo del tiempo, para garantizar que las vulnerabilidades encontradas anteriormente no sean más sustentadas o mantenidas, gestionando de esa manera la posibilidad de nuevas vulnerabilidades que puedan surgir a lo largo del tiempo.
Cuando se sabe que las innovaciones tecnológicas son cada vez más recuentes, aparecen una serie de nuevas oportunidades para que individuos maliciosos se aprovechen de ellas y realicen acciones indebidas en los entornos humanos, tecnológicos, físicos y de procesos. Una vez que se tienen las recomendaciones, se inician las acciones de distribución de ellas para corregir el entorno y reducir los riesgos a que está sometida la infraestructura humana, tecnológica, de procesos y física que respalda a uno o más procesos de negocio de una organización. De esa manera es posible implementar en los activos analizados, y también en los activos de mismas características que los analizados, las medidas de corrección y tratamiento de las vulnerabilidades.
Una vez que los resultados son rastreados y puntuados con relación a su valor crítico y relevancia, uno de los productos finales del análisis de riesgos, la matriz de valor crítico, indica a través de datos cualitativos y cuantitativos la situación de seguridad en que se encuentran los activos analizados, al listar las vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad para corrección de las vulnerabilidades.
El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.
Comprender la importancia real del análisis de riesgos con el primer paso en la implementación de seguridad, al permitir que se conozca todo el entorno en que se realiza un proceso de negocio del punto de vista procesal, físico, humano y tecnológico.
A partir de este diagnóstico, tanto de las vulnerabilidades como del impacto que ellas pueden traer al negocio (obtenido con la puntuación de la relevancia de los procesos de negocio y sus activos) es posible implementar medidas correctivas, preventivas y de detección que se hagan necesarios para el alcance de los objetivos de la organización.

5.4- Analisis de Riesgo

Riesgo

Es la probabilidad de que las amenazas exploten los puntos débiles, causando pérdidas o daños a los activos e impactos al negocio, es decir, afectando: La confidencialidad, la integridad y la disponibilidad de la información.

Concluimos que la seguridad es una práctica orientada hacia la eliminación de las vulnerabilidades para evitar o reducir la posibilidad que las potenciales amenazas se concreten en el ambiente que se quiere proteger. El principal objetivo es garantizar el éxito de la comunicación segura, con información disponible, íntegra y confidencial, a través de medidas de seguridad que puedan tornar factible el negocio de un individuo o empresa con el menor riesgo posible.

Peligro

Agente potencialmente perjudicial, que puede causar lesiones, daños materiales, interrupción de la actividad social y económica, degradación ambiental, incluso hasta la muerte.

 Medidas de seguridad
Las medidas de seguridad son acciones orientadas hacia la eliminación de vulnerabilidades, teniendo en mira evitar que una amenaza se vuelva realidad. Estas medidas son el paso inicial para el aumento de la seguridad de la información en un ambiente de tecnología de la información y deberán considerar el todo.
Existen  medidas de seguridad específicas para el tratamiento de cada variedad de clases de puntos débiles.
Antes de la definición de las medidas de seguridad a ser adoptadas, se deberá conocer el ambiente en sus mínimos detalles, buscando los puntos débiles existentes.
A partir de este conocimiento, se toman las medidas o acciones de seguridad que pueden ser de índole:

  • Preventivo: buscando evitar el surgimiento de nuevos puntos débiles y amenazas;
  • Perceptivo: orientado hacia la revelación de actos que pongan en riesgo  la información
  • Correctivo: orientado hacia la corrección de los problemas de seguridad conforme su ocurrencia.

Análisis de Riesgos

Es una medida que busca rastrear vulnerabilidades en los activos que puedan ser explotados por amenazas. El análisis de riesgos tiene como resultado un grupo de recomendaciones para la corrección de los activos para que los mismos puedan ser protegidos.

Es un paso importante para implementar la seguridad de la información. Como su propio nombre lo indica, es realizado para detectar los riesgos a los cuales están sometidos los activos de una organización, es decir, para saber cuál es la probabilidad de que las amenazas se concreten.
Las amenazas se pueden convertir en realidad a través de fallas de seguridad, que conocemos como vulnerabilidades y que deben ser eliminadas al máximo para que el ambiente que se desea proteger esté libre de riesgos de incidentes de seguridad.
Por lo tanto, la relación entre amenaza-hecho-impacto, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
Esquema de la relación: amenaza-incidente-impacto

Actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización.
Actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos.
Resultados

  • Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección.
  • Identificar las amenazas que pueden explotar esas vulnerabilidades y de esta manera se puede llegar a su corrección o eliminación.
  • Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas.
  • Determinar las recomendaciones para que las amenazas sean corregidas o reducidas.

Otro punto importante a considerar en la realización del análisis de riesgos es la relación costo-beneficio. Este cálculo permite que sean evaluadas las medidas de seguridad con relación a su aplicabilidad y el beneficio que se agregará al negocio.

Ámbitos del Análisis de Riesgos

El análisis de riesgos puede ser realizado en distintos ámbitos. Por lo general, todos son considerados, puesto que la implementación de seguridad pretende corregir el entorno en que se encuentra la información, es decir en actividades relacionadas a: generación tránsito, procesamiento, almacenamiento, etc.

Ámbito Descripción Aspectos por analizar
Tecnológico El análisis de riesgos realizado en el entorno tecnológico pretende el conocimiento de las configuraciones y de la disposición topológica de los activos de tecnología que componen toda la infraestructura de respaldo de la información para comunicación, procesamiento, tránsito y almacenamiento. Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de las informaciones que son manipulados por ellos.
Los usuarios que los utilizan. La infraestructura que les ofrece respaldo.
Humano El análisis de riesgos también se destina a la comprensión de las maneras en que las personas se relacionan con los activos. Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, se encuentran sometidos los activos, y es posible dirigir recomendaciones para mejorar la seguridad en el trabajo humano y garantizar la continuidad de los negocios de la organización. Este análisis pretende inicialmente identificar vulnerabilidades en los activos de tipo usuario y organización.  El nivel de acceso que las personas tienen en la red o en las aplicaciones. Las restricciones y permisos que deben tener para realizar sus tareas con los activos. El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc.
Procesos Análisis de los flujos de información de la organización y la manera en que la información transita de un área a otra, cómo son administrados los recursos en relación a la organización y manutención. De esta manera, será  posible identificar los eslabones entre las actividades y los insumos necesarios para su realización con el objetivo de identificar las vulnerabilidades que puedan afectar la confidencialidad, la disponibilidad y la integridad de la información y en consecuencia, del negocio de la organización.
En este ámbito, el activo de enfoque principal es del tipo usuario e información.
Identificar a las personas involucradas en el flujo de información, es posible evaluar la necesidad real de acceso que ellas tienen a los activos.
Evaluar el impacto proveniente del uso indebido de la información por personas no calificadas.
Físico El análisis físico de seguridad pretende identificar en la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos. El enfoque principal de este ámbito de análisis son los activos de tipo organización, pues son los que proveen el soporte físico al entorno en que está siendo manipulada la información. Identificar posibles fallas en la localización física de los activos tecnológicos.
Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran  activos tecnológicos. Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la empresa.

