Actividad 7

Unidad de Aprendizaje2
Especificación de la normatividad que regula la gestión de las tecnologías de la información.
Resultado de Aprendizaje 2.2
Relaciona la normatividad y controles aplicables al software y sistemas de información, de acuerdo con la normatividad establecida en una organización.

Actividad  núm. 7

Descripción de la normatividad y políticas relacionadas con el software y servicios de Internet.

CUESTIONARIO
1.¿Qué establecerá tomar en cuenta la administración informática al planear la adquisición de un software?
2.¿Qué se requiere para un proyecto de contratación de desarrollo o construcción de software?
3.Menciona algunos de los beneficios del licenciamiento del software:
4.En que consiste la contratación de una licencia de software
5. A que se orientan principalmente los términos y condiciones del licenciamiento de software que delimitan del uso del mismo
6.¿Se encuentra denegado el acceso a páginas Web no-permitidas?
7.¿Existe un tamaño máximo permitido para envío/recibo de archivos?
8.¿El usuario es responsable de la utilización que le dé a los servicios de Correo electrónico y de Internet?
9. ¿El personal tiene completamente prohibido instalar copias ilegales de cualquier programa?
10.¿Manejan Cuentas de Usuario? ¿Cuáles?

11.¿Requieren criterios en la construcción de contraseñas seguras? ¿Cuáles?
TABLAS DE COTEJO
LISTA DE COTEGO “INFORME SOBRE LAS POLITICAS Y CONTROLES EN LOS RECURSOS INFORMATICOS”
Normas
Bajo
Medio
Alto
Planea la adquisición de un software
Licenciamiento del software
Acceso restringido a páginas Web no-permitidas
Políticas de acceso a internet
Hay procedimientos para respaldos de información
Manejan Mecanismos de seguridad
El Reglamento establece los niveles de seguridad de forma acumulativa; así, en caso de tratamiento de ficheros de nivel medio, deberán implantarse todas y cada una de las medidas de seguridad descritas para el nivel básico y las del medio. Igualmente sucederá con los ficheros de nivel alto, que deberán implantar las medidas descritas para el nivel básico, el medio y el alto. En resumen:
• Nivel Básico: Para todos los ficheros de datos de carácter personal.
• Nivel Medio: Serán adoptadas para:
a) Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales.
b) Ficheros que contengan datos sobre Hacienda Pública.
c) Ficheros que contengan datos sobre Servicios Financieros.
d) Ficheros que contengan datos sobre solvencia patrimonial y crédito.
e) Ficheros que contengan un conjunto de datos suficientes que permitan elaborar un perfil del afectado (se les aplican las medidas descritas en los art.17 a 20).
• Nivel Alto: Aquellos que contengan datos de ideología, religión, creencias, origen racial, salud, vida sexual.

Medidas de Seguridad by Katy Cruz

INFORME

INTRODUCCIÓN
La adquisición de software es un proceso en el cual el usuario tiene que seguir un proceso para poder obtener los mejores software que le convengan adquirir, Toda adquisición de tecnología informática se efectúa a través del Comité, que está conformado por el personal de la Administración de Informática y Gerente Administrativo de la unidad solicitante de bienes o servicios informáticos. La Administración de Informática, al planear las operaciones relativas a la adquisición de Bienes informáticos, establecerá prioridades y en su selección deberá tomar en cuenta: estudio técnico, precio, calidad, experiencia, desarrollo tecnológico, estándares y capacidad, entendiéndose por:
Precio.- Costo inicial, costo de mantenimiento y consumibles por el período estimado de uso de los equipos;
Calidad.- Parámetro cualitativo que especifica las características técnicas de los recursos informáticos.
Experiencia.- Presencia en el mercado nacional e internacional, estructura de servicio, la confiabilidad de los bienes y certificados de calidad con los que se cuente;
Desarrollo Tecnológico.- Se deberá analizar su grado de obsolescencia, su nivel tecnológico con respecto a la oferta existente y su permanencia en el mercado;
Estándares.- Toda adquisición se basa en los estándares, es decir la arquitectura de grupo empresarial establecida por el Comité. Esta arquitectura tiene una permanencia mínima de dos a cinco años.
Capacidades.- Se deberá analizar si satisface la demanda actual con un margen de holgura y capacidad de crecimiento para soportar la carga de trabajo del área.
En el tema de instalación de programas de cómputo nos habla ampliamente de las reglas normas, y requisitos que debe adquirir dicho usuario para poder obtener un programa de cómputo.  En el tema de acceso a internet, correo electrónico y mensajería veremos cómo es que el usuario es completamente consiente del uso que le da a dichos programas y al uso de internet, de igual forma siguiendo dichos requisitos.

