viernes, 13 de noviembre de 2009

Personal Responsable de Seguridad & Aplicacion del sistema de seguridad

Objetivo. Conocer las medidas de seguridad y el procedimiento para llevarlas acabo u aplicarlas en un cento de computo.








Cómo implementar una política de seguridad




Regularmmente, la seguridad en los sistemas esta dirigida a garantizar el derecho a acceder a datos y recursos de un sistema configurando los mecanismos de autentificación y control, son los que aseguran que los usuarios de estos recursos sólo posean los derechos que se les han dado.
Los mecanismos de seguridad pueden causar problemas a los usuarios. Ya que las instrucciones y las reglas se vuelven cada vez más complicadas a medida que la red crece. La seguridad debe estudiarse de modo que no evite que los usuarios puedan utilizar los sistemas de información en forma segura.



Por esto, considero que uno de los primeros pasos que debe realizar una compañía seria definir una política de seguridad en función a las siguientes cuatro etapas:


• Identificar las necesidades de seguridad y los riesgos que desafia la compañía así como sus posibles consecuencias
• Brindar una apariencia general de las reglas y los procedimientos que deben realizarse para afrontar los riesgos identificados en los diferentes departamentos de la organización
• Controlar y detectar las debilidades del sistema de información, y mantenerse informado acerca de los errores en las aplicaciones y en los materiales que se usan
• Definir las acciones a realizar y las personas a contactar en caso de detectar una amenaza



La política de seguridad comprende todas las reglas de seguridad planea una organización. Por lo cual, la administración de la organización debe encargarse de especificarla, ya que afecta a todos los usuarios del sistema.
La funcion de un administrador es el de asegurar que los recursos y los derechos de acceso a estos recursos coincidan con la política de seguridad definida por la organización.
El/la administrador/a es la única persona que conoce perfectamente el sistema, este deberá proporcionar información acerca de la seguridad a sus superiores, para asi poder aconsejar a quienes toman las decisiones con respecto a las estrategias que deben realizarse. La seguridad de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concientización. Ya que la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:




• Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
• Un procedimiento para administrar las actualizaciones
• Una estrategia de realización de copias de seguridad (backup) planificada adecuadamente
• Un plan de recuperación luego de un incidente
• Un sistema documentado actualizado




Las causas de inseguridad




Generalmente, la inseguridad se puede dividir en dos categorías:




• Un estado de inseguridad activo; es decir, la falta de conocimiento del usuario acerca de las funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita)
• Un estado de inseguridad pasivo; es decir, la falta de conocimiento de las medidas de seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan)




Etapa de definición



La etapa de definición de las necesidades de seguridad, considero que es el primer paso para la creación de una política de seguridad.
Debido a que tiene como objetivo determinar las necesidades de una organización mediante la redacción de un inventario del sistema de información para luego estudiar los diferentes riesgos y las distintas amenazas que representan el echo de implementar una política de seguridad apropiada y adecuada para llevar a cabo una buena planeación.




La etapa de definición se compone entonces de tres etapas:



• Identificación de las necesidades
• Análisis de los riesgos
• Definición de la política de seguridad




Identificación de las necesidades




La etapa de identificación de las necesidades consiste en realizar en primer lugar un inventario del sistema de información:

• Personas y funciones
• Materiales, servidores y los servicios que éstos brindan
• Esquematización de la red (esquema de direcciones, topologías físicas y lógicas, etc.)
• Lista de los nombres de dominio de la empresa.
• Infraestructura de la comunicación (routers, conmutadores, etc.)
• Información delicada




Análisis de los riesgos




Este análisis de riesgos consiste en relevar los diferentes riesgos que se advierten, estimar sus probabilidades y estudiar su impacto.
Considero que la mejor forma de analizar el impacto de una amenaza seria calculando el costo de los daños que este podria causarm, (por ejemplo, un ataque a un servidor o un daño de los datos de vital importancia de la compañía).
Desde este punto sería interesante diseñar una tabla de riesgos y de sus potencialidades (es decir, la probabilidad de que existan) dándoles niveles escalonados de acuerdo con una escala de que tan grave o minimo sea el daño este debe definirse.

Por ejemplo:
• Injustificable: la amenaza es ilogica
• Débil: la amenaza tiene pocas probabilidades de existir
• Moderada: la amenaza es real
• Alta: la amenaza tiene muchas probabilidades de existir



Cómo definir la política de seguridad




La política de seguridad es un documento de información en el cual se definen los objetivos de seguridad y las medidas que deben tomarse para tener la confianza de alcanzar nuestros objetivos que son los de protejer tanto a nuestro equipo como a nuestros usuarios.
La política de seguridad consta en llevar acabo una serie de reglas, procedimientos y prácticas buenas que nos aseguren un nivel de seguridad que esté a la altura de las necesidades de la organización.
Este documento se debe mostrar como una planeación previa , desde los usuarios hasta el rango más alto de la jerarquía, para ser aceptado por todos. Una vez escrita la política de seguridad, se deben hacer saber a los empleados las cláusulas(politicas) de la organización que los involucra para que esta sea llevada a cabo y cumplida por todos.



Etapa de implementación




Esta consiste en establecer los métodos y mecanismos creados para que el sistema de información sea seguro, y aplicar las reglas definidas en la política de seguridad.
Los principales mecanismos que se usan para asegurar una red contra intrusiones son los sistemas firewall . Sin embargo, este tipo de mecanismos no protege la confidencialidad de los datos que circulan en la red.
En la mayoría de los casos, es necesario usar algoritmos criptográficos, los cuales garantizan la confidencialidad del intercambio.
La configuración de una red virtual privada (VPN, por sus siglas en inglés) puede proporcionar seguridad adicional, ya que toda la información se halla codificada.




Práctica del plan contra desastres



De la misma forma en que los simulacros de incendio son fundamentales para repasar un plan de escape en caso de incendio, la práctica del plan contra desastres permite a una organización confirmar que el plan funciona y garantizar que todas las personas involucradas sepan qué hacer. Esta consiste
en que debemos tomar en cuenta incendios, inundaciones, sismos, ya que esto afectaria a nuestra instalación. Por lo que es preciso que instalemos redes de protección en todo el sistema de cañería al interior y al exterior, detectores y extintores de incendio, monitores y alarmas efectivas.
Control de Inundaciones
El daño y los riesgo que puede causar una inundación aun cuando las instalaciones no se encuentren cerca de un río o una costa, por lo regular son causadas por las fuertes lluvias, también pueden ser provocadas por la necesidad de apagar un incendio en un piso superior.
*Las computadoras, máquinas y equipo en general no se deben colocar en sótano o en áreas donde el riesgo de inundación sea evidente
* Las instalaciones de cómputo y equipo no debe ponerse por debajo de las tuberías
* Construir un techo impermeable para evitar el paso del agua desde un nivel superior
* Acondicionar las puertas para contener el agua que bajase por las escaleras.



Equipos Contra Incendio.



El equipo contra incendio puede variar dependiendo del tipo de fuego que se produzca. Diferentes tipos:

■Portátil (menos de 30kg) : polvo químico seco o bióxido de carbono
■Móvil (más de 30kg): químico seco o bióxido de carbono
■Sistemas Fijos
■Redes hidráulicas: formadas por una bomba, depósito de agua e hidrantes. El agente extintor puede ser: agua o espuma.
■Manuales
■Automático: sistemas que funcionan con detectores y por sí solos disparan el agente extinguidor. Los agentes pueden ser: agua, bióxido de carbono.


Se debe aclarar que los equipos contra incendios portátiles y móviles son utilizados para combatir fuego que apenas se inicia y es muy fácil de suprimir.


Inspección de equipos contra incendio


Esta sólo puede ser efectiva cuando se tiene el equipo adecuado; ya que es necesario que todo el equipo contra incendio se encuentre siempre en óptimas condiciones de funcionamiento.

Cuando se realiza una revisión del equipo portátil o móvil se debe inspeccionar lo siguiente:

1.Ubicación : el sitio donde se encuentre el extintor debe ser accesible y estar cerca del personal que lo tendrá que utilizar. Así mismo debe tener un número asignado.

2.Tipo : Según el agente extinguidor, si es de polvo Bióxido Carbono y si corresponde al tipo de fuego que se produciría en esa zona. Clase C para incendios eléctricos.

3.Capacidad : de qué capacidad es el extintor y si esa capacidad es la adecuada a ese tipo de riesgo.

4.Carga : los extintores de polvo cuentan con un manómetro que indica si se encuentra presurizados o no. Los extintores de Bióxido deben pesarse si están llenos o vacíos. Verificarlos cada 6 meses, si la presión es baja recargar el extintor.

5.Vencimiento : la carga de todos los extintores caduca al año, aun cuando no se hayan disparado y el manómetro indique presión normal.

6.Señalamiento : debe ser claramente visible desde todos los ángulos

7.Altura : La parte más alta del extintor debe estar máximo a 1.50 mts. del piso.

8.Acceso : no debe tener estar obstruido el acceso al extintor.

9.Etiqueta : el extintor debe tener la etiqueta de instrucciones de uso, el tipo de extintor y la fecha de recarga.

10.Seguro : en la manija debe estar el seguro y el alambre de cobre con sello metálico que indica que no se ha utilizado.

11.Manguera : la manguera debe estar en su sitio y no tener grietas

12.Pintura : el cilindro debe estar bien pintado.

