Seguridad de la Información. Modulo 1 - Concepto
|
|
- Héctor Rivas Palma
- hace 8 años
- Vistas:
Transcripción
1 Seguridad de la Información Modulo 1 - Concepto Está cada vez más difícil mantener en seguridad las informaciones referentes a empresas o personas. El descuido en esta área puede causar prejuicios significativos, y muchas veces irreversibles. Pero felizmente la mayor parte de las empresas está consciente del peligro y estamos viviendo un momento en que prácticamente todas ellas mantienen alguna política de seguridad. La Seguridad de la Información se refiere a la protección requerida para proteger las informaciones de empresas o de personas, o sea, el concepto se aplica tanto a las informaciones corporativas cuanto a las personales. Se entiende por información todo y cualquier contenido o dato que tenga valor para alguna organización o persona. Ella puede estar guardada para uso restricto o expuesto al público para consulta o adquisición. Pueden ser establecidas métricas para definición del nivel de seguridad existente y requerida. De esta forma, son establecidas las bases para análisis de la mejoría de la situación de seguridad existente. La seguridad de una determinada información puede ser afectada por factores de comportamientos y de uso de quien se utiliza de ella, por el ambiente o infraestructura que la rodea o por personas mal intencionadas que tienen el objetivo de hurtar, destruir o modificar tal información. Propiedades Las principales propiedades que orientan el análisis, la planificación y la implementación de una política de seguridad son confidencialidad, integridad y disponibilidad. A la medida que se desarrolla el uso de transacciones comerciales en todo el mundo, por intermedio de redes electrónicas públicas o privadas, otras propiedades son acrecentadas a las primeras, como legitimidad y autenticidad. Confidencialidad Propiedad que limita el acceso a la información tan solamente a las entidades legítimas, o sea, aquellas autorizadas por el propietario de la información. Integridad Propiedad que garante que la información manipulada mantenga todas las características originales establecidas por el propietario de la información, incluyendo control de mudanzas y garantía de su ciclo de vida (nacimiento, manutención y destruición). Disponibilidad Propiedad que garante que la información esté siempre disponible para el uso legítimo, o sea, por aquellos usuarios autorizados por el propietario de la información
2 En todas las fases de la evolución corporativa, es un hecho que las transacciones de toda la cadena de producción pasando por los proveedores, fabricantes, distribuidores y consumidores siempre tuvieron la información como una base fundamental de relacionamiento y coexistencia. Lo que acontece es que hoy, sea como principio para cambio de mercadorías, secretos estratégicos, reglas de mercado, datos operacionales, o sea simplemente como resultado de pesquisas, la información, aliada a la creciente complejidad del mercado, la fuerte competición y la velocidad impuesta por la modernización de las relaciones corporativas, elevó su puesto en la pirámide estratégica, tornándose factor vital para su suceso o fracaso. Protección de la información Entre las inúmeras tendencias que surgieron en tecnología, pocas asumieron el status de imprescindible. Al hacer una comparación, todavía, sabiendo que los sistemas de ERP y CRM sean de vital importancia para la rutina corporativa, o que soluciones de Business Intelligence y Balanced Scorecard permitan a los negocios alcanzaren niveles envidiables de lucro, la Seguridad de la Información es la única que no puede faltar en ninguna hipótesis. Es ella que protege el bien mayor de las compañías, o sea, la información estratégica. Para entender la importancia de la protección de las informaciones, basta pensar en el prejuicio que causaría para los negocios la obtención de estos datos por la competencia o por alguien mal-intencionado. Actualmente, el período es de revisión de procesos y de evaluación de soluciones que protejan cada vez más las informaciones corporativas, sin impactar fuertemente en la productividad. De hecho es que hoy la seguridad es considerada estratégica y ya encabeza la lista de preocupaciones de grandes empresas. La Seguridad dejo de ser sometida a los dominios de la TI para se tornar una nueva área que responde al vice-presidente o al gestor de operaciones, ganando presupuesto propio, salas específicas y, claro, plazos y demandas a ser atendidas. Uno de los mayores dilemas de la Seguridad de la Información está relacionado con la protección de los activos y la comprensión de la amplitud de este concepto dentro de la empresa. La idea de activo corporativo envuelve también una cuestión de difícil medición: la marca de la compañía y la percepción que ella despierta en el mercado. Un grande escándalo, una falla latente o una brecha descuidada pueden sepultar una compañía para siempre, mismo que ella hubiera tenido mucho suceso hasta entonces. Otra cuestión relacionada con la Seguridad de la Información, que también causa preocupación, es que se trata de una inversión sin fin. Pues a la medida que ella va se fortaleciendo, los ataques cada vez más van se sofisticando también
3 Un camino sin vuelta No hay como volver atrás. Cualquier compañía, desde la pequeña empresa con dos o tres PCs, hasta una compleja organización con actuación en diversos países, sabe que en mayor o menor grado la tecnología es esencial para su negocio. Y es justamente por ser vital, que este activo no palpable trae consigo una necesidad básica: seguridad. El desafío no es tan simple. Por la propia naturaleza, mismo que muchas empresas de TI estén se esforzando para mudar esta realidad, la seguridad de la información es reactiva. Esto significa que, tradicionalmente, primero se verifica la existencia de un problema, como virus, fraude, invasión, para después encontrar su solución, vacuna, investigación, corrección de vulnerabilidad. Para muchos, este escenario puede causar pánico. Al final, primero se eleva la información al nivel más crítico de la empresa, tornándola pieza principal del juego. Enseguida, se ve que este dato, por la forma y proceso con que es disponible, corre el riesgo de ser corrompido, alterado o robado por un joven de 16 años, que resolvió testar programas hackers disponibles en la propia Internet o, en casos peores, usurpado por funcionarios y pasado para la competencia o todavía simplemente causando daños financieros a la empresa. Pero ya existen prácticas y soluciones tecnológicas suficientemente eficientes para comprobar que la digitalización de las transacciones corporativas no transformó los negocios en una tierra de nadie. Mismo que reconozcan que afirmar ser 100% seguro es algo precipitado y arriesgado, especialistas de seguridad apuntan que educación profesional, procesos y tecnología forman un tripe resistente en el combate al crimen electrónico. Pesquisas muestran que aumentan las inversiones en la protección de los datos. La seguridad es el mayor desafío de las soluciones en TI para el sistema financiero. No solo de software Otro fenómeno que es observado es la concentración de los servicios de seguridad por el grupo de los diez mayores integradores mundiales. Esto refleja la necesidad prioritaria de las grandes corporaciones y gobiernos de se mover en dirección a proveedores sólidos, que puedan atender a las demandas con flexibilidad, inteligencia y rapidez, elevando la importancia de los factores de ética profesional, confiabilidad y independencia, se posicionando para el gestor como el security advisor corporativo. Pero, las experiencias corporativas demuestran que no es solo de software que se construye una muralla resistente a la creciente variedad de amenazas, fallas y riesgos