5.3- Amenazas y Vulnerabilidades

Amenzas

Son agentes capaces de explotar los fallos de seguridad que denominamos puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una empresa.
Los activos están constantemente sometidos a amenazas que pueden colocar en riesgo la integridad, confidencialidad y disponibilidad de la información. Estas amenazas siempre existirán y están relacionadas a causas que representan riesgos, las cuales pueden ser: causas naturales o no naturales, causas internas o externas
Uno de los objetivos de la seguridad de la información es impedir que las amenazas exploten puntos débiles y afecten alguno de los principios básicos de la seguridad de la información (integridad, disponibilidad, confidencialidad), causando daños al negocio de las empresas.

Tipos de amenazas

Las amenazas son constantes y pueden ocurrir en cualquier momento. Esta relación de frecuencia-tiempo, se basa en el concepto de riesgo, lo cual representa la probabilidad de que una amenaza se concrete por medio de una vulnerabilidad o punto débil. Las mismas se podrán dividir en tres grandes grupos:
1. Amenazas naturales condiciones de la naturaleza y la intemperie que podrán causar daños a los activos, tales como fuego, inundación, terremotos.
2. Intencionales son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje, invasiones y ataques, robos y hurtos de información, entre otras.
3. Involuntarias – son amenazas resultantes de acciones inconscientes de usuarios, por virus electrónicos, muchas veces causadas por la falta de conocimiento en el uso de los activos, tales como errores y accidentes.

Las amenazas siempre han existido y es de esperarse que conforme avance la tecnología también surgirán nuevas formas en las que la información puede llegar a estar expuesta.

Vulnerabilidades

Son los puntos débiles que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la información de un individuo o empresa. Uno de los primeros pasos para la implementación de la seguridad es rastrear y eliminar los puntos débiles de un ambiente de tecnología de la información.
Al ser identificados los puntos débiles, será posible dimensionar los riesgos a los cuales el ambiente está expuesto y definir las  medidas de seguridad apropiadas para su corrección.
Los puntos débiles dependen de la forma en que se organizó el ambiente en que se maneja la información y con la presencia de elementos que perjudican el uso adecuado de la información y del medio en que la misma se está utilizando.

Tipos de amenazas

Físicas

Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la información se está manejando o almacenando físicamente, como ejemplos de este tipo de vulnerabilidad se distinguen:

  • Instalaciones inadecuadas del espacio de trabajo,
  • Ausencia de recursos para el combate a incendios,
  • disposición desorganizada de cables de energía y de red,
  • Ausencia de identificación de personas y de locales, etc.

Naturales

Son aquellos relacionados con las condiciones de la naturaleza que puedan colocar en riesgo la información.
La probabilidad de estar expuestos a las amenazas naturales es determinante en la elección y montaje de un ambiente. Se deberán tomar cuidados especiales con el local, podemos citar:

  • Ambientes sin protección contra incendios,
  • Locales próximos a ríos propensos a inundaciones,
  • Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como terremotos, maremotos, huracanes etc.

De Hardware

Los posibles defectos en la fabricación o configuración de los equipos de la empresa que pudieran permitir el ataque o alteración de los mismos, podemos mencionar:

  • La ausencia de actualizaciones conforme con las orientaciones de los fabricantes de los programas que se utilizan
  • Conservación inadecuada de los equipos.
  • La falta de configuración de respaldos o equipos de contingencia

Por ello, la seguridad de la información busca evaluar: si el hardware utilizado está dimensionado correctamente para sus funciones. Si posee área de almacenamiento suficiente, procesamiento y velocidad adecuados.

De software

Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas informáticos incluso sin el conocimiento de un usuario o administrador de red, entre éstos destacamos:
La configuración e instalación indebidas de los programas de computadora, que podrán llevar al uso abusivo de los recursos por parte de usuarios mal intencionados. A veces la libertad de uso implica el aumento del riesgo.
Las aplicaciones son los elementos que realizan la lectura de la información y que permiten el acceso de los usuarios a dichos datos en medio electrónico y, por esta razón, se convierten en el objetivo predilecto de agentes causantes de amenazas.

  • Programas lectores de e-mail que permiten la ejecución de códigos maliciosos,
  • Editores de texto que permiten la ejecución de virus de macro etc.
  • Programas para la automatización de procesos
  • Los sistemas operativos conectados a una red.

De Almacenamiento

Los medios de almacenamiento son los soportes físicos o magnéticos que se utilizan para almacenar la información.
Entre los tipos de soporte o medios de almacenamiento de la información que están expuestos podemos citar: memorias USB, disquetes, CD-roms, cintas magnéticas, discos duros de los servidores y de las bases de datos, así como lo que  está registrado en papel.
Si los soportes que almacenan información, no se utilizan de forma adecuada, el contenido en los mismos podrá estar vulnerable a una serie de factores que podrán afectar la integridad, disponibilidad y confidencialidad de la información.

  • Plazo de validez y caducidad, defecto de fabricación,
  • Uso incorrecto,
  • Lugar de almacenamiento en locales insalubres o con alto nivel de, humedad, magnetismo o estática, moho, etc.

De comunicación

Donde sea que la información se transite, ya sea vía cable, satélite, fibra óptica u ondas de radio, debe existir seguridad. El éxito en el tránsito de los datos es un aspecto crucial en la implementación de la seguridad de la información.
Hay un gran intercambio de datos a través de medios de comunicación que rompen barreras físicas tales como teléfono, Internet, WAP, fax, télex etc.
Siendo así, estos medios deberán recibir tratamiento de seguridad adecuado con el propósito de evitar que: Cualquier falla en la comunicación haga que una información quede no disponible para sus usuarios, o por el contrario, estar disponible para quien no posee derechos de acceso.

  • La ausencia de sistemas de encriptación en las comunicaciones que pudieran permitir que personas ajenas a la organización obtengan información privilegiada.
  • La mala elección de sistemas de comunicación para envío de mensajes de alta prioridad de la empresa pudiera provocar que  no alcanzaran el destino esperado o bien se interceptara el mensaje en su tránsito.