DESARROLLO
En términos generales se puede definir que el Software es un conjunto de programas para llevar a cabo un objetivo específico y a su vez un programa es un conjunto de instrucciones que realizan una tarea para cumplir dicho objetivo.
Conjunto de programas o listas de instrucciones codificadas los cuales le permiten a la computadora realizar una o varias funciones.
Una vez que se conocen los requerimientos de los sistemas que se va a desarrollar, se debe hacer una comparación entre todos los paquetes que cumplen con las condiciones que se requieren y así elegir el más apto.
Preguntas se deben hacer en cuanto a requerimientos de Software:
• ¿Qué transacciones y qué tipos de datos vamos a manejar?
• ¿Qué reportes o salidas debe producir el sistema?
• ¿Qué archivos y bases de datos se manejan en el sistema?
• ¿Cuál es el volumen de datos a almacenar?
• ¿Cuál es el volumen de operaciones?
• ¿Qué hardware y características de comunicaciones se requiere?
• ¿Cuánto cuesta?
Después de responder las preguntas anteriores hay que realizar lo siguiente:
1.       Determinar las necesidades actuales y futuras de la empresa.
2.        Formar un comité experto (para asesoría acerca del software).
3.       3.   Determinar los requerimientos del sistema a comprar.
4.       4.   Solicitud de Propuesta. (Request For Proposals)
5.       5.   Buscar Proveedores que se apegue a nuestros requerimientos.
6.       6.   Evaluación de alternativas propuestas del Proveedor.
7.       7.   Tomar decisión en base a la propuesta.
8.       8.   Formato de Compra y Negociación del Contrato.
9.       9.   Trámite de adquisición del software
10.         Verificar que el software llegue completo
11.   •     Sacar una copia del sistema (respaldo)
12.   •     Se registra la fecha, proveedor y tipo de software
13.   •     Se le entrega al usuario una copia
14.   •     Instalación
15.   •     Capacitación al Usuario
Para la adquisición de Software base y utilitarios, el Comité dará a conocer periódicamente las tendencias con tecnología de punta vigente.
Como en la lista de productos autorizados:
1.-   Plataformas de Sistemas Operativos:
MS-DOS, MS- Windows 95 Español, Windows NT, Novell Netware, Unix (Automotriz).
2.-  Bases de Datos: Foxpro, Informix
3.-  Manejadores de bases de datos: Foxpro para DOS, VisualFox, Access.
4.-  Lenguajes de programación: Los lenguajes de programación que se utilicen deben ser compatibles con las plataformas enlistadas.
·         SQL Windows
·         Visual Basic
·         VisualFox
·         CenturaWeb
·         Notes Designer
 5.-  Hojas de cálculo: Excel
 6.-  Procesadores de palabras: Word
 7.-  Diseño Gráfico: Page Maker, Corel Draw
 8.-  Programas antivirus.prot, Command Antivirus, Norton Antivirus
 9. - Correo electrónico Notes Mail
 11.-   Browser de Internet Netscape

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información. Estos riesgos que se enfrentan han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas.
1.       Todos los usuarios con acceso a un sistema de información o a una red informática, dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña.
2.       Ningún usuario recibirá un identificador de acceso a la Red de Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no acepte formalmente la Política de Seguridad vigente.
3.       Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por el responsable de la información.
INSTALACIÓN DE PROGRAMAS DE CÓMPUTO
La instalación de los programas la realizarán exclusivamente los enlaces informáticos titulares o suplentes, quienes contarán con la supervisión y asesoría del personal técnico asignado por la  institución.
La instalación de programas se hará conforme con lo que establece la oficina de sistemas de información, instrucciones del manufacturero de ambos. De surgir discrepancias relacionadas con la instalación, las cuales no fueron acordadas por escrito, la oficina de sistemas de información determinara finalmente la acción a seguir previo a realizarse la instalación, sin que se afecten los servicios y labores de la oficina.
ü  Todos los productos de Software que se utilicen a partir de la fecha en que entre en vigor el presente ordenamiento, deberán contar con su licencia de uso respectiva; por lo que se promoverá la regularización o eliminación de los productos ya instalados que no cuenten con el debido licenciamiento.
ü  Todos los productos de Software que se adquieran deberán contar con su licencia de uso, documentación y garantía respectivos.