4 Es necesaria que las acciones corporativas sean direccionadas por un Plano Director de Seguridad, de forma que puedan estar a la frente de determinadas situaciones de emergencia y riesgo, una postura más pro-activa que reactiva. Este plano será responsable por verificar se la corporación está destinando verba suficiente para mantener el nivel de seguridad alineado con las expectativas de negocios. También apuntará se las vulnerabilidades son de hecho corregidas o si hay una falsa sensación de seguridad. Es muy común haber gran disparidad entre el escenario que se piensa tener y aquello que realmente él es. De forma más amplia, este plano debe considerar cuestiones estratégicas, tácticas y operacionales de negocios, atándolas a tres tipos básicos de riesgo: humano, tecnológico y físico. En este curso será abordada cada una de estas variables, desde los tipos más tradicionales de virus que se diseminan por la red, hasta las puertas más vulnerables de la empresa, pasando por el acompañamiento de su red, sus profesionales, soluciones de TI, gestión y políticas de seguridad
5 Modulo 2 - Tecnologías El mayor desafío de la industria mundial de software de seguridad es proveer soluciones en el espacio de tiempo más corto posible, a partir de la descubierta de determinada amenaza o problema. Pero ya fue el tiempo en que todo se resumía a encontrar un antivirus eficaz, que fuera capaz de detener un determinado virus. Hoy en día, los virus de computador no son los únicos villanos del crimen digital. No se trata más de apenas proteger la estación de trabajo del funcionario. La compañía debe garantir que el correo electrónico enviado de este mismo computador pasará por el servidor de la empresa, seguirá por la Internet (o, en ciertos casos, por una red privada virtual), llegará a un otro servidor, que transmitirá el mensaje al destinatario con la garantía de que se trata de un contenido totalmente protegido, sin cargar cualquier truco o sorpresa inesperada. Pero, esto es apenas la punta del iceberg. La Seguridad de la Información debe estar atada a un amplio Programa de Seguridad de la Información, que se constituye de por lo menos tres fases principales: 1) El primer paso consiste en realizar el levantamiento y la clasificación de los activos de la empresa. 2) Concluida esta fase, es preciso avaluar el grado de riesgo y de vulnerabilidad de estos activos, testar sus fallas y definir lo que puede ser hecho para perfeccionar su seguridad. 3) La infraestructura de tecnologías es la tercera fase de esta planificación, envolviendo desde la adquisición de herramientas, hasta la configuración y instalación de soluciones, creación de proyectos específicos y recomendaciones de uso. Infraestructura Presentar un organograma consolidado de las herramientas y soluciones que comprenden la seguridad de una red corporativa es algo, en cierto sentido, hasta arriesgado, considerando la velocidad con que se crean nuevos productos y con que se descubren nuevos tipos de amenazas. Entretanto, algunas aplicaciones ya hacen parte de la rutina y de la evolución tecnológica de muchas organizaciones que, por la naturaleza de sus negocios, comprendieron cuan críticas son sus operaciones
6 Algunas de esas aplicaciones son: - Antivirus: Realiza la barredura de archivos maliciosos diseminados por la Internet o correo electrónico. - Equilibro de carga: Herramientas relacionadas a la capacidad de operar de cada servidor de la empresa. Vale recordar que uno de los papeles de la seguridad corporativa es garantir la disponibilidad de la información, algo que puede ser comprometido si no hubiera acompañamiento preciso de la capacidad de procesamiento de la empresa. - Firewall: Actúa como una barrera y cumple la función de controlar los accesos. Básicamente, el firewall es un software, pero también puede incorporar un hardware especializado. - Sistema Detector de Intrusión (IDS, de la sigla en inglés): Como complemento del firewall, el IDS tiene como base datos dinámicos para realizar su barredura, como por ejemplo, paquetes de datos con comportamiento sospecho, códigos de ataque etc. - Barredura de vulnerabilidades: Productos que permiten a la corporación realizar verificaciones regulares en determinados componentes de su red como, por ejemplo, servidores y rotadores. - Red Virtual Privada (VPN, de la sigla en inglés): Una de las alternativas más adoptadas por las empresas en la actualidad, las VPNs son canales en forma de túnel, cerrados, utilizados para el tránsito de datos criptográficos entre divisiones de una misma compañía e asociados de negocios. - Criptografía: Utilizada para garantir la confidencialidad de las informaciones. - Autenticación: Proceso de identificación de personas, para tener disponible el acceso. Tiene como base algo que el individuo conozca (una seña, por ejemplo), algo que él tenga (dispositivos como tokens, tarjetas inteligentes, certificados digitales); y algo que él sea (lectura de iris, líneas de las manos). - Integradores: Permiten centralizar la administración de diferentes tecnologías que protegen las operaciones de la compañía. Más que una solución, se trata de un concepto. - Sistemas antispam: Eliminan la mayoría de los s no solicitados. - Software de backup: Son programas para realizar copias de los datos para que, en alguna situación de perdida, quiebra de equipamientos o incidentes inusitados, la empresa pueda recuperarlos
7 Por la complejidad de cada una de las etapas comprendidas en un proyecto de seguridad, especialistas recomiendan que la empresa desarrolle la implementación con base en proyectos independientes. Falsa sensación de seguridad El mayor peligro para una empresa, en relación a la protección de sus datos, es la falsa sensación de seguridad. Pues, peor de lo que no tener ningún control sobre amenazas, invasiones y ataques es confiar ciegamente en una estructura que no sea capaz de impedir el surgimiento de problemas. Por eso, los especialistas no confían apenas en una solución con base en software. Cuando se habla en tecnología, es necesario considerar tres pilares del mismo tamaño, apoyados unos en los otros para soportar un peso mucho mayor. Estos tres pilares son las tecnologías, los procesos y las personas. No adelanta fortalecer uno de ellos, sin que todos los tres no estén equilibrados. Al se analizar la cuestión de la Seguridad de la Información, entretanto, además de la importancia relativa de cada uno de esos pilares, es preciso tomar en cuenta un otro nivel de relevancia, pues estará siendo envuelta en una gama muy grande de soluciones de inúmeros proveedores. Por eso, la Seguridad de la Información precisa envolver Tecnologías, Procesos y Personas en un trabajo que debe ser cíclico, continuo y persistente, con la conciencia de que los resultados estarán consolidados a medio plazo. Una metáfora común entre los especialistas da la dimensión exacta de como estos tres pilares son importantes y complementares para una actuación segura: una casa. Su protección tiene como base rejas y trancas, para representar las tecnologías, que depende de sus moradores para que sea realizada la rutina diaria de cuidar del cierre de las ventanas y de los candados, o sea, procesos. Simplificando, la analogía da cuenta de la interdependencia entre las bases de la actuación de la seguridad y de como cada parte es fundamental para el buen desempeño de la protección en la corporación. Recursos de protección La primera parte trata del aspecto más obvio: las tecnologías. No hay como crear una estructura de Seguridad de la Información, con política y normas definidas, sin soluciones modernísimas que cuiden de la enormidad de plagas que infestan los computadores y la Internet hoy en día. Los aplicativos de red, con soluciones de seguridad integradas, también precisan ser adoptados
8 Dispositivos para el control de spam, vector de muchas plagas de la Internet y destacado entrabe para la productividad, también pueden ser alocados para dentro del sombrero de la Seguridad de la Información. Programas para controlar el acceso de funcionarios, bloqueando las visitas a páginas sospechas y que eviten sitios con contenido malicioso, también son destaques. Pero antes de la implementación de la tecnología, es necesaria la realización de una consultoría que diagnostique las soluciones importantes. Estas inúmeras herramientas, entretanto, generan otro problema: como administrar toda esta estructura dentro de una rutina corporativa que demanda urgencia y difícilmente está completamente dedicada a la seguridad? La mejor respuesta está en la administración unificada. La adopción de nuevas herramientas, como sistema operacional, ERP o CRM, precisa de análisis de los pre-requisitos en seguridad. Otro punto del tripe son los procesos, que exigen revisión constante. El gran combate realizado en el día a día del gestor de seguridad, en asociación con el CIO, es equilibrar la flexibilidad de los procesos de forma que ellos no tornen la compañía frágil, pero que, por otro lado, no endurezca demás la productividad, en busca del mayor nivel posible de seguridad. La visión de la compañía como un enmarañado de procesos causó gran revolución al ir de encuentro con los conceptos de gestión clásicos, enfocados en la estructura. En este nuevo enfoque, la adición de seguridad sigue la misma línea turbulenta. Como en el nuevo modelo, todos los procesos están integrados, y un impacto causado por la seguridad puede no apenas causar prejuicios para la rutina de la empresa, pero también crear cierto mal-estar entre las áreas. Tomar actitudes cautelosas y estudiadas, pero sin miedos de atritos, precisa ser la práctica del gestor. Personas: desafío constante La última parte de la trinca es la más fácil de explicar. No es preciso raciocinar mucho para llegar a la conclusión de que las personas son piedras fundamentales dentro del ambiente corporativo, sobretodo, en Seguridad de la Información. Cerca de 70% de los incidentes de seguridad cuentan con el apoyo, intencional o no, del enemigo interno. Las personas están en toda la parte de la empresa y analizan como punto fundamental apenas la protección de la máquina. Los cuidados básicos con las actitudes de las personas, muchas veces, son olvidados o ignorados. Encontrar señas escritas y coladas en el monitor, bien como el cambio de informaciones sigilosas en ambientes sin confidencialidad, como taxi y reuniones informales son situaciones muy comunes. Así, contar con la colaboración de las personas es simplemente fundamental en una actividad crítica para la empresa y que no tiene fin. Pero el punto principal de la preocupación con las personas es que los profesionales del fraude irán a la busca de ellas para perpetrar sus crímenes
9 Una exigencia cada vez más importante para el CSO es ser también un gestor de personas, una vez que ellas pueden causar muchos estragos y provocar serios prejuicios. Pero al analizar el contexto de formación de los gerentes de seguridad, tal vez sea este el punto más débil. Inversiones en formación profesional en este sentido es una iniciativa muy válida, así como el intercambio de informaciones entre áreas como Recursos Humanos y Marketing para aumentar el alcance y la eficacia de las recomendaciones. El hecho de envolver un dilema cultural también es otro factor de complicación. Seguridad de la Información representa un desafío de inédita magnitud para los profesionales del sector y, también, para la compañía como un todo
10 Modulo 3 - Gestor de la Seguridad de la Información Establecer procedimientos en transacciones corporativas, operar por medio de reglas de acceso y restricciones, crear jerarquías de responsabilidades, métodos de reacción a eventuales fallas o vulnerabilidades y, más importante de todo, mantener un padrón en lo que se refiere a la seguridad de la compañía. Entre otras, son estas las atribuciones que culminaron en la creación de la función de CSO Chief Security Officer o Gestor de la Seguridad de la Información. Todas las mudanzas importantes ocurridas en Seguridad de la Información demandaban un nuevo profesional. El gestor de tecnología no tenía condiciones, y mucho menos tiempo, para asumir toda esta área que se constituía con velocidad espantosa. La respuesta fue la creación de una nueva función dentro de la compañía, que organizase y coordinase las iniciativas en Seguridad de la Información en busca de la eficiencia y eficacia en el tema. Apenas alguien con gran conocimiento tanto en negocios cuanto en seguridad puede planificar la estrategia de Seguridad de la Información de forma competente, implementando políticas y escogiendo las medidas apropiadas para las necesidades de negocios, sin impactar en la productividad. Mismo que la contratación de gestores de seguridad esté siendo una constante en el mercado de grandes compañías, no se llegó a un consenso sobre la naturaleza de su cargo. Uno de los puntos que permanecen sin una definición precisa es la viabilidad de combinar bajo el mismo sombrero la Seguridad lógica y la física. El aislamiento entre estas áreas puede ser fatal para una compañía en el caso de un desastre natural, como el huracán Katrina, en 2005, que atingió la ciudad norte-americana de Nova Orleans, o el tsunami que afectó Indonesia en 2004, o hasta mismo una falla eléctrica o incendio. Responsabilidades Algunas metas generales para los gestores de seguridad son: Desarrollar e implementar políticas, padrones y guías generales para el personal, para la seguridad de datos, recuperación de desastre y continuidad de negocios. Supervisar el continuo acompañamiento y protección de la infraestructura, los recursos necesarios de procesos que envuelvan personas o datos. Avaluar posibles brechas de seguridad y recomendar las correcciones necesarias. Negociar y administrar service-level agreements (SLAs) con proveedores externos de servicios de protección o hospedaje de datos
11 Cualificaciones Para atender a los requisitos de seguridad lógica y física de redes globales cada vez más complexas y vulnerables, el perfil del CSO evolucionó mucho. Por un lado, el escenario presenta amenazas crecientes y cada vez más fatales: hackers, virus, ataques terroristas, inundaciones, terremotos. Por otro, la vulnerabilidad y la complejidad tecnológica crecen también y aumentan las atribuciones y las habilidades necesarias para ejercer la función de CSO. Hoy, un CSO tiene que entender de seguridad, conocer bien los negocios y participar de todas las acciones estratégicas de la empresa. Más de lo que un técnico, él debe ser definitivamente un gestor de negocios. Las cualificaciones que acostumbran ser exigidas para el cargo de CSOs son: Habilidades en cuestiones de seguridad física; Familiaridad con el lenguaje y los dilemas propios de la TI; Experiencia previa en seguridad es un destaque, si acompañada también por conocimiento de negocios; Exigencia de lidiar con personas; Facilidad de comunicación, para tener la desenvoltura necesaria para hacer la interface tanto en la esfera de decisión cuanto en los diversos sectores y niveles culturales dentro de la compañía; Capacidad de liderazgo y de administración de equipos para alcanzar una actuación bien-sucedida en cualquier corporación; Tener conocimientos maduros sobre cuestiones como autenticación, auditoria, preservación de la escena del crimen real o virtual, y administración de riesgo; Tener visión estratégica y experiencia en la administración de las operaciones. Formación Generalmente, el CSO tiene formación en Ciencias de la Computación, Ingeniaría o Auditoría de Sistemas. El gran retorno que el CSO trae para las empresas es disminuir los riesgos en las operaciones, con todas las consecuencias positivas. La verdad es que un profesional así tan completo no es encontrado fácilmente en el mercado. Por eso, se calcula que hay más de 20 mil vagas abiertas para CSOs en aquel país. En Brasil, la demanda no llega a ser tan grande, mas estos profesionales ya son comunes en instituciones financieras, seguradoras, operadoras de telecomunicación y empresas con operaciones en la Internet. Especialistas en carrera recomiendan que el CSO tenga actuación independiente y no se reporta al CIO, pero directamente al directorio o a la presidencia. Estadísticas recientes apuntan para el crecimiento de los empleos en el área de seguridad. De acuerdo con estudio anual realizado por la IDC y patrocinado por el International Information Systems Security Certification Consortium, la proyección de profesionales para la región de las Américas pasará de 647 mil en 2006 para 787 mil en
12 El estudio Global Information Security Workforce Study (GISWS) destaca que la responsabilidad por la seguridad de la información creció en la jerarquía de la gestión y acabó llegando al consejo director y al CEO, CISO o CSO. Casi 21% de los entrevistados en la pesquisa explicaron que su CEO ahora es el responsable final por la seguridad de la información y 73% afirmaron que esta tendencia se mantendrá. Cada vez más, es esencial que las organizaciones sean pro-activas en la defensa de sus activos digitales. Y para eso, es preciso contar con profesionales competentes para lidiar con soluciones de seguridad complejas, requisitos reglamentarios y avanzos tecnológicos de las amenazas, bien como vulnerabilidades onerosas. De esta forma, el CSO debe proceder a la gestión de riesgos y está más integrado a las funciones del negocio. Profesionales de seguridad precisan mejorar sus habilidades técnicas y de negocio para que puedan ejercer la función. Una buena sugestión para quien pretende se profesionalizar en el área de Seguridad de la Información es procurar obtener certificaciones de una asociación de seguridad profesional, para ayudar a impulsar la carrera. Para 90% de los participantes de la pesquisa envueltos con contratación, las certificaciones son poco o muy importantes en la decisión de contratar alguien. Más de 60% pretenden adquirir por lo menos una certificación de seguridad de la información en los próximos 12 meses. La certificación de Seguridad de la Información puede ser dependiente y/o independiente de fabricantes, y ambas son útiles para el desenvolvimiento de la carrera. Las credenciales amarradas a fabricantes (como las de Cisco y de Microsoft, por ejemplo) son menos importantes para conseguir las habilidades necesarias al cargo. Entretanto, ellas precisan venir acompañadas de certificaciones que demuestren una amplia base de conocimiento y experiencia. Las certificaciones Certified Information Systems Security Profesional (CISP) y Certified Information Systems Auditor (CISA) son óptimas opciones. Al elaborar el plano de carrera, las asociaciones que ofrecen servicios de construcción de carrera y educación continuada pueden ayudar. En el contacto con estas asociaciones, el candidato a CSO puede explorar oportunidades para demonstrar su experiencia en el área, hacer parte de redes de comunicación con colegas, y tener acceso a pesquisas de la industria y oportunidades de trabajo voluntario. Entretanto, certificaciones y experiencia en el área son poco provechosas aisladamente. Para evolucionar en el cuadro técnico de la empresa y se tornar un CSO, es necesario saber se comunicar en términos de negocios. Para eso, la capacidad técnica debe ser aliada a la habilidad de transmitir el valor del negocio. El CSO debe ser capaz de explicar los beneficios de la seguridad en términos de retorno de la inversión (ROI), su valor para mejorar la capacidad de la empresa en concluir negocios, además de dejar claro cuales son las soluciones prácticas que ella puede traer para la resolución de los problemas
13 Consejos para se tornar un CSO 1) Aprender a colaborar con otros departamentos, para integrar y avaluar otras funciones. Pesquisa de IDC indica que los entrevistados afirman que 62% de sus tareas cotidianas dependen del cambio de información o de la cooperación con otras personas. 2) Adoptar el abordaje del valor agregado, o sea, alinear sus atribuciones y responsabilidades con las metas de negocio de cada departamento. 3) Desarrollar su propio círculo de confianza dentro de la organización, con representantes de cada departamento para ayudar a promover la comprensión mutua, la valorización y el trabajo en equipo. 4) Mantener conversas con ejecutivos para que ellos puedan conocerlo y aprender a confiar en usted. Estas conversas deben ser sucintas, pero expresivas, conteniendo términos de negocio y no vocabulario geek o acrónimos. Determine como usted puede agregar valor a sus metas y demuestre por que usted debe ser consultado o incluido en una reunión. 5) Ofrecer entrenamiento para crear conciencia a los ejecutivos y usuarios sobre amenazas a la seguridad que afectan los home offices y presentar técnicas de prevención. El objetivo es conquistar la confianza de los ejecutivos en su capacidad de hacer recomendaciones para las redes de la empresa. 6) Aprender a equilibrar riesgos y oportunidad. Muchos ejecutivos consideran el staff de seguridad inflexible y evitan convidarlo para reuniones de estrategia. Sea flexible al equilibrar los riesgos a la seguridad con los procesos de negocio que ayudan la organización a cumplir las metas
14 Modulo 4 - Vulnerabilidades En poco tiempo, los computadores se tornaron una parte intrínseca y esencial de la vida cotidiana. El resultado es un enorme potencial de lucros financieros para los creadores de programas mal-intencionados. Con la ascensión de técnicas sofisticadas, está siendo cada vez más difícil para la base de usuarios en general, identificar o evitar las infecciones por programas mal-intencionados. La principal amenaza a la seguridad de las transacciones corporativas son las personas. Esta es la primera respuesta que muchos institutos de pesquisas y especialistas de seguridad tienen utilizado cuando cuestionados sobre la principal amenaza a las transacciones corporativas. Soluciones tecnológicas sofisticadas, integradas a asociados, clientes y proveedores, la última palabra en herramientas de gestión empresarial, informes detallado etc. Nada de eso tiene valor si no hay restricciones, políticas y procesos que establezcan y organicen la conducta del profesional dentro de la corporación. La mayoría de las veces, se verifica que los problemas relacionados a la interferencia humana no están directamente ligados a acciones fraudulentas o a las demás situaciones en que el funcionario tiene el objetivo de perjudicar su empresa. Por el contrario. La grande mayoría de los incidentes de seguridad ocurre por falta de información, falta de procesos y orientación a los recursos humanos. Otro factor determinante en esa ecuación está vinculado a la evolución rápida y continua de las tecnologías. En poco tiempo, hasta mismo los computadores domésticos ganan recursos en potencia y en capacidad de almacenamiento. Al mismo tiempo en que esta evolución proporciona inúmeros beneficios, también se encarga de generar nuevos riesgos y amenazas virtuales. Este escenario, que estará presente en breve en muchas residencias, señaliza lo que vendrá en el ambiente corporativo. Pero, las cuestiones de seguridad amarradas a la gestión de personal son apenas parte de los desafíos que las empresas precisan enfrentar en la actualidad. Antes de estos, y no menos críticas, están las vulnerabilidades tecnológicas, renovadas a cada instante. Especialistas en identificar y estudiar estas brechas vienen se esforzando para alertar sobre aquellas que hoy son consideradas las principales amenazas a las transacciones electrónicas. El System Administration, Networking and Security (SANS) y el National Infrastructure Protection Center (NIPC/FBI) son buenos ejemplos de esta realidad
15 A seguir, están mencionadas algunas de las fallas más comúnmente identificadas, independientemente del porte o del área de actuación de la compañía, bien como de la complejidad de su infra-estructura tecnológica y de los sistemas que utiliza. Señas débiles Muchas veces, las señas de un funcionario pueden ser fácilmente descubiertas, mesclando puntos comunes como nombre y sobrenombre, fecha de aniversario, nombre de la esposa, hijo etc. La administración de estos accesos también se da de forma desordenada, el usuario generalmente no tiene educación para lidiar con su código de acceso. Actualmente, las empresas cuentan con el beneficio de establecer una autenticación fuerte, o sea, mesclar algo que el usuario sabe (memoria), con algo que él tiene (token) y algo que él es (biometría). Algunas herramientas posibilitan a la corporación verificar el grado de seguridad de las señas de sus funcionarios. Utilizar uno de estos recursos para quiebra de señas puede ser un buen camino para identificar cuentas con señas débiles o sin seña. Sistemas de backups fallos Muchas empresas afirman realizar backups diarios de sus transacciones, pero siquiera hacen manutención para verificar si el trabajo realmente está siendo realizado. Es preciso mantener backups actualizados y métodos de recuperación de los datos previamente testados. Muchas veces, una actualización diaria es poco, delante de las necesidades de la empresa, caso venga a sufrir algún daño. También es recomendable tratar de la protección física de estos sistemas, que por veces están relegados a la manutención precaria. Ya es común, después de los tristes hechos ocurridos en 11 de setiembre de 2001, sitios de backup donde los datos son replicados y, en caso de una catástrofe, los sistemas son utilizados para la continuidad de los negocios. Puertas abiertas Puertas abiertas son convites para invasiones. Buenas herramientas de auditoría de servidores o de scan pueden auxiliar la empresa a identificar cuales son sus brechas en los sistemas. Para no ser sorprendido, es recomendado hacer una auditoria regular de estas puertas. Independientemente de la herramienta utilizada para realizar esta operación, es preciso que ella barra todas las puertas UDP y TCP del sistema, en las cuales se encuentran los puntos atacados por invasores. Además, estas herramientas verifican otras fallas en los sistemas operacionales, tales como servicios desnecesarios y aplicaciones de correcciones de seguridad requeridos
16 Brechas de instalaciones Muchos proveedores de sistemas operacionales padrón (default) y aplicativos ofrecen una versión padrón y de fácil instalación para sus clientes. Ellos creen que es mejor habilitar funciones que no son necesarias, de lo que hacer con que el usuario tenga que instalar funciones adicionales cuando necesitar. Mismo que este posicionamiento sea conveniente para el usuario, él acaba abriendo espacio para vulnerabilidades, ya que no mantiene, ni corrige componentes de software no usados. Sobre los aplicativos, es común que instalaciones default incluyan scripts o programas de ejemplos, que muchas veces son dispensables. Se sabe que una de las vulnerabilidades más serias relacionadas a servidores web dice a respecto de los scripts de ejemplo, los cuales son utilizados por invasores para invadir el sistema. Las recomendaciones básicas son remover softwares desnecesarios, deshabilitar servicios fuera de uso y bloqueo de puertas no usadas. Fallas en sistemas de logs Logs son responsables por proveer detalles sobre lo que está aconteciendo en la red, cuales sistemas están siendo atacados y los que fueron de hecho invadidos. Caso la empresa venga a sufrir un ataque, será el sistema de registro de logs el responsable por dar las pistas básicas para identificar la ocurrencia, saber como ocurrió y lo que es preciso para resolverla. Es recomendable realizar backup de logs periódicamente. Transacciones sin cable desprotegidas Los equipamientos móviles son tecnologías emergentes. Entretanto, los padrones de comunicación utilizados actualmente requieren configuración minuciosa para presentar un mínimo de seguridad (encuentre más detalles en el próximo módulo de este curso). Nuevos padrones prometen más tranquilidad a la comunicación wireless. Pero, es recomendable tener cautela en la adopción de estos recursos, conforme el grado de confidencialidad de lo que está siendo transmitido por el canal sin cable. Falla en la actualización de camadas de seguridad y sistemas operacionales La falta de administración de cada herramienta de seguridad y la corrección de software disponible por los proveedores están entre los factores más críticos en la gestión corporativa. Para muchos, este es un desafío constante, visto el volumen de correcciones ( patches ) anunciado por diversos proveedores, bien como la velocidad con que se actualizan los softwares de seguridad. Ya existen, incluso, empresas especializadas en fornecer herramientas que cumplen la función específica de automatizar la actualización de correcciones (patches) de seguridad. Un Plano Director de Seguridad debe contemplar y explicar, en detalles, como estos procesos deben ser realizados
17 Diez amenazas de 2007 Las empresas de Seguridad de la Información periódicamente divulgan las principales amenazas que rondan los usuarios de Internet, corporativos o domésticos. Con más de 217 mil tipos diferentes de amenazas conocidas y otros millares de amenazas todavía no identificadas, el laboratorio de la empresa de seguridad McAfee concluye que los programas mal-intencionados son cada vez más lanzados por criminosos profesionales y organizados. La empresa cree que, hasta el final de 2007, cerca de 300 mil amenazas digitales deben estar registradas en su banco de datos. Las diez más importantes amenazas identificadas por la compañía para 2007 son: 1) O número de sitios de robo de señas aumentará, utilizando páginas de registro falsas de servicios conocidos en la Internet, como el ebay. 2) El volumen de spams, especialmente del tipo que consume una cantidad enorme de anchura de banda, continuará creciendo, lo que perjudica la productividad de los funcionarios, que precisan borrar manualmente los mensajes indeseados. 3) La popularidad de compartir videos en la Web tornará inevitable que los hackers tengan por objetivo los archivos MPEG como medio de distribuir programas malintencionados. 4) Los ataques a teléfonos celulares serán más frecuentes a la medida que los dispositivos móviles fueren más inteligentes y más conectados. 5) El Adware ganará importancia todavía mayor después del aumento de los programas comerciales potencialmente indeseables (PUPs). 6) El robo de identidad y la perdida de datos continuarán siendo un problema público en la raíz de estos crímenes están, muchas veces, el hurto de computadores, la perdida de backups y sistemas de información comprometidos. 7) El uso de robots (bots), programas de computador que realizan tareas automatizadas, aumentará como una de las herramientas preferidas de los hackers. 8) Reaparecerán los programas mal-intencionados, parasitos, o virus que modifican archivos existentes en un disco. 9) El número de rootkits en plataformas de 32 bits aumentará, pero los recursos de protección y resolución también aumentarán
18 10) Las vulnerabilidades continuarán causando preocupación, promocionadas por el mercado clandestino de vulnerabilidades los hackers proseguirán con amenazas para infectar máquinas por medio de vulnerabilidades conocidas. Hoy, los pesquisidores de la empresa tienen pruebas de la ascensión del crimen profesional y organizado en la creación de programas mal-intencionados, con equipos de desenvolvimiento creando, testando y automatizando la producción y la distribución. Técnicas sofisticadas, tales como polimorfismo, la recurrencia de parasitos, rootkits y sistemas automatizados con criptografía cíclica que lanzan nuevas versiones están ganando más espacio. Además, las amenazas están siendo embaladas o con criptografías para disfrazar los objetivos mal-intencionados en una escala más veloz y compleja
19 Modulo 5 - Movilidad Cada vez más, equipamientos móviles, como notebooks y smartphones, están presentes en la vida de las personas, especialmente, de executivos que se dislocan a viajes de negocios. Pero, estos dispositivos móviles tienen fragilidades diferentes de las encontradas en computadores fijos. Esto exige una política de seguridad diferenciada para controlar posibles amenazas. No es novedad para nadie. La adopción en larga escala de equipamientos móviles, especialmente notebooks y smartphones, trae ventajas incuestionables para el ambiente corporativo, como el aumento de la productividad, disponibilidad y flexibilidad. Una cuestión, entretanto, permanece sin respuesta: hasta que punto el producto en sus manos es seguro? El contexto precisa ser explicado. En la mitad de los años 80, los computadores personales substituyeron el mainframe y revolucionaron la forma por la cual las personas se relacionaban con la tecnología. Ellos dominaron completamente el escenario mundial. El reinado, con todo, está terminando. La corona está con los terminales móviles, con predominio de los notebooks, pero también con la presencia creciente de handhelds, smartphones, PDAs y teléfonos celulares. La mudanza está tan consolidada que, hoy, es inimaginable un ejecutivo de suceso, en cualquier sector vertical de actuación, que no lleve su dispositivo móvil, sea este cual fuera. Una de las exigencias para el suceso en el actual mercado globalizado es la capacidad de estar conectado a cualquier momento, pronto para hacer algún negocio así que él aparezca. Esta reestructuración está revolucionando el mercado corporativo. Si, por un lado, es posible alcanzar niveles de productividad impensables en el formato antiguo, cuando el ejecutivo permanecía preso en el ambiente tradicional de la oficina, por otro, la Seguridad de la Información surge como su talón de Aquiles. Los argumentos a favor son atractivos: garantías de grande disponibilidad y flexibilidad, ya que el ejecutivo puede tener acceso a informaciones de la red de la compañía en cualquier horario y de cualquier lugar del mundo. Pero los argumentos contrarios, entretanto, asustan. Nueva realidad Los dispositivos móviles tienen fragilidades que no encuentran paralelo en las estaciones fijas, hecho que exige del gestor de seguridad de la información una política estructurada para cuidar de todos estos límites. Las tecnologías de acceso sin cable, otra base de la movilidad, también representan un grande problema. Independientemente del padrón escogido, ellas significan, en el límite, una falta de control de la organización sobre la red a la cual se tiene acceso. Específicamente, las funcionalidades integradas de LAN wireless permiten el acceso a recursos corporativos por medio de redes de terceros, que están lejos de la visión de la corporación y de sus políticas de seguridad
20 El desarrollo de la tecnología también aumenta el tamaño del problema. Con discos de mayor capacidad de almacenamiento, el usuario acaba siendo encorajado a salvar sus datos localmente, lo que representa problemas de seguridad. La diseminación de USB Drives, bien como grabadores de CDs y DVDs, abre espacio para la utilización personal del dispositivo, reteniendo informaciones que no deberían estar allí. Otro punto preocupante dice respecto a la transferencia de informaciones del notebook para estos aparatos, ya que, caso no exista una política clara y estructurada, es difícil controlar cuales archivos fueron copiados en otros medios. Además, el aspecto físico de la solución también precisa ser tomado en cuenta. Por su valor, los aparatos portátiles atraen enorme atención y son robados constantemente. En São Paulo, por ejemplo, existen cuadrillas especializadas en robos de laptops, procurando sus víctimas en locales estratégicos, como aeropuertos o de concentración de grandes empresas. Otro factor que causa bastante preocupación está, gracias a la miniaturización de los aparatos, en la posibilidad de perdida de estos dispositivos. Más de lo que el precio del aparato, los datos almacenados también tienen valor. Muchas veces, incalculable. Como lidiar con todas estas cuestiones? Oportunidad de negocios En la otra punta, la grande preocupación para los CSOs representa una gran oportunidad de negocios para las empresas de seguridad. Así, inúmeros players miran con atención para estas cuestiones, ofreciendo soluciones que prometen disminuir los riesgos del uso de soluciones móviles en el ambiente corporativo. La primera respuesta está en los softwares de conformidad del terminal. Aprovechando la estructura consolidada dentro de la empresa, el gestor replica las soluciones de seguridad instaladas y confiere si el aparato está dentro de las políticas especificadas internamente. Con eso, el usuario de un aparato móvil permanece en una VPN, que funciona como cuarentena, teniendo su acceso a la red corporativa liberado apenas cuando atender a todos los pre-requisitos, como instalación de las actualizaciones de antivirus y correcciones (patches) de seguridad. Con eso, es posible garantir que todos los niveles de protección establecidos por la compañía sean pasados para las plataformas móviles. Así, es eliminado el problema de un worm o virus en el notebook, por ejemplo, infectar toda la red corporativa sin que el usuario tenga conocimiento. Esto, entretanto, es apenas el primer nivel de protección en el contexto de las plataformas móviles. Un CSO preocupado y atento a las nuevas tendencias precisa entender que, en verdad, la conformidad entra más como un factor de control dentro de la compañía
Test de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesIntroducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallese-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.
Comercio electrónico. (e-commerce) Las empresas que ya están utilizando la red para hacer comercio ven como están cambiando las relaciones de la empresa con sus clientes, sus empleados, sus colaboradores
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detalles5 formas de mejorar su negocio con COMPUTACIÓN EN LA NUBE
5 formas de mejorar su negocio con COMPUTACIÓN EN LA NUBE Julio 2012 Introducción. Cada empresa y cada empresario ha entendido que, si hay una constante, ésta es el cambio. Día a día, los negocios se ponen
Más detallesSeguridad en la red. Fuga o robo de información a causa de las siguientes razones:
Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:
Más detallesLo que usted necesita saber sobre routers y switches. Conceptos generales.
Lo que usted necesita saber Conceptos generales. Qué es Routing y Switching? Una red empresarial permite a todos los integrantes de su compañía conectarse entre sí, a clientes, Socio de Negocioss empresariales,
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesDE VIDA PARA EL DESARROLLO DE SISTEMAS
MÉTODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS 1. METODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS CICLO DE VIDA CLÁSICO DEL DESARROLLO DE SISTEMAS. El desarrollo de Sistemas, un proceso
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesPreguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información
Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,
Más detallesSAP BusinessObjects Edge BI Standard Package La solución de BI preferida para. Empresas en Crecimiento
SAP BusinessObjects Edge BI Standard Package La solución de BI preferida para Empresas en Crecimiento Portfolio SAP BusinessObjects Soluciones SAP para Empresas en Crecimiento Resumen Ejecutivo Inteligencia
Más detallesBYOD - Retos de seguridad
BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir
Más detallesImplementando un ERP La Gestión del Cambio
Artículos> Implementando un ERP - La Gestión del Cambio Artículo Implementando un ERP La Gestión del Cambio 1 Contenido Sumario Ejecutivo 3 Los sistemas ERP flexibilizan la gestión de la empresa y su cadena
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesBechtle Solutions Servicios Profesionales
Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora
Más detallesCAPÍTULO 1 Instrumentación Virtual
CAPÍTULO 1 Instrumentación Virtual 1.1 Qué es Instrumentación Virtual? En las últimas décadas se han incrementado de manera considerable las aplicaciones que corren a través de redes debido al surgimiento
Más detallesEl outsourcing o tercerización u operador logístico
El outsourcing o tercerización u operador logístico Es una de la mega tendencia en los tiempos de la globalización que cada día toma mayor auge en el mundo empresarial y consiste básicamente en la contratación
Más detallesTraslado de Data Center
Traslado de Data Center Traslado de Data Center Análisis y metodología garantizan el éxito en el traslado de los Data Center Planificar, analizar y documentar son claves a la hora de realizar la migración
Más detallesTécnico y sus funciones. 5. Función de los líderes. 6 Función del analista de datos. 6. Metas del Help Desk. 7 Definir el alcance del Help Desk.
3 Qué es un Help Desk? 3 Cómo trabaja un Help Desk? 3 Cómo se mide el éxito de un Help Desk? 5 Funciones de los miembros del equipo del Help Desk. 5 Técnico y sus funciones. 5 Función de los líderes. 6
Más detallesLas Relaciones Públicas en el Marketing social
Las Relaciones Públicas en el Marketing social El marketing social es el marketing que busca cambiar una idea, actitud o práctica en la sociedad en la que se encuentra, y que intenta satisfacer una necesidad
Más detallesCharlas para la Gestión del Mantenimiento Fernando Espinosa Fuentes
Charlas para la Gestión del Mantenimiento Fernando Espinosa Fuentes Conseguir una alta eficiencia de los activos es un reto importante ya que tiene un impacto significativo sobre los beneficios. Afecta
Más detallesInformación de Producto:
Windows Server 2008 Foundation La nueva tecnología rentable de Windows Server 2008 Foundation La tecnología confiable y comprobada de Windows Server Foundation proporciona una base para ejecutar las aplicaciones
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesMejores prácticas de Seguridad en Línea
Mejores prácticas de Seguridad en Línea Antecedentes e Introducción El propósito del siguiente documento es para ayudar a su negocio a tomar las medidas necesarias para utilizar las mejores prácticas de
Más detallesSeguridad en los Dispositivos Móviles. <Nombre> <Institución> <e-mail>
Seguridad en los Dispositivos Móviles Contenido Dispositivos móviles Riesgos principales Cuidados a tener en cuenta Fuentes Dispositivos móviles (1/2) Tablets, smartphones,
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesADMINISTRACIÓN DE PROYECTOS
QUITO INGENIERIA MECANICA ADMINISTRACIÓN DE PROYECTOS JUAN MARCELO IBUJES VILLACÍS ADMINISTRACIÓN DE PROYECTOS Contenido tomado de referencia de la Guía de los Fundamentos para la Dirección de Proyectos
Más detallesSeguridad en el Comercio Electrónico. <Nombre> <Institución> <e-mail>
Seguridad en el Comercio Electrónico Contenido Comercio Electrónico Riesgos principales Cuidados a tener en cuenta Fuentes Comercio electrónico (1/2) Permite: comprar una
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesEl cambio en la adquisición de soluciones informáticas. El cambio en la adquisición de soluciones informáticas
El cambio en la adquisición de soluciones informáticas El cambio en la adquisición de soluciones informáticas Mayo de 2014 El nuevo comprador de tecnología... y la nueva mentalidad de adquisiciones Hoy
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesDirección de Planificación y Desarrollo Descripción de Programas y Proyectos - Octubre - 2014
Dirección de Planificación y Desarrollo Descripción de Programas y Proyectos - Octubre - 2014 Proveer el Data Center de equipo para la prevención y sofocación de incendios La Superintendencia de Valores
Más detallesSeminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets
Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 1 de 12 Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 3 Bienvenida. 4 Objetivos. 5 Interacciones de Negocios
Más detallesCómo las herramientas en línea están revolucionando la implementación de ITIL e ISO 20000
Cómo las herramientas en línea están revolucionando la implementación de ITIL e ISO 20000 Informe 14 de marzo de 2014 Copyright 2014 20000Academy. Todos los derechos reservados. 1 Resumen ejecutivo Antes
Más detallesAcerca de EthicsPoint
Acerca de EthicsPoint Reportes General Seguridad y confidencialidad de los reportes Consejos y mejores prácticas Acerca de EthicsPoint Qué es EthicsPoint? EthicsPoint es una herramienta de reporte anónima
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesLINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN
LINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN Tabla de Contenidos LINEAMIENTOS ESTÁNDARES APLICATIVOS DE VIRTUALIZACIÓN... 1 Tabla de Contenidos... 1 General... 2 Uso de los Lineamientos Estándares...
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesPOLÍTICA DE TECNOLOGÍA DE INFORMACIÓN
TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades
Más detallesCapítulo 5. Cliente-Servidor.
Capítulo 5. Cliente-Servidor. 5.1 Introducción En este capítulo hablaremos acerca de la arquitectura Cliente-Servidor, ya que para nuestra aplicación utilizamos ésta arquitectura al convertir en un servidor
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesMódulo: Indicadores de Eficacia y Eficiencia en los Procesos
Diplomatura en Lean Manufacturing (Manufactura Esbelta) Módulo: Indicadores de Eficacia y Eficiencia en los Procesos Docente: Javier Mejía Nieto MANUAL DE INDICADORES DE PRODUCTIVIDAD Ministerio de trabajo
Más detallesARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD
ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García
Más detallesLA REVOLUCIÓN DE LOS SISTEMAS DE INFORMACIÓN (S.I.) Introducción PORQUÉ SISTEMAS DE INFORMACIÓN? El Competitivo Entorno de los Negocios
LA REVOLUCIÓN DE LOS SISTEMAS DE INFORMACIÓN (S.I.) Introducción Tanto empresas grandes como pequeñas usan Sistemas de Información y Redes para realizar una mayor proporción de sus actividades electrónicamente,
Más detallesPor otro lado podemos enunciar los objetivos más específicos de nuestro estudio:
RESUMEN La empresa familiar es aquella cuya administración, dirección y control está en manos de una familia. Sus miembros toman decisiones estratégicas y operativas, asumiendo por completo la responsabilidad
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesSesión No. 12. Contextualización: Nombre de la sesión: SAP segunda parte PAQUETERÍA CONTABLE
Paquetería contable PAQUETERÍA CONTABLE Sesión No. 12 Nombre de la sesión: SAP segunda parte Contextualización: Los sistemas ERP son actualmente las herramientas que se han impuesto y son la base operativa
Más detallesCapítulo IV. Manejo de Problemas
Manejo de Problemas Manejo de problemas Tabla de contenido 1.- En qué consiste el manejo de problemas?...57 1.1.- Ventajas...58 1.2.- Barreras...59 2.- Actividades...59 2.1.- Control de problemas...60
Más detallesD E A C T I V O S D E S O F T W A R E
L A A D M I N I S T R A C I Ó N D E A C T I V O S D E S O F T W A R E I.- Qué es SAM? La Administración de Activos de Software (SAM) es un proceso vital de negocios que proporciona un sistema para la administración,
Más detallesPOLITICA DE PRIVACIDAD DE LA PAGINA WEB
POLITICA DE PRIVACIDAD DE LA PAGINA WEB operamos el website de Simple Solutions.com y respetamos la privacidad de los individuos que utilizan este website. A continuación detallamos cómo utilizamos la
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesQué son y cómo combatirlas
Redes zombies Qué son y cómo combatirlas Calle San Rafael, 14 28108 Alcobendas (Madrid) 902 90 10 20 www..com Introducción Hoy en día podemos encontrar un elevado número de amenazas en la red, pero unas
Más detallesIMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA
V REUNIÓN DE AUDITORES INTERNOS DE BANCA CENTRAL 8 AL 11 DE NOVIEMBRE DE 1999 LIMA - PERÚ IMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA Claudio Urrutia Cea Jefe de Auditoría BANCO CENTRAL DE CHILE
Más detallesCómo mejorar la calidad del software a través de una gestión adecuada de la productividad de las pruebas
Cómo mejorar la calidad del software a través de una gestión adecuada de la productividad de las pruebas Cuando una empresa contrata un proyecto de software a una consultora, realiza una inversión importante.
Más detallesSISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT
SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,
Más detallesDesarrolle su negocio en un momento difícil para el mercado
Desarrolle su negocio en un momento difícil para el mercado White Paper FDI 1 En la situación actual de mercado, ustedes están haciendo frente a desafíos sin precedentes. Sus objetivos de ventas son difíciles
Más detallesProfunda comprensión de que valores son o podrían ser percibidos por los clientes.
Estrategias de retención de clientes para servicios El valor concebido por el cliente de servicio se basa en una estrategia de conocimientos, ya que con el conocimiento que posee la empresa, puede emplear
Más detallescopias de seguridad remota (backup online)
copias de seguridad remota (backup online) 1 Descripción 2 3 10 razones para elegir Serviweb Backup Contacto * Los precios de este documento no incluyen I.V.A. Descripción: Las Copias de Seguridad son
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detalles-OPS/CEPIS/01.61(AIRE) Original: español Página 11 5. Estructura del programa de evaluación con personal externo
Página 11 5. Estructura del programa de evaluación con personal externo 5.1 Introducción Esta sección presenta la estructura del programa de evaluación con personal externo. Describe las funciones y responsabilidades
Más detallesADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC
ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC RESUMEN EJECUTIVO Es un método ideal para que cualquier departamento de TI logre realizar respaldos y restauraciones más rápidas
Más detallesEl 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas
INFORME SEGURIDAD EMPRESAS Informe Global IT Security Risks de Kaspersky Lab El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas Un 55% de
Más detallesCONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL
CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.
Más detallesCAPITAL RIESGO: EL PLAN DE NEGOCIOS
CAPITAL RIESGO: EL PLAN DE NEGOCIOS Importancia del Plan de Negocios Por: Juan Luis Blanco Modelo Blanco, Ureña & Asociados El plan de negocios o business plan es el conjunto de ideas en las que se fundamenta
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detallesManual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública
Manual de Aplicación Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Johana Sosa Contenido Introducción... 3 1. Conceptos
Más detallesProcedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral
Página: 1 de 1 Hoja de Control de Emisión y Revisiones. N de Revisión Páginas Afectadas Motivo del Cambio Aplica a partir de: 0 Todas Generación de documento 01-Agosto-2009 1 Todas Mejora del documento
Más detallesVentajas del software del SIGOB para las instituciones
Ventajas del software del SIGOB para las instituciones Podemos afirmar que además de la metodología y los enfoques de trabajo que provee el proyecto, el software, eenn ssi i mi issmoo, resulta un gran
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesCisco ProtectLink Endpoint
Cisco ProtectLink Endpoint Proteja la información y los usuarios de una manera fácil y asequible Cuando su mayor prioridad son los negocios, no queda tiempo para corregir los problemas de seguridad ni
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesInfraestructura Tecnológica. Sesión 1: Infraestructura de servidores
Infraestructura Tecnológica Sesión 1: Infraestructura de servidores Contextualización La infraestructura de cualquier servicio o mecanismo es importante, define el funcionamiento de los elementos en que
Más detallesQué es Gestión por Resultados?
Qué es Gestión por Resultados? La Gestión por Resultados (también denominada administración por objetivos o dirección por resultados) es un enfoque de gestión que busca incrementar la eficacia y el impacto
Más detallesDECLARACIÓN DE PRIVACIDAD DE FONOWEB
DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones
Más detallesFigure 7-1: Phase A: Architecture Vision
Fase A Figure 7-1: Phase A: Architecture Vision Objetivos: Los objetivos de la fase A son: Enfoque: Desarrollar una visión de alto nivel de las capacidades y el valor del negocio para ser entregado como
Más detallesCultura Inglesa automatiza el backup diario en 18 sucursales con CA ARCserve
CUSTOMER SUCCESS STORY Cultura Inglesa automatiza el backup diario en 18 sucursales con CA ARCserve PERFIL DEL CLIENTE Sector: Educación Organización: Cultura Inglesa São Paulo EMPRESA Fundada hace más
Más detallesIngeniería de Software. Pruebas
Ingeniería de Software Pruebas Niveles de prueba Pruebas unitarias Niveles Pruebas de integración Pruebas de sistema Pruebas de aceptación Alpha Beta Niveles de pruebas Pruebas unitarias Se enfocan en
Más detallesdeterminar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;
Soporte 6Claves para la ISO 14001-2015 BLOQUE 7: Soporte La planificación, como elemento fundamental del Ciclo PDCA (plan-do-check-act) de mejora continua en el que se basa el estándar ISO 14001, resulta
Más detallesPrácticas ITIL para un mejor flujo de trabajo en el helpdesk
Prácticas ITIL para un mejor flujo de trabajo en el helpdesk Se diferencia tres partes de gestión para mejorar la resolución de las incidencias de soporte técnico según el marco ITIL: 1. Gestión de Incidencias
Más detallesEl vínculo entre el software pirata y las violaciones a la seguridad cibernética
El vínculo entre el software pirata y las violaciones a la seguridad cibernética Para obtener más información, visite http://www.microsoft.com/en-us/news/presskits/dcu/. Para conocer los resultados completos
Más detallesBuenas Prácticas de Seguridad en el uso de dispositivos móviles. Alfredo Aranguren Tarazona, CISSP, CISA, CISM
Buenas Prácticas de Seguridad en el uso de dispositivos móviles 1 32% de los usuarios creen que no se requiere software de seguridad en sus dispositivos móviles Fuente: McAfee 2 Estado actual de la seguridad
Más detallesCREATIVIDAD E INNOVACIÓN
TALLER DE TALLER DE CREATIVIDAD E INNOVACIÓN Reglas del juego Participar Compartir experiencias Ser curioso, preguntar Objetivos del taller 1 Entender por qué son necesarias la creatividad y la innovación.
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesEL ANÁLISIS Y LA CONSTRUCCIÓN DE VIABILIDAD
FICHA Nº 20 VIABILIDAD DE LAS OPERACIONES EL ANÁLISIS Y LA CONSTRUCCIÓN DE VIABILIDAD Cuando analizamos problemas para determinar problemas asociados, procesos causales, nudos críticos y frentes de ataque
Más detallesCAPITULO 2 - POR QUÉ NECESITAN LAS EMPRESAS UN CUADRO DE MANDO INTEGRAL?
CAPITULO 2 - POR QUÉ NECESITAN LAS EMPRESAS UN CUADRO DE MANDO INTEGRAL? Los indicadores financieros. Desde hace mucho tiempo se utiliza el sistema de mediciones financiero, desde la época de los egipcios
Más detallesREPORTE REGIONAL ARGENTINA Tendencias en Argentina Tercerización del Project Management Por: Ana María Rodríguez, Corresponsal Internacional PMWT
REPORTE REGIONAL ARGENTINA Tendencias en Argentina Tercerización del Project Management Por: Ana María Rodríguez, Corresponsal Internacional PMWT Siguiendo el crecimiento de la economía en Argentina, el
Más detallesInfraestructura Tecnológica. Sesión 11: Data center
Infraestructura Tecnológica Sesión 11: Data center Contextualización La tecnología y sus avances nos han dado la oportunidad de facilitar el tipo de vida que llevamos, nos permite mantenernos siempre informados
Más detallesMaster en Gestion de la Calidad
Master en Gestion de la Calidad 3. La Calidad en la Actualidad La calidad en la actualidad 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer la calidad en la actualidad. La familia
Más detallesNEGOCIO. Industria de TI
4 NEGOCIO Industria de TI La industria de las Tecnologías de la Información (TI) se divide en tres grandes segmentos: Servicios TI: abarca una amplia gama de servicios provistos a las empresas de modo
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesSEGURIDAD GESTIONADA
SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos
Más detallesServicio de administración de pautas publicitarias en Internet
Servicio de administración de pautas publicitarias en Internet Resumen Ejecutivo Es habitual que la publicidad en Internet sea un apéndice de la publicidad en otros medios. Como no se conocen los resultados,
Más detallesModificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.
UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIA Y TECNOLOGÍA DIRECCION DE EXTENSION COORDINACION DE PASANTIAS Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere. Pasante:
Más detallesPlan de Estudios. Diploma de Especialización en Seguridad Informática
Plan de Estudios Diploma de Especialización en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías
Más detalles1.2 Alcance. 1.3 Definición del problema
1. INTRODUCCIÓN El avance de Internet y las comunicaciones de los últimos años ha provocado un interés creciente por el desarrollo de propuestas metodológicas que ofrezcan un marco de referencia adecuado
Más detalles