1. Especificación de la normatividad
que regula la gestión de las
tecnologías de la información.
RELACIONA LA NORMATIVIDAD Y CONTROLES APLICABLES AL SOFTWARE Y
SISTEMAS DE INFORMACIÓN, DE ACUERDO CON LA NORMATIVIDAD
ESTABLECIDA EN UNA ORGANIZACIÓN.
Plantel 091. San Nicolás de los Garza I.
2. Unidad de aprendizaje: Especificación de la normatividad que regula la gestión de las
tecnologías de la información.
Propósito de la unidad Especifica detalladamente las políticas y controles característicos
aplicables a los bienes informáticos, de acuerdo con la normatividad
establecida en una organización, para su regulación en la gestión del
de las Tecnologías de la Información.
Resultado de aprendizaje 2.2 Relaciona la normatividad y controles aplicables al software y
de información, de acuerdo con la normatividad establecida en una
organización.
Actividad de evaluación 2.2.1 Elabora informe de las políticas y controles establecidas para
los recursos informáticos de una organización.
3. Adquisición de programas de cómputo.
Licenciamiento de Software.
Instalación y/o actualización de programas de
cómputo.
Respaldos de información
A. Identificación de las políticas y
controles aplicables al software y de
sistemas de una organización.
4. Adquisición de programas de cómputo.
Para adquirir el software se debe tener en cuenta las necesidades de la
organización para ello es necesario el estudio de estas necesidades y así
mismo definir las fases previo la adquisición del software que permita
obtener una ventaja sobre los procesos administrativo y operativos de la
empresa.
A continuación definiremos las etapas que se han considerado sean las
mas acordes dentro de nuestra organización:
5.
6. Otras de las etapas de adquisición de software:
Identificación de las necesidades en mi empresa
Identificación de los posibles proveedores
Establecer contacto
Ubicar la compra y el criterio de uso
Evaluar alternativas
Disponibilidad del presupuesto
Evaluar alternativas específicas
Negociar
Adquirir
Instalación del software
Evaluación posterior a la compra del Software seleccionado
7. Otros de los aspectos que definen la adquisición del software son los criterios de
evaluación.
Si bien es necesario que el software a adquirir cumpla con las necesidades actuales
que se desea cubrir se deben contemplar otros aspectos tales como las necesidades
futuras, la adaptabilidad, los recursos de hardware y software, mantenimiento,
documentación, calidad del servicio y costos.
Otro de los factores importantes de considerar es el contrato que se adquiere con el
software, la negociación de estos contratos es un proceso legal y debe involucrarse a
los expertos de la organización.
A continuación se realizara un estudio que determinara el proceso mencionado
acorde a mi empresa pues si bien los factores y etapas antes definidas son esenciales
para la consideración de adquisición del software, se debe contemplar y responder a
ciertas preguntas que definirán las necesidades primordiales que determinaran el
alcance del software:
Preguntas que debo hacerme en cuanto a requerimientos de Software:
8. ¿Qué transacciones y qué tipos de datos vamos a manejar?
Las transacciones a realizar en mi empresa son de tipo comercial por lo que se determina
como una mediana empresa la cual receptara una cierta cantidad de información la cual
deberá ser respaldada y salvaguardada de forma oportuna.
¿Qué reportes o salidas debe producir el sistema?
Los reportes que requiere mi empresa son registros de ventas y de consumo de activos así
mismo cada área deberá realizar sus reportes de manera oportuna.
¿Qué archivos y bases de datos se manejan en el sistema?
Los datos a guardarse en la base de datos serán de tipo privado como información
confidencial de clientes y registros de actividades financieros de la organización
¿Cuál es el volumen de datos a almacenar?
El volumen de datos a manejar sera un volumen medio por lo que se considera tener la
base de datos en la nube de forma escalable y una base de datos física en el servidor de
apoyo.
9. Licenciamiento de Software.
Contrato por el cual un autor o titular de los derechos patrimoniales de una
obra, software (programa informático), autoriza al usuario (persona natural o
jurídica) para utilizar dicha obra – y sus recursos asociados; cumpliendo una
serie de términos y condiciones. Las licencias de software adquiridas por la
UACJ, además de definir el tipo de software, también puede definir elementos
tales como:
Plazo: la duración en el tiempo durante la cual se mantienen vigentes los
términos y condiciones establecidos en licencia, que pueden ser: (a) Licencias
con plazo específico (Vitalicias, Requiere Actualizaciones). (b) Licencias de
plazo indefinido (Vitalicias, No Caduca). (c) Licencias sin especificación de plazo
(Su uso vence). (d) Licencias Libre (Software Libre o free).
El uso del software: Licencias de instalación en servidor y uso de usuario final
por concurrencia, Licencias cliente servidor y Licencias para uso de acceso web.
10. El uso de Hardware y de Software autorizado esta regulado por las siguientes
normas:
1. Toda dependencia podrá utilizar UNICAMENTE el hardware y el
software que el departamento de sistemas le haya instalado y oficializado mediante
el "Acta de entrega de equipos y/o software".
2. Tanto el hardware y software, como los datos, son propiedad de la
empresa. su copia o sustracción o daño intencional o utilización para fines distintos a
las labores propias de la compañía, será sancionada de acuerdo con las normas y
reglamento interno de la empresa.
3. El departamento de sistemas llevara el control del hardware y el
software instalado, basándose en el número de serie que contiene cada uno.
4. Periódicamente, el departamento de sistemas efectuará visitas para
verificar el software utilizado en cada dependencia. Por lo tanto, el detectar software
no instalado por esta dependencia, será considerado como una violación a las
normas internas de la empresa.
11. 5. Toda necesidad de hardware y/o software adicional debe ser solicitada
por escrito al departