Este documento proporciona sugerencias para mejorar la seguridad en las operaciones de centros de procesamiento de datos. Recomienda implementar controles de acceso, sistemas de vigilancia y control de accesos. También sugiere definir responsabilidades claras para la protección de activos, mantener al personal informado y utilizar herramientas de gestión para el cumplimiento de protocolos.
1. SUGERENCIAS PARA MEJORAR LA SEGURIDAD EN LAS OPERACIONESDE PD O CENTRO DE CÓMPUTOO ÁREA DE SISTEMAS Equipo Nº 11 UNFV – FIIS -2011 Universidad Nacional Federico Villarreal
8. Control de seguridad (seguridad perimetral, sistemas de vigilancia, sistemas de control de accesos...)
9. Seguridad Perimetral Acceso restringido por control de tarjeta magnética y contraseña. Sistema generalizado de alarmas. Televigilancia.
10.
11. Definir responsabilidades para seguridad de activos y Mantener informado al personal sobre los posibles cambios que se realicen en los protocolos, normas o roles Las responsabilidades específicas para la protección de los datos, sistemas, programas, unidades de equipo, etc. deben ser firmemente mantenidos si se desea una seguridad adecuada
12. OBJETIVO Debieran identificarse los propietarios para todos los activos importantes, y se debería asignar la responsabilidad de mantenimiento apropiados. La responsabilidad de controles debería delegarse. Pero la responsabilidad debería mantenerse en el propietario designado del activo.
13. Activos de información Activos de software Activos físicos Servicios Otros… TIPOS DE ACTIVOS
14. RESPONSABILIDADES Los propietarios de los activos deben ser responsables por: a) asegurar que la información y los activos asociados con las instalaciones de procesamiento de información son apropiadamente clasificadas; b) definiendo y revisando periódicamente las restricciones de acceso y las clasificaciones, tomando en cuenta políticas de control aplicables. La propiedad debe ser asignada a: Proceso de negocios; Un conjunto definido de actividades; Una paliación; Un conjunto definido de datos.
15.
16.
17. SUGERENCIA N° 3 – ENVOLVER A UN GRUPO DE GENTE EN FUNCIONES SENSITIVAS
18. FUNDAMENTO DE LA SUGERENCIA Hasta el grado permitido por el tamaño de sus operaciones la responsabilidad de escribir, procesar o autorizar un programa, trabajo o específicamente un cambio, debe ser asignadas a diferentes personas. La separación efectiva de funciones sensitivas relacionadas ayudará a reducir los errores y el riesgo de actos no autorizados cometidos deliberadamente por el personal de Procesamiento de Datos. Se debe auditar de tal manera que el Jefe pueda llevar funciones para asegurar que cada persona está desempeñando únicamente su rol. Por ejemplo, el Jefe puede comparar el registro de la consola con las órdenes de trabajo para determinar si el operador ha estado autorizado para procesar todos y cada uno de los trabajos efectuados.
19. RESPONSABILIDADES Y OBLIGACIONES Ubicándonos dentro de un grupo de personas, donde las responsabilidades y la forma de operar están estipuladas en el MOF. Se llega a notar ciertos casos donde por circunstancias del momento y el desconocer completamente las limitaciones de sus funciones lo llevan a transgredir actos que quizás perjudiquen tanto a la empresa como a su persona.
21. CICLO DE VIDA DEL PROYECTO DE DESARROLLO DE SOFTWARE Áreas donde intervendrán personas
22. DESCRIPCION DE FASES El primer paso interviene el analista este se pone en contacto con la empresa para ver como esta conformada, a que se dedica, saber todas las actividades que realiza en si, conocer la empresa de manera general. El segundo paso interviene el diseñador. Su trabajo consiste en evaluar posibles soluciones y escoger las más apropiadas de acuerdo a su experiencia y a los recursos disponibles. Las actividades del diseño incluyen el diseño arquitectural, la especificación del sistema, el diseño de componentes, el diseño de la estructura de datos y el diseño de los algoritmos. El tercer paso, el programador se encargara de desarrollar todo el código del sistema, esto se hace ya dependiendo de que cada programador tiene sus bases o formas para realizarlo pero en si deben llegar todos al mismo objetivo de ofrecerle funcionalidad al sistema siempre y cuando apegándose a las especificaciones del cliente. El cuarto paso son las pruebas, es donde al sistema se pone a prueba como su palabra lo dice para así poder saber cuales son los posibles errores que se están generando del sistema y con ello mejorarlo para eliminar todos los errores que se puedan presentar por que un programa con menor error es mayor calidad puede llegar a tener flexibilidad y seguridad. El quinto y último paso es la instalación una vez realizado las pruebas correspondientes al sistema y haberlo corregido totalmente se procede a la instalación del mismo ya en la empresa para su uso correspondiente, todo con la finalidad de que los procesos se realicen de una manera más eficiente eliminando costos, tiempo y esfuerzo dentro de la organización.
26. ALCANCE FINAL La naturaleza exacta del trabajo para realizar completamente las tareas, son especificadas en un paquete de trabajo. El paquete de trabajo típicamente consiste de un nombre, una descripción del trabajo a realizar, las condiciones para iniciar las tareas, la duración estimada de la tarea, recursos requeridos (ejemplo: número y tipo de personal, máquinas, sw, herramientas, viajes, soporte secretarial), el producto del trabajo a ser producido, los criterios de aceptación para el producto, el riesgo, los criterios de término de la tarea y las tareas sucesoras.
31. Adoctrinar al personal de procesamiento de datos en la importancia de la seguridad y la responsabilidad de cada uno en su mantenimiento.
32.
33. Es necesario que el personal de Procesamiento de Datos esté enterado de cómo afecta su rol clave, en cada una de las áreas que soporta. Ejemplo: Área De planillas
34. Cuando la gente de Procesamiento de Datos esté consciente de la importancia de sus actividades, la organización entera puede beneficiarse. Ejemplo: Datos de calidad
35. Una de las funciones muy importantes de los responsables de comunicaciones es mantener controlado el uso de los datos de la compañía y los sistemas de transmisión. Ejemplo: SIGED - SUNAT Reportes Comunicación Incidente Vulnerabilidad
36. Además de controlar el uso del sistema por empleados autorizados, deben también considerarse los problemas relativos a empleados que pueden tener acceso al computador, pero que no están autorizados a usar programas o acceder a los ficheros de bases de datos, así como los problemas con individuos ajenos a la organización