Humanas

Esta categoría de vulnerabilidad está relacionada con los daños que las personas pueden causar a la información y al ambiente tecnológico que la soporta.
Los puntos débiles humanos también pueden ser intencionales o no. Muchas veces, los errores y accidentes que amenazan a la seguridad de la información ocurren en ambientes institucionales. La mayor vulnerabilidad es el desconocimiento de las medidas de seguridad adecuadas para ser adoptadas por cada elemento constituyente, principalmente los miembros internos de la empresa.
Destacamos dos puntos débiles humanos por su grado de frecuencia: la falta de capacitación específica para la ejecución de las actividades inherentes a las funciones de cada uno, la falta de conciencia de seguridad para las actividades de rutina, los errores, omisiones, insatisfacciones etc.
En lo que se refiere a las vulnerabilidades humanas de origen externo, podemos considerar todas aquéllas que puedan ser exploradas por amenazas como: vandalismo, estafas, invasiones, etc.

  • Contraseñas débiles,
  • Falta de uso de criptografía en la comunicación,
  • Compartimiento de identificadores tales como nombre de usuario o credencial de acceso,  etc.

5.2- Atributos (Características)de la Información

Cuatro factores determinan la utilidad de la información para un administrador: que tenga calidad, sea oportuna, esté completa y sea pertinente

Pertinente (Útil):

La información pertinente es útil y contribuye a las necesidades y circunstancias peculiares del administrador. La información no pertinente es inútil y hasta puede estorbar el desempeño de un administrador ocupado que tiene que dedicar tiempo valioso a determinar si la información es pertinente. Dados los gigantes volúmenes de información a los que están expuestos los administradores de nuestros días, y dadas las limitaciones de las facultades humanas para procesar información, quienes diseñan los sistemas de información deben cerciorarse de que los administradores reciben sólo información pertinente.

Oportuna (Tiempo Justo):

Lo que debemos garantizar es que llegue en el momento oportuno. Para que una información se pueda utilizar, deberá estar disponible

  • Se utilice cuando sea necesario (Antes de tomar decisiones).
  • Que esté al alcance de sus usuarios y destinatarios
  • Se pueda accederla en el momento en que necesitan utilizarla.

Este principio está asociado a la adecuada estructuración de un ambiente tecnológico y humano que permita la continuidad de los negocios de la empresa o de las personas, sin impactos negativos para la utilización de las informaciones. No basta estar disponible: la información deberá estar accesible en forma segura y oportuna para que se pueda usar en el momento en que se solicita y que se garantice su integridad y confidencialidad.
Así, el ambiente tecnológico y los soportes de la información deberán estar funcionando correctamente y en forma segura para que la información almacenada en los mismos y que transita por ellos pueda ser utilizada por sus usuarios.
Garantía de la disponibilidad de la información para que se pueda garantizar la disponibilidad de la información, es necesario conocer cuáles son sus usuarios, con base en el principio de la confidencialidad, para que se puedan organizar y definir las formas de colocación en disponibilidad, garantizando, conforme el caso, su acceso y uso cuando sea necesario.
La disponibilidad de la información se deberá considerar con base en el valor que tiene la información y en el impacto resultante de su falta de disponibilidad.
Para aumentar aún más la disponibilidad de la información deberán: Definirse estrategias para situaciones de contingencia. Establecerse rutas alternativas para el tránsito de la información, para garantizar su acceso y la continuidad de los negocios incluso cuando algunos de los recursos tecnológicos, o humanos, no estén en perfectas condiciones de operación.
En el mundo actual de cambios rápidos, la necesidad de información oportuna significa a menudo que esté disponible en tiempo real correspondiente a las condiciones del momento. La información completa brinda a los administradores lo que necesitan para ejercer el proceso de control, coordinar o tomar una decisión eficaz. Ahora bien, los administradores rara vez tienen la información completa; más bien, por obra de la incertidumbre, la ambigüedad y la racionalidad acotada, tienen que conformarse con información incompleta. Una de las funciones de los sistemas de información es completar la información que se pone a disposición de los administradores.

Integra (Información Correcta):

Una información íntegra es una información que no ha sido alterada de forma indebida o no autorizada.
Para que la información se pueda utilizar, deberá estar íntegra. Cuando ocurre una alteración no autorizada de la información en un documento, quiere decir que el documento ha perdido su integridad.
La integridad de la información es fundamental para el éxito de la comunicación. El receptor deberá tener la seguridad de que la información obtenida, leída u oída es exactamente la misma que fue colocada a su disposición para una debida finalidad. Si una información sufre alteraciones en su versión original, entonces la misma pierde su integridad, ocasionando errores y fraudes y perjudicando la comunicación y la toma de decisiones.
La quiebra de integridad ocurre cuando la información se corrompe, falsifica o burla.
Una información se podrá alterar de varias formas, tanto su contenido como el ambiente que la soporta. Por lo tanto, la quiebra de la integridad de una información se podrá considerar bajo dos aspectos:

  1. Alteraciones del contenido de los documentos donde se realizan inserciones, sustituciones o remociones de partes de su contenido;
  2. Alteraciones en los elementos que soportan la información donde se realizan alteraciones en la estructura física y lógica donde una información está almacenada. Citemos unos ejemplos:

Cuando se alteran las configuraciones de un sistema para tener acceso a informaciones restrictas, cuando se superan las barreras de seguridad de una red de computadoras. Por lo tanto, la práctica de la seguridad de la información tiene como objeto impedir que ocurran eventos de quiebra de integridad, causando daños a las personas y empresas.
Garantía de la integridad de la información es asegurarnos que sólo las personas autorizadas puedan hacer alteraciones en la forma y contenido  de una información, así como en el ambiente en el cual la misma es almacenada y por el cual transita, es decir, en todos los activos. Por lo tanto, para garantizar la integridad, es necesario que todos los elementos que componen la base de gestión de la información se mantengan en sus condiciones originales definidas por sus responsables y propietarios.
La exactitud y el grado de confiabilidad son factores críticos que determinan la calidad de la información. Cuanto más precisa y confiable sea la información, mayor es su calidad. Para que La TIC funcione bien, la información que provee debe ser de calidad. Si los administradores concluyen que la información que les provee La TIC que usan es de mala calidad, le perderán la confianza y dejarán de usarla. Igualmente, si los administradores basan sus decisiones en información de baja calidad, tomarán malas decisiones, e incluso desastrosas.

Confidencial (Usuario Autorizado)

Tiene como propósito el asegurar que sólo la persona correcta acceda a la información que queremos distribuir. La información que se intercambian entre individuos y empresas no siempre deberá ser conocida por todo el mundo. Mucha de la información generada por las personas se destina a un grupo específico de individuos, y muchas veces a una única persona. Eso significa que estos datos deberán ser  conocidos sólo por un grupo controlado  de personas, definido por el responsable de la información. Por ese motivo, se dice que la información posee un grado de confidencialidad que se deberá preservar para que personas sin autorización no la conozcan.
Pérdida de confidencialidad significa pérdida de secreto. Si una información es confidencial, es secreta, se deberá guardar con seguridad y no ser divulgada para personas no autorizadas.
Garantía de la confidencialidad de la información: involucra a todos los elementos que forman parte de la comunicación de la información, desde su emisor y los dispositivos de entrada, el camino que ella recorre y los dispositivos de comunicación, hasta su receptor dispositivos de salida o almacenamiento. Y también, cuanto más valiosa es una información, mayor debe ser su grado de confidencialidad. Y cuanto mayor sea el grado de confidencialidad, mayor será el nivel de seguridad necesario de la estructura tecnológica y humana que participa de este proceso: del uso, acceso, tránsito y almacenamiento de las informaciones.
Se deberá considerar a la confidencialidad con base en el valor que la información tiene para la empresa o la persona y los impactos que podría causar su divulgación indebida. Siendo así, debe ser accedida, leída y alterada sólo por aquellos individuos que poseen permisos para tal. El acceso debe ser considerado con base en el grado de sigilo de las informaciones, pues no todas las informaciones sensibles de la empresa son confidenciales
La forma de instrumentar la confidencialidad de la información es a través del establecimiento del grado de sigilo, veamos enseguida este concepto fundamental:
Grado de sigilo: que es una graduación atribuida a cada tipo de información dependiendo del tipo de información y del público para el cual se desea colocar a disposición los grados de sigilo podrán ser: Confidencial, Restricto, Sigiloso, Público

No Repudio (Aceptación de Creación o Recibo)

Este término se ha introducido en los últimos años como una característica más de los elementos que conforman la seguridad en un sistema informático. Está asociado a la aceptación de un protocolo de comunicación entre emisor y receptor (cliente y servidor) normalmente a través del intercambio de sendos certificados digitales. Se habla entonces de:

  • No Repudio de Origen: el emisor no puede asumir que él ha sido quien envió la información
  • No Repudio de Destino: el destinatario no puede asumir que no ha recibido la información

5.1- Protección de los activos

Activos enfoque contable: conjunto de los bienes y derechos tangibles e intangibles de propiedad (por ejemplo: Disponibilidades, inversiones, Inmuebles, instalaciones, maquinarías, mercaderías, cuentas a cobrar, etcétera) de una persona natural o jurídica que por lo general son generadores de renta o fuente de beneficios.
En el caso de la seguridad informática se enfocará en aquellos vienes que compone el proceso de la transmisión de datos o información, partiendo desde la misma información, su emisor (personas), el medio por el cual se transmite (infraestructura), hasta su receptor (dispositivos de almacenamiento). Los activos son elementos que la seguridad de la información busca proteger. Los activos poseen valor para las empresas y como consecuencia de ello, necesitan recibir una protección adecuada para que sus negocios no sean perjudicados.
Los elementos que conforman lo que denominaremos activos: Datos o Información, Infraestructura: (Software, Hardware, Cableado, Dispositivos, etc.), Organización, Personas que los utilizan o usuarios:
Organización:
Se refiere a la organización lógica y física que tiene el personal dentro de la empresa en cuestión. Ejemplos de este: la estructura departamental y funcional, el cuadro de asignación de funcionarios, la distribución de funciones y los flujos de información de, la empresa.
En lo que se refiere al ambiente físico, se consideran entre otros: salas y armarios donde están localizados los documentos, fototeca, sala de servidores de archivos.

Usuarios:
El grupo usuarios se refiere a los individuos que utilizan la estructura tecnológica y de comunicación de la empresa y que manejan la información.
El enfoque de la seguridad en los usuarios, está orientado hacia la toma de conciencia de formación del hábito de la seguridad para la toma de decisiones y acción por parte de todos los empleados de una empresa, desde su alta dirección hasta los usuarios finales de la información, incluyendo los grupos que mantienen en funcionamiento la estructura tecnológica, como los técnicos, operadores y administradores de ambientes tecnológicos. Ejemplos de este: tipo de activos, Empleados del área de contabilidad., Directivos de la empresa.
Proteger los activos significa mantenerlos seguros contra amenazas que puedan afectar su funcionalidad: Corrompiéndola, accediéndola indebidamente, o incluso eliminándola o hurtándola. Por lo tanto, entendemos que la seguridad de la información tiene en vista proteger a estos activos de una empresa o individuo, con base en la preservación de tres principios básicos: integridad confidencialidad y, disponibilidad de la información.

Infraestructura

  • Software:
    Este grupo de activos contiene todos los programas de computadora que se utilizan para la automatización de procesos, es decir, acceso, lectura, tránsito y almacenamiento de la información. Entre ellos citamos: las aplicaciones comerciales, programas institucionales, sistemas operativos, otros.
    La seguridad de la información busca evaluar la forma en que se crean las aplicaciones, cómo están colocadas a disposición y la forma como son utilizadas por los usuarios y por otros sistemas, para detectar y corregir problemas existentes en la comunicación entre ellos.
    Ejemplos de este tipo de activos: Sistemas operativos (Unix, Windows, Linux, etc.), programas de correo electrónico, bases de datos, aplicaciones específicas, sistemas de respaldo entre otros.
  • Hardware:
    Estos activos representan toda la infraestructura física tecnológica que brinda soporte a la información durante su uso, tránsito y almacenamiento. Los activos que pertenecen a este grupo son cualquier equipo en el cual se: almacene, procese o transmita la información de la empresa. Ejemplos de este: tipo de activos, las computadoras, los servidores, los equipos portátiles, los mainframes, los medios de almacenamiento, los equipos de conectividad, enrutadores, switchs y, cualquier otro elemento de una red de computadoras por donde transita la información. 

Información:
Se tomará en cuenta en este grupo los elementos que contienen dicha información registrada, en medio electrónico o físico, dentro de los más importantes tenemos: documentos, informes, libros, manuales, correspondencias, patentes, información de mercado, código de programación, líneas de comando, reportes financieros, archivos de configuración, planillas de sueldos de empleados, plan de negocios de una empresa, etc.

Seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que se localice: impresos en papel, en los discos duros de las computadoras o incluso en la memoria de las personas que la conocen.
La información que se encuentra dentro de servidores de archivos, qué transita por las redes de comunicación o que es leída en una pantalla de computadora, ¿Cómo hacer para protegerla, ya que no es posible usar las mismas técnicas de protección de objetos reales?
Para empezar, es necesario identificar los elementos que la seguridad de la información busca proteger: La información Los equipos que la soportan Las personas que la utilizan
Es importante, además, que todos los empleados de la compañía tomen conciencia sobre el manejo de la información de forma segura, ya que de nada sirve cualquier sistema de seguridad por complejo y completo que esté sea, si los empleados, por ejemplo, facilitan su usuario y contraseña a personas ajenas a la empresa y con esto dejar abierta la puerta a posibles ataques o filtraciones de información crítica al exterior de la compañía.

7.3- Herramientas de Administración del Centro de Datos

Técnicas  de Administración de Centro de Cómputo

Su centro de cómputo a tiempo completo, empleo multifacético. Aun en los centro de cómputo mas sofisticados, donde muchos procesos de administración y procedimiento son automatizados, usted, como administrador del centro de cómputo debe de estar capacitado para responde a cualquier situación al momento que se de cuenta. Muchos eventos se dan a diario desde las menores molestias como servidores lentos hasta corto circuitos. Si usted no tiene una estrategia basada en sólidas técnicas de administración usted no estará apto para cuidar de ello.
Usted necesita una estrategia administrativa que identifique los procesos, defina esos procesos en el software existente, e indique las actualizaciones que deben ser hechos para esos procesos y componentes ellos afectan regularmente para conocer las demandas actuales del centro de cómputo y clientes que se sirven de éste de forma interna o externa.
Un principal componente de la administración de centros de datos eficiente radica en los procesos políticas que gobiernan la administración. En un mundo automatizado ideal, no hay un encargado individual. En vez de eso, los programas automáticos son manejados por un grupo de individuos quienes colectivamente manejan un centro de cómputo.
Sea en este mundo ideal o en el mundo real donde solo algunos procesos son automatizados y un administrador del centro de cómputo es encargado de todo, procesos y políticas deben estar en una empresa amplia y gobernar en los diferentes niveles.
Hay seis componentes principales en una estructura o arquitectura administrativa de centro de cómputo:

  • Administración de errores
  • Manejo o administración de configuración
  • Contaduría
  • Administración de funcionamiento
  • Administración de seguridad
  • Administración de ejecución

A menudo, el componente de la administración de ejecución de una administración de centro de cómputo maneja los otros componentes.
Sin embargo todos estos componentes de administración son esenciales en la efectividad y eficiencia en la administración de su centro de cómputo.
Usted puede acompañar estas actividades de administración usando una variedad de herramientas de manejo. Las herramientas que usted seleccione para ayudarse en el proceso de administración incluye aquellos que crean visibilidad en todas las áreas y para todos los aspectos de su negocio.  Estos incluyen vistas de cada componente enlistadas previamente para cada área de la administración por ejemplo, una aplicación de administración de seguridad debe darle una perspectiva de cada aspecto de su centro de cómputo incluyendo los componentes virtuales y físicos. Que la vista o perspectiva pueda ser de múltiples organizaciones así usted puede ver la actividad de cada persona en cada departamento como este afecte la seguridad del centro de cómputo. Sólo a través de ésta perspectiva omnisciente de seguridad puede usted estar seguro que su centro de cómputo es seguro. Accesos físicos al piso de centro de cómputo, acceso virtual para máquinas y datos almacenados en las máquinas, sistemas de alarmas físicas, sistemas de alarmas virtuales como muros de retención de fuego, solo como una porción de los aspectos de sus aplicaciones de administración de seguridad que usted debería permitir ver.
La administración es también esencial para la ejecución de ambos niveles de regulación y el servicio. Un SLM (Nivel de servicio de administración) vista de sus aplicaciones y otras funciones del centro de cómputo podría proveer una forma de medir el servicio contra las estipulaciones en el SLA.
Éste perspectiva SLM también incluye medidas de ejecución de las SLAS y las regulaciones puestas por agencias gubernamentales, y debe de ser encaminadas de una forma que de la oportunidad de anticipar la situación que se presente. Otro elemento del manejo de centro de cómputo es el reporte. Cualquier herramienta de administración que usted adquiera no solo debe de proveer la habilidad de ejecución periódica, reporte de horarios, sino también de correr reportes para información general y excepciones.
Estos reportes deben de ser habilitados a usted a cualquier hora.

Procesos Automáticos

Como usted aprendió acerca de las herramientas de software y hardware en las siguientes secciones. Usted entenderá que su mejor opción es automatizar la administración lo mas posible. La carga de su trabajo con una función automática es simplemente asegurarse que las funciones ocurran como deben de hacerse y para ocasionalmente actualizar la funcionabilidad así que esta continúe conociendo sus necesidades. La automatización requerirá acción ocasional de su parte pero no una acción constante. La automatización es uno de los muchos conceptos que reduce la cantidad de mano de obra requerida para ejecutar una acción específica. Por ejemplo, si todos los servidores de su centro de cómputo necesitan ser actualizados, en lugar de asignar muchos técnicos para ejecutar la actualización rápidamente, o peor asignar un técnico para hacer todas las actualizaciones sobre tiempo, un programa de automatización puede hacer las actualizaciones por usted, todo el tiempo, requiriendo solo que la actualización sea puesta correctamente. Usted puede aún colocar el servidor provisional y otras actividades de la administración del hardware para ser ejecutadas automáticamente. La automatización trabaja mejor cuando usted tiene múltiples actividades simples que pueden ser ejecutadas repetidamente.
Si usted necesita monitorear una acción específica en una sola máquina la automatización puede funcionar, pero no podría ser la más eficiente usada por la tecnología.

Herramientas de Administración de Hardware

La administración del centro de cómputo puede ser una actividad intimidante si usted ejecuta personalmente cada tarea administrativa, y aún supervisa todas las tareas en el centro de cómputo, usted podría encontrar como clonar su persona por que no habrá suficiente de usted para ir alrededor de todo. Afortunadamente los vendedores ofrecen herramientas para ayudarle a manejar el hardware hasta su centro de cómputo. Son ejemplos de herramientas de manejo de hardware específicos :

  • Sistemas HP de intuición de administrador
  • AVOCENT DS vista3
  • Centro de administración de datos SUN STOREDGE
  • SCOM (Sistema Central de Administración de de Operaciones) de Microsoft

Las herramientas pueden ayudarle a manejar su hardware es similar en naturaleza, y muchos casos son combinados con herramientas que usted usa para administrar software. Por ejemplo, aunque los conectores (parches) son generalmente basados en el software, ellos son algunas veces usados para asegurar una pieza del hardware. No es usual para el administrador del centro de cómputo poner parches por que otra tarea toma prioridad. Sin embargo, los centro de cómputo ofrecen cientos de necesidades para miles de parches (conexiones) que aseguran mantenimiento y seguridad. Si usted no tiene tiempo de operar el proceso de parches (mantenimiento) en su organización, encuentre una aplicación que automatice el proceso antes un faltante de parche se vuelva el portal mediante el cual algún malicioso hacker (buscador de información) tome su centro de cómputo.