ACCESO A INTERNET
ü  La autorización de acceso a Internet se concede exclusivamente para actividades de trabajo. Todos los colaboradores de la institución tienen las mismas responsabilidades en cuanto al uso de Internet.
ü  El acceso a Internet se restringe exclusivamente a través de la Red establecida para ello, es decir, por medio del sistema de seguridad con cortafuegos incorporado en la misma.
ü  No está permitido acceder a Internet llamando directamente a un proveedor de servicio de acceso y usando un navegador, o con otras herramientas de Internet conectándose con un módem.
ü  Internet es una herramienta de trabajo. Todas las actividades en Internet deben estar en relación con tareas y actividades del trabajo desempeñado.
ü  Sólo puede haber transferencia de datos de o a Internet en conexión con actividades propias del trabajo desempeñado.
ü  En caso de tener que producirse una transmisión de datos importante, confidencial o relevante, sólo se podrán transmitir en forma encriptada.
Políticas Para el Uso de Internet
Las facilidades de Internet no deben ser utilizados deliberadamente para violar de forma alguna las leyes y regulaciones de cualquier nación, departamento, provincia o estado, ciudad o jurisdicción local. Se debe cumplir con las leyes del país y también con las internacionales. Por lo tanto, vale la pena recordar que se debe respetar la legislación sobre derechos de autor, en especial sobre uso de software.
Los usuarios con acceso a Internet no pueden cargar o enviar software con licencia de la institución o datos de propiedad del Centro sin una autorización explícita del administrador responsable de dicho software o datos
ACCESO CORREO ELECTRÓNICO
Toda salida de información  por correo electrónico sólo podrá ser realizada por personal autorizado y será necesaria la autorización formal del responsable del área del que proviene. Además, en la salida de datos especialmente protegidos, se deberán cifrar los mismos o utilizar cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada durante su transporte.
CORREO INTERNO: Los usuarios pueden enviar y recibir correo interno  es un servicio básico y está a disposición para los usuarios en la Red de Trabajo
CORREO EXTERNO: Es el correo que sale de la institución a través de Internet. Con el fin de comunicarse con usuarios en otras instituciones, los usuarios afiliados al servicio pueden enviar y recibir correo externo a través de Internet.
Políticas Para el Uso del Correo Electrónico
El uso principal del correo electrónico es la comunicación entre usuarios a través de la transmisión de información y datos de manera fácil, rápida y segura.
ü  Los mensajes de correos electrónicos enviados y recibidos quedan almacenados en el servidor de correo y por lo tanto hacen parte del archivo histórico de la institución.
ü  Ninguna persona está autorizada para acceder información de otro usuario. Solamente por motivos jurídicos o disciplinarios se abrirán los archivos a las instancias correspondientes, previo permiso de una autoridad competente.
ü  Cada usuario es responsable de la utilización que le dé a los servicios de Correo electrónico y de Internet, los cuales deben utilizarse con mesura y ética profesional.
ü  Cada cuenta de correo tiene una protección suficiente para evitar su uso no autorizado, los usuarios no deben suministrar o escribir en un sitio visible su clave de entrada (Password). El uso de la misma es total responsabilidad del usuario.
Cuando se envía un correo electrónico es muy importante escribir el tema en la línea Subject con el fin de facilitarle al receptor la identificación y organización de los mensajes.
El correo electrónico permite el envío de mensajes con un grado de prioridad (baja, normal, alta). Es importante que sólo se utilice la alta prioridad (urgente) para mensajes de extrema importancia, y no para toda clase de mensajes. Un mensaje con carácter de “urgente” que no merezca esta clasificación, produce tensión innecesaria en el receptor.
Se sugiere utilizar archivos adjuntos cuando se envían documento a otros usuarios y se recomienda utilizar archivos en formato .PDF.
POLÍTICAS DE USO DE CUENTAS DE USUARIO DEL SISTEMA
Propósito
Dar a conocer las políticas generales para el uso de las cuentas (usuario - contraseña) de acceso a los Sistemas Web Institucionales.
 Alcance
El alcance de estas políticas incluye a todo usuario de sistema Web que tenga un rol, cuyas actividades sean de administración del sistema, de gestión o cualquier otro acceso que sí esté permitido.

Política General
  1. El uso de la cuenta de usuario es responsabilidad de la persona a la que está asignada. La cuenta es para uso personal e intransferible.
  2. La cuenta de usuario se protegerá mediante una contraseña. La contraseña asociada a la cuenta de usuario, deberá seguir los Criterios para la Construcción de Contraseñas Seguras descrito más abajo.
  3. Las cuentas de usuario (usuario y contraseña) son sensibles a mayúsculas y minúsculas, es decir que estas deben ser tecleadas como están.
  4. No compartir la cuenta de usuario con otras personas: compañeros de trabajo, amigos, familiares, etc.
  5. Si otra persona demanda hacer uso de la cuenta de usuario hacer referencia a estas políticas. De ser necesaria la divulgación de la cuenta de usuario y su contraseña asociada, deberá solicitarlo por escrito y dirigido al Administrador del Sistema.
  6. Si se detecta o sospecha que las actividades de una cuenta de usuario puede comprometer la integridad y seguridad de la información, el acceso a dicha cuenta será suspendido temporalmente y será reactivada sólo después de haber tomado las medidas necesarias a consideración del Administrador del Sistema.
  7. Tipos de Cuentas de Usuario
Para efectos de las presentes políticas, se definen dos tipos de cuentas de usuario:
1. Cuenta de Usuario de Sistema de Información: todas aquellas cuentas que sean utilizadas por los usuarios para acceder a los diferentes sistemas de información. Estas cuentas permiten el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran reguladas por los roles de usuario del Sistema.
2. Cuenta de Administración de Sistema de Información: corresponde a la cuenta de usuario que permite al administrador del Sistema realizar tareas específicas de usuario a nivel directivo, como por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema.
  1. Todas las contraseñas para acceso al Sistema Web con carácter administrativo deberán ser cambiadas al menos cada 6 meses.
  2. Todas las contraseñas para acceso al Sistema Web de nivel usuario deberán ser cambiadas al menos cada 12 meses.
  3. Todas las contraseñas deberán ser tratadas con carácter confidencial.
  4. Las contraseñas de ninguna manera podrán ser transmitidas mediante servicios de mensajería electrónica instantánea ni vía telefónica.
  5. Si es necesario el uso de mensajes de correo electrónico para la divulgación de contraseñas, estas deberán transmitirse de forma cifrada.
  6. Se evitará mencionar y en la medida de lo posible, teclear contraseñas en frente de otros.
  7. Se evitará el revelar contraseñas en cuestionarios, reportes o formas.
  8. Se evitará el utilizar la misma contraseña para acceso a los sistemas operativos y/o a las bases de datos u otras aplicaciones.
  9. ¿Se evitará el activar o hacer uso de la utilidad de? Recordar Contraseña? o ?Recordar Password? de las aplicaciones.
  10. No se almacenarán las contraseñas en libretas, agendas, post-it, hojas sueltas, etc. Si se requiere el respaldo de las contraseñas en medio impreso, el documento generado deberá ser único y bajo resguardo.
  11. No se almacenarán las contraseñas sin encriptación, en sistemas electrónicos personales (asistentes electrónicos personales, memorias USB, teléfonos celulares, agendas electrónicas, etc.).
  12. Si alguna contraseña es detectada y catalogada como no segura, deberá darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha contraseña.
 Criterios en la construcción de contraseñas seguras
Una contraseña segura deberá cumplir con las siguientes características:
  • La longitud debe ser al menos de 8 caracteres.
  • Contener caracteres tanto en mayúsculas como en minúsculas.
  • Puede tener dígitos y caracteres especiales como _, -, /, *, $, ¡, ¿, =, +, etc.
  • No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc.
  • No debe ser un palíndromo (ejemplo: agasaga)
  • No debe ser basada en información personal, nombres de familia, etc.
  • Procurar construir contraseñas que sean fáciles de recordar o deducir.
  • Algunos ejemplos de contraseñas NO seguras por si solas:
  • Nombres de familiares, mascotas, amigos, compañeros de trabajo, personajes, etc.
  • Cualquier palabra de cualquier diccionario, términos, sitios, compañías, hardware, software, etc.
  • Cumpleaños, aniversarios, información personal, teléfonos, códigos postales, etc.
  • Patrones como 1234?, aaabbb, qwerty, zyxwvuts, etc.
  • Composiciones simples como: MINOMBRE1, 2minombre, etc.
RESPALDOS DE INFORMACION
Respaldar la información significa copiar el contenido lógico de nuestro sistema informático a un medio que cumpla con una serie de exigencias:
1. Ser confiable: Minimizar las probabilidades de error. Muchos medios magnéticos como las cintas de respaldo, los disquetes, o discos duros tienen probabilidades de error o son particularmente sensibles a campos magnéticos, elementos todos que atentan contra la información que hemos respaldado allí.  Otras veces la falta de confiabilidad se genera al rehusar los medios magnéticos. Las cintas en particular tienen una vida útil concreta. Es común que se subestime este factor y se reutilicen más allá de su vida útil, con resultados nefastos, particularmente porque vamos a descubrir su falta de confiabilidad en el peor momento: cuando necesitamos RECUPERAR la información.
2. Estar fuera de línea, en un lugar seguro: Tan pronto se realiza el respaldo de información, el soporte que almacena este respaldo debe ser desconectado de la computadora y almacenado en un lugar seguro tanto desde el punto de vista de sus requerimientos técnicos como humedad, temperatura, campos magnéticos, como de su seguridad física y lógica. No es de gran utilidad respaldar la información y dejar el respaldo conectado a la computadora donde potencialmente puede haber un ataque de cualquier índole que lo afecte.
3. La forma de recuperación sea rápida y eficiente: Es necesario probar la confiabilidad del sistema de respaldo no sólo para respaldar sino que también para recuperar. Hay sistemas de respaldo que aparentemente no tienen ninguna falla al generar el respaldo de la información pero que fallan completamente al recuperar estos datos al sistema informático. Esto depende de la efectividad y calidad del sistema que realiza el respaldo y la recuperación. 
Esto nos lleva a que un sistema de respaldo y recuperación de información tiene que ser probado y eficiente.
Clasificación de respaldos
 Copias de Información (Backups).
 Estos respaldos son sólo duplicados de archivos que se guardan en "Tape Drives" de alta capacidad. Los archivos que son respaldados pueden variar desde archivos del sistema operativo, bases de datos , hasta archivos de un usuario común. Existen varios tipos de Software que automatizan la ejecución de estos respaldos, pero el funcionamiento básico de estos paquetes depende del denominado archive bit. Este archive bit indica un punto de respaldo y puede existir por archivo o al nivel de "Bloque de Información" (típicamente 4096 bytes), esto dependerá tanto del software que sea utilizado para los respaldos así como el archivo que sea respaldado. Este mismo archive bit es activado en los archivos (o bloques) cada vez que estos sean modificados y es mediante este bit que se llevan a cabo los tres tipos de respaldos comúnmente utilizados:
 Respaldo Completo ("Full"): Guarda todos los archivos que sean especificados al tiempo de ejecutarse el respaldo. El archive bit es eliminado de todos los archivos (o bloques), indicando que todos los archivos ya han sido respaldados.
 Respaldo de Incremento ("Incremental"): Cuando se lleva a cabo un Respaldo de Incremento, sólo aquellos archivos que tengan el archive bit serán respaldados; estos archivos (o bloques) son los que han sido modificados después de un Respaldo Completo. Además cada Respaldo de Incremento que se lleve a cabo también eliminará el archive bit de estos archivos (o bloques) respaldados.
 Respaldo Diferencial ("Differential"): Este respaldo es muy similar al "Respaldo de Incremento", la diferencia estriba en que el archive bit

Secuencia de Respaldo GFS (Grandfather-Father-Son)
Esta secuencia de respaldo es una de las más utilizadas y consiste en Respaldos Completos cada semana y Respaldos de Incremento o Diferenciales cada día de la semana.
CONCLUSIÓN
Hemos llegado a la conclusión de dicho tema en el  cual aprendimos cosas que no sabíamos acerca de lo que es la instalación de programas de cómputo y acceso a Internet correo electrónico y mensajería, normas y requisitos que los usuarios deben de seguir. Como en los demás temas como adquisición de software que en la generalidad de los casos, sólo se adquirirán las últimas versiones liberadas de los productos seleccionados, salvo situaciones específicas que se deberán justificar ante el Comité. Todos los productos de Software que se adquieran deberán contar con su licencia de uso, documentación y garantía respectivos. También es importante que para la contratación del servicio de desarrollo o construcción de Software aplicativo se observará lo siguiente:
Todo proyecto de contratación de desarrollo o construcción de software requiere de un estudio de factibilidad que permita establecer la rentabilidad del proyecto así como los beneficios que se obtendrán del mismo. Todo proyecto deberá ser aprobado por el Comité en base a un informe técnico que contenga lo siguiente:
Bases del concurso (Requerimientos claramente especificados).
Análisis de ofertas (Tres oferentes como mínimo) y Selección de oferta ganadora


Bibliografía:
http://sistemas.cenac.ipn.mx/ServicioSocial/politicas/UsoDeCuentas.do;jsessionid=75A45692CDE9B1CAB9AB53EEEDF560B7
http://www.monografias.com/trabajos14/respaldoinfo/respaldoinfo.shtml#ixzz30wOk0V00


7 comentarios:

Suscribirse a: Entradas (Atom)