13.Prueba hidrostática: esta prueba realiza cada 5 años; el cilindro debe mostrar números grabados de la fecha de la última prueba. [1]

14.Instalar detectores de humos

15.Adquirir un seguro contra incendios.

16.Hacer simulacros de incendios para verificar que cada persona conoce sus responsabilidades.

17.Reducir las áreas para fumadores a zonas con buena ventilación sin elementos inflamables como cortinas o alfombras.

18.Mantener un inventario de todos los elementos físicos (servidores, microcomputadores, impresores, etc.) Necesarios cuando las casas aseguradoras hacen el valúo de los daños

19.Crear copias de seguridad de la información más importante y almacenarlas en otro lugar.


Control de acceso de las Personas




■Identificación positiva del personal que entra o sale del área bajo un estricto control.

■Asegurar que durante la noche, el fin de semana, los descansos y cambios de turnos sean tan estrictos como durante el día.

■Las terceras personas se incluye al personal de mantenimiento del aire acondicionado los visitantes y el personal de limpieza. Éstos y cualquier otro personal ajeno a la instalación deben ser identificados plenamente así como controlados y vigilados en sus actividades durante el acceso.

■Todas las personas que entren a las instalaciones firmen un registro que indique la hora de entrada, el motivo por el que entran, la persona a la que visitan y la hora de salida.

■Colocar puertas con chapas de control electrónico que pueden funcionar al teclearse un código, al disponer de una tarjeta con código magnético, o tener implementado algún dispositivo para el reconocimiento de alguna característica física

■La construcción de puertas y ventanas deben recibir especial atención para garantizar su seguridad.


■Si es necesario colocar entradas de dobles puertas. dejando un área donde la persona queda atrapada y queda completamente expuesta para ser captada por el sistema de circuito cerrado, detector de metales y fuera del acceso a las instalaciones. Una segunda puerta debe ser abierta para entrar a las instalaciones. Ejemplo las agencias de Scotiabank

■La utilización de dispositivos de circuito cerrado de televisión, tales como monitores, cámaras y sistemas de intercomunicación conectados a un panel de control manejado por guardias de seguridad. Estos dispositivos permiten controlar áreas grandes, concentrando la vigilancia en los puntos de entrada y salida principalmente.

■Todas las áreas deben estar protegidas contra la introducción física. Las alarmas contra robos, las armaduras y el blindaje se deben usar hasta donde sea posible.




Extintor adecuado para un centro de computo



Extintores de bioxido de carbono

El CO2 es un agente limpio, se recomienda para proteger equipo delicado eléctrico o electrónico, fuegos tipo C.
Disponible en cuatro tamaños de 5, 10, 15 y 20 libras.
Válvulas de cobre chapeadas en cromo con manija y palanca de acero inoxidable.
Cilindro de aluminio de peso liviano y alto impacto moldeado por extrusión para óptima resistencia.
Recubrimiento exterior epóxico para resistir temperaturas extremas, ambientes sucios y degradación ultravioleta.
Construcción sin hierro.


ORGANIGRAMA DE UN CENTRO DE COMPUTO


Conclusiones. Esta clase de materia es la q nos prepara para la competencia laboral.Aprendi como llevar aplica las medididas de seguridad, asi como que factores tener en cuanta para relizar las politicas, la importancia de las medidas de seguridad, politicas para un mejor desempeño tanto de usuarios como del sistema, asi se lograra un optimo funcionamiento de nuestro centro de computo.





http://chikititita.obolog.com/seguridad-centros-computo-90664



http://www.monografias.com/trabajos12/fichagr/fichagr.shtml



http://es.kioskea.net/contents/secu/securite-besoins.php3


Publicado por en

4 comentarios:

  1. Granados López Orquídea Eunice15 de noviembre de 2009, 22:27

    OlA
    vAniiA
    PuEs eStA bIIe tU eNtRaDa PeRo
    eSfUeRzAtE E trATaR D DaR A eNtEDeR eL
    tEmA EsTa
    bIIe
    pErO fAlTa qE Le dDiQeS MAs tIIeMpo
    ZaZ!"!
    cAlIIfIIqAcIIoN: 7.8

    ResponderEliminar
  2. administracion de centros de computo grupo:41716 de noviembre de 2009, 18:44

    hola vania
    creo que tienes muchisima informacion pero ojo no nadamas es copiar y pegar trata de poner la informacion con lo que entiendes ok mi calif es 8

    ResponderEliminar
  3. aurora juarez16 de noviembre de 2009, 21:54

    hola

    bueno nena me parecio muy buena tu informacion pero se ve que solo copeas y pegas y te falta justificar ok..

    yo te pongo 7

    ResponderEliminar
  4. alberto ambriz rios27 de noviembre de 2009, 10:25

    nininini


    esto es puro copy n paste

    cal::: 5 :(

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)