Herramientas de Administración de Software

La demanda es un factor en muchos de los cambios de administración que se llevan a cabo en los centro de cómputo hoy en día. Las regulaciones de las demandas, como aquellas perfiladas en HIPAA y en el Sarbanes-Okley ACT, define como los datos pueden ser manejados dentro de una organización desde una captura a archivo. La administración de herramientas de software hace conocer aquellas regulaciones de demandas, y guardando con los cambios aquellas regulaciones dictadas con mayor facilidad. Por ejemplo, auditorias es un requerimiento frecuente en muchas regulaciones de demandas. Las herramientas de software automatizadas proveen un método viable para la ejecución de funciones viables para obedecer con esas regulaciones, y esto ayuda a apoyar el trayecto de la demanda de auditoria. Una buena automatización de software van más allá de tareas de automatización a la mano. Esto también le dice donde todo esta situado y como todos los elementos del centro de cómputo son gobernados y trabajan juntos. Administración de software por automatización iguala la visibilidad para todas las aplicaciones que corren a través de su centro de cómputo. Otras razones que la automatización hace sentido cuando administra su centro de cómputo de software incluyendo lo siguiente:

  • Mejora la disponibilidad de su personal para otras tareas
  • Reduce el costo de su mantenimiento de su infraestructura existente
  • Mejora la proporción de máquinas dentro de los centros de datos para el número de administradores esto lleva al manejo de aquellas máquinas.
  • Provee accesos remotos, los cuales permiten la consolidación en una fácil seguridad con acceso físico limitado provee un ambiente estructurado que permite a los administradores del sistema completar tareas de una uniforme y ordenada interacción.
  • Provee una forma de navegar todos los comandos Input (potencias) y output (salida de información) para propósitos seguros para operaciones de revisiones de calidad y garantía.
  • Da a su centro de cómputo mayor respuesta con los cuales se manejen las demandas de negocios, no importa cuan complicado parezca.

Por ejemplo, una pieza de regulación de demanda perfilada en el the sarbanes-okley Act es que su centro de cómputo debe proveer una clave de indicadores de ejecución y encajar todos esos indicadores, de todos los lados de la compañía para identificar las áreas que afectan el valor de la compañía. La parte automática de ese proceso hace esto más fácil guardar la trayectoria de esos indicadores y como ellos afectan su organización. Las herramientas de administración de software son ofrecidas por muchos vendedores. Algunos ejemplos incluyen:

  • HP Administración de sistema de intuición; Una solución que provee errores comunes que, configuración, ejecución y aventaja la administración a través de todos los servidores de ventaja HP.
  • HP trabajo de almacenamiento; Herramientas que ayudan al manejo de servidores y switches.
  • Administrador servidor Intel; un juego de herramientas que ayudan al manejo local y centralizan los sistemas.
  • NET LQ SQL administración de servidor; una solución que permite administrar SQL ( Lenguaje de pregunta estructurada) Servidores múltiples todas estas soluciones ofrecen variedad de grupos que controlan diferentes funciones del centro de cómputo en algunos casos estos vendedores pueden proveer toda la administración funcional que un centro de cómputo necesita; en otros casos, especialmente si usted tiene funciones propias dentro de un centro de cómputo, usted necesita combinar soluciones para construir un marco de administración efectivo a medida que usted analice las herramientas de administración de software del centro de cómputo considere estos factores:
  • Estándares basados en las herramientas de administración son esenciales; si las herramientas no están basadas en estándares de industrias aceptables para ser sustituidos por sus actividades de administrador automatice lo mas posible; si usted puede automatizar una función, y su presupuesto se lo permite, hágalo. La automatización esta basada en el tiempo consumido, simple y aun en los procesos esenciales que toman mucho tiempo. Gaste su tiempo en igualdad o más en Factores importantes que no pueden ser automatizados.
  • Documente sus mejores practicas; si usted es nuevo en el manejo del centro de cómputo, usted necesita transmitir en alguien mas sus mejores practicas como se sienta cómodo en su nuevo papel. Sin embargo, sobre el tiempo, usted encontrará que usted se desarrolla o adopta mejores prácticas que son mas eficientes. Documente esas practicas así otros aprenderan de su experiencia.
  • No permita que la tradición le impida moverse más allá, solo por que usted ha hecho algo de una manera específica no significa que debe ser hecho de esa forma. Si usted puede hacerlo más fácil el proceso, más rápido o más eficiente usando la tecnología que lo asiste o no retroceda por la tradición. Usted no puede automatizar cada actividad y usted debería esperar a aprender el proceso más eficiente a través de una cierta cantidad de errores. Use las herramientas habilitadas para usted manejar muchas de estas actividades que conducen a la automatización.

Las herramientas no lo reemplazarán a usted pero estas lo liberarán su tiempo para enfocarlo en cosas mas importantes.

Evaluando las Herramientas de Automatización

En estas actividades usted evaluara las herramientas de administración que pueden hacer su empleo como administrador del centro de cómputo mas fácil de ejecutar. Para esto complete estas actividades , piense en las tareas que usted podría automatizar y luego investigue el software que podría proveerle esta automatización. Usted puede usar los enlaces encontrados en la lección 3 o buscar diferentes herramientas en Internet. Use las siguientes preguntas para desarrollar su investigación:

  • ¿Qué problema la herramienta le ayuda a resolver?
  • ¿Qué capacidades la herramienta necesita para ser efectiva en su ambiente?
  • ¿Qué constraint  la herramienta necesita conocer?
  • ¿Conoce la herramienta todas las compatibilidades para su ambiente (sistemas operativos etc.)?
  • ¿Quién estará usando la herramienta en una base diaria?
  • El entrenamiento necesario para efectivo uso de la herramienta serán unas emisiones ya sea desde una perspectiva de presupuesto o una perspectiva de tiempo.
  • ¿Qué tipo de ROI regreso en emisiones? Será requerida de las herramientas que usted seleccione ¿Con qué rapidez ROI será realizado?
  • Si el presupuesto apoya el costo de la herramienta ¿cuál es la real amenaza de la herramienta (esta es cercana a ser mas que monetaria) por ejemplo que si la herramienta la libera y usted deje de ejecutar cosas mas importantes y una s tareas de costo mas efectivo?
  • Sobre que situaciones la herramienta es la mejor opción .
  • Sobre que situaciones la herramienta no es la mejor opción
  • ¿Qué características diferencia la herramienta de la competencia?
  • ¿Hay algo que a usted no le gusta de la herramienta?

Usando las respuestas de estas preguntas amplie sus elecciones de dos o tres ítems. La mayoría de vendedores permiten un periodo durante el cual usted puede probar su software sin comprar ninguna licencia tómese tiempo para probar el software antes de comprarlo para estar seguro de las funciones son las esperadas.

7.2- Mantenimiento del Hardware

Ciclo de Vida de la Información y de un Producto.

La misma naturaleza de un centro de cómputo manda que el hardware sea un componente esencial, sin embargo, el hardware no es estático. Se vuelve viejo y menos útil con el tiempo y tiene que ser reemplazado. El problema es que el reemplazo de hardware puede afectar el ciclo de vida del centro de cómputo.
Ciclo de vida del producto

Son similares a las etapas en la vida de un producto, desde la introducción a través de la madurez y finalizando en la disminución. En el caso de un centro de cómputo, los ciclos de vida del los servidores y del equipo de almacenamiento afectan los flujos de datos, porque la tecnología cambia rápidamente y se desgasta y debe ser reemplazada ocasionalmente, esto puede ocacionar que el equipo nuevo no pueda acceder a los datos almacenados o en uso. Por lo que se debe tener previsto los cambios en la tecnología.

Administración de cambio

Es el proceso de desarrollar un plan de acercamiento al cambio en la organización, maximizando los esfuerzos colectivos de todas personas involucradas en el cambio, puede ser reactivo (en respuesta a los cambios en el ambiente) o proactivo (para evitar una situación o lograr una meta deseada) . Se puede conducir de manera: semestralmente, anualmente, o según se necesite. La administración de cambio es una estrategia que le ayuda a prepararse para avances tecnológicos que afectarán su centro de cómputo en el futuro y se puede alcanzar desde varios ángulos, aplicándolos en varios procesos organizativos, entre los más comunes están:

  1. El desarrollo organizativo.
  2. La Administración de tecnología de la información.
  3. Administración Estratégica.
  4. Administración de proceso.
  5. Administración de Conformidad (asegurando la conformidad con políticas de seguridad de información, los estándares, las leyes y las regulaciones) .

Para ser efectiva, la administración de cambio debe ser multidisciplinaria, tocando todos los aspectos de la organización, sin embargo, en su núcleo, el cambio se debe de dar en el personal, por consiguiente la Administración de cambio en la tecnología que afecta al centro de cómputo requiere personas enfocada en alcanzarla.
Uno de los primeros pasos para controlar el ciclo de vida del centro de cómputo es decidir cómo debe ser conducida la administración de cambio, por ejemplo:

  • ¿Quién es el encargado de mantener la tecnología dentro de su organización?
  • ¿Qué ocurre si un departamento necesita espacio adicional de almacenamiento y un equipo nuevo debe comprarse?
  • ¿Quién maneja esa adquisición y cómo se integra al centro de cómputo existente?

El siguiente paso es la educación, eduque a sus usuarios acerca de la administración de cambio y las políticas que usted pone en práctica para tratar los ciclos de vida de la información, por ejemplo, si una política dice que: los datos textuales deben ser almacenados en formato de texto plano, se debería tener una política complementaria que guié cómo los  documentos son formateados para la conversión. También debería entrenar a sus empleados en el formateo correcto. Si los usuarios necesitan acceder a los archivos de datos, usted necesita una política que gobierne cómo los datos pueden ser accedidos, y cómo los datos están estructurados para simplificar acceso.
La conformidad también juega un papel fuerte en los ciclos de vida de producto y de información. Muchas de las reglas afectan su centro de cómputo colocando lineamientos estrictos y específicos en cómo deberían ser los datos maniobrados, inclusivos cuando y cómo usted puede deshacerse de eso. Recuerde estas reglas como usted tenga previsto sus ciclos de vida del producto y administración. No hay método que le fiará acceso futuro para sus datos debido a los cambios de tecnología. Sin embargo, con unas políticas y plan firme en práctica y un personal educado, los cambios de tecnología tendrán un impacto inferior.

Respaldo y Recuperación de Datos.

Porque los datos son tan importantes para una mayoría de organizaciones, usted debe considerar qué ocurriría a los datos en caso de un desastre, ya sea de tipo natural, tecnológico, u otro. La mayoría de Responsables saben que usted debería conservar copias de respaldo de datos, y debería poder recobrar datos de esos respaldos en una pequeña cantidad de tiempo. Llega a la parte de apoyo con la que la mayoría de organizaciones tienen dificultad. En general, un respaldo es una foto de su información existente. Usted debería crear respaldos muy a menudo ya que si usted pierde sus datos existentes los puede reemplazar con los datos de apoyo con una cantidad mínima de reconstrucción.
Esa es una tarea difícil para llenar. Como medida, la mayoría de organizaciones crean respaldos una o más veces a la semana. Algunas organizaciones recurren a respaldos una vez al mes, o aun menos frecuentemente, lo cual puede ser peligroso para el negocio. Si usted respalda datos una vez al mes – en el último día de todos los meses – y su servidor le falla el 15, ese es valor de 15 días de información que se va y debe ser reconstruido. En el mejor de los panoramas, los respaldos de datos nuevos y críticos son realizados constantemente, y otros datos son respaldados una vez al día. Si sus datos se pierden, debería requerirse menos de dos horas para reconstruir y volverse operacional, lo cual es aceptable en la mayoría de los casos. Para lograr el mejor de los panoramas, usted puede tener que hacer una cantidad considerable de planificación.
Desarrollar un plan de respaldo y la recuperación que trabaje para su organización comienza con una valoración de su capacidades del respaldo actual y de recuperación. Una vez que usted ha completado la valoración, usted puede comenzar a planificar las metas y los objetivos que guían su respaldo y la recuperación planificada.
En la etapa de planificación, usted debería considerar los siguientes elementos:

  • ¿Cuáles son las necesidades de su organización?
  • ¿Cuáles son las expectativas administrativas de respaldo y la recuperación?
  • ¿Qué personal se encarga del respaldo y proceso de recuperación?
  • ¿Cómo afectan las reglas de conformidad su proceso de respaldo y recuperación?

Adicionalmente, ocúpese del proceso real de respaldar datos, como sigue:

  • ¿Cómo realizará usted el respaldo?
  • ¿Cuándo tendrá lugar?
  • ¿Cómo almacenaran los datos de respaldo y dónde?
  • ¿La clase de rastro de auditoría necesita usted para satisfacer reglas de conformidad?

Si es posible, almacene datos de apoyo fuera del local. De hecho, su mejor plan es tener al menos dos copias de sus datos de respaldo. Una copia restante en una posición segura en el local para la recuperación rápida de datos perdidos. La otra copia está en una posición segura fuera del local en caso que la copia en el sitio se destruya.
Una vez el por qué y cómo de su plan de apoyo es dirigido, empieza el proceso de pre-implementación de apoyo. Para que respaldos sean efectivos, todo el mundo debe saber cómo surte efecto el proceso y el propósito de respaldos. Usted puede lograr esta meta a través de la educación y entrenamiento. Después de que el proceso de pre-implementación este completado, empiece el proceso de apoyo real. Es posible que usted respalde sus datos todos los días para cinco años y nunca lo necesitará. Sin embargo, en el caso del fracaso del equipo, un desastre natural, o una violación de seguridad, la habilidad para recobrar sus datos de prisa ahorrará el dinero de la compañía y retendrá a sus clientes. Después de que el proceso de apoyo esté en marcha, empiece el proceso duro. La experimentación es clave para asegurar que sus respaldos no son sólo efectivos, sino que también eficientes, y esos datos echados para atrás pueden ser recobrados. Vale más saber si un acontecimiento existe antes de que usted necesite recobrar datos, así que pruebe sus respaldos regularmente.
Otra razón para tener un plan sólido de recuperación y respaldo es la migración de datos, lo cual requiere datos en movimiento de un sitio a otro. Un respaldo y recuperación tienen previstas asistencias en esta migración, hacerla más suave y asegurar que las ráfagas técnicas en el proceso de migración no lo dejen varado. Usted aprenderá más acerca de la migración de datos en la siguiente sección como usted vaya actualizando, mejorando, y reemplazando equipo en su centro de cómputo.

El respaldo normal

Hay una razón que el respaldo de la cinta es tan popular: Es costeable, fidedigno, dimensionable para negocios de cualquier tamaño, y puede ser programado para programar un respaldo desatendido, haciéndole la elección ideal para sus centros de datos.

Mejoramiento y Reemplazo de Software y Hardware.

Es el reto de cada Responsable del centro de cómputo: la actualización, mejorar programas, o reemplazo de hardware y software existente en los centros de datos. No obstante, por el paso rápido en los cambios de tecnología, es una parte esencial de la administración de un centro de cómputo. Hay muchas razones que usted puede encontrar para cambiar la mitad del software hardware en su centro de cómputo. Por ejemplo, un parche de seguridad le podría obligar a actualizar uno o más servidores en su centro de cómputo, o un switch caido puede necesitar reemplazo. Cualquier cosa puede ocurrir, y en algún punto lo hará. La mejor forma para prepararse para estos tipos de problemas es hacer planes. Cree un plan que esboze qué tanta actualización, mejoramiento, y reemplazo del software y el hardware será maniobrado, y por quién. El “Quien” es siempre imprescindible para asegurar que tareas no son dejadas de hacer porque todo el mundo pensó que alguien más lo haria.
Algunos de los elementos que su plan debería incluir son los siguientes:

Presupuesto:

 Determine un presupuesto para mejorar o reemplazar software y  hardware. Tenga previsto período de inactividad por fallas, si es necesario.

Período de Inactividad por Fallas (tiempo fuera):

 Decida cuánto es necesario el período de inactividad por fallas para completar una actualización o mejorar. Usted tal vez puede encaminar peticiones diferentemente hasta que el proceso es completado para evitar período de inactividad por fallas enteramente. Si el período de inactividad por fallas es menester, decida cuándo debería ser programado el período de inactividad por fallas. En general, es mejor tener previsto el período de inactividad por fallas para las horas de uso mínimo.

Planificación:

 Realice software y actualizaciones operativas de sistema regularmente, al menos una vez al mes. El software y los programas mejorados del equipo dependen de sus ciclos de vida respectivos; Sin embargo, una regla general es que el equipo necesita ser mejorado cada tres o cinco años.

Revisión:

 Aun con un plan firme en práctica, usted debería establecer un horario para revisar todas sus políticas para actualizar, la promoción, y reemplazo de software y hardware. Todo cambia con el paso del tiempo. Para que su centro de cómputo continúe dirigiendo en una manera efectiva y eficiente, una revisión periódica – cada seis o 12 meses – es imprescindible para asegurar que el plan que usted estableció aun concuerda con las necesidades de su centro de cómputo.
En una manera efectiva y eficiente, un repaso periódico cada 6 y 12 meses – es esencial para asegurar que el plan que usted establezca sea reconocido que su centro de cómputo necesita para el manejo de planificación. Usted debe tener de acuerdo con todo los departamentos. Por ejemplo si usted quiere ejecutar un tramo de actualización el ultimo viernes de cada mes entre la 1 y las 3 A.M. Pero el departamento de contaduría hace un reporte mensual durante esas horas, la actualización y el reporte podrían entrar en conflicto una con otra. Por lo consiguiente, trabajar con personal en todos los departamentos para asegurar que las actividades del centro de cómputo no impida su productividad. Esto le ayudara a prevenir conflictos, y ganar el apoyo para los cambos futuros.
Finalmente, comunique sus planes para actualizar y remplazar la parte lógica y física de la PC. Dese cuenta que debería salir bien el avance de muchas actividades para dar otros departamentos dentro de su organización, o en su centro de cómputo de clientes, tiempo para revisar sus horarios, si es necesario.
La misma verdad para regular horarios de mantenimiento aun si usted tiene un horario regular en el cual usted ejecute una copia de respaldo y otros ejercicios de mantenimiento que los usuarios podrían olvidar. Si los ejercicios de mantenimiento afectaran la finalización de la experiencia de los usuarios de cómputo. Este seguro de recordar a sus usuarios cuando usted ejecutara estas funciones así ellas no serán sorprendidas moviéndose
Los ciclos de producto de información, la copia de respaldo y recuperación y actualización y reemplazos son todos esenciales para guardar su centro de operación de datos. En esta lección usted aprenderá acerca de esos tópicos y como la planificación puede minimizar esos problemas.

Creando y Actualizando la Calendarización de Mantenimiento

Uno de los aspectos que mas debe de supervisar del manejo de el centro de cómputo el trabajo del actualizador y el equipo de reparación y software. La mayoría de los centros de administración están muy ocupados para ejecutar tareas de manera oportuna. Como resultado actualizaciones reparaciones son usualmente quitadas,(retrasadas) dejando la organización vulnerable y no funcionando efectivamente estas actividades, usted creara un horario para actualización de equipo  y software y mantenimiento de software en su centro de cómputo.

  • Determine donde su equipo esta en su ciclo de vida
  • Determina donde su software esta en su ciclo de vida
  •  Responda las siguientes preguntas:
  • ¿Cuán frecuente la actualización necesita llevarse acabo?
  • ¿Cuán frecuente debe de dar mantenimiento?
  • ¿Cómo afecta la actualización o mantenimiento otros departamentos dentro de       la organización?
  • ¿Cómo puede minimizar estos efectos? 
  • ¿Quién necesita estar prevenido de estas actualizaciones o reparaciones?
  • ¿Quién es el responsable de ejecutar y monitorear las actualizaciones y mantenimientos?
  • ¿Qué penalidades deben de ser impuestas si las actualizaciones o reparaciones no sean ejecutadas en el horario previsto?
  • ¿Tiene usted un sistema de prevención para asegurarse que estas actividades sean completadas de manera efectiva?
  • ¿Quién es el responsable de comunicar y entrenar a los usuarios acerca de las actualizaciones y mantenimiento?
  • Desarrolle un horario para actualización de equipo y software, y mantenimiento de software y sistemas se operación

ISO/IEC 17799 http://es.wikipedia.org/wiki/Iso_17799

A %d blogueros les gusta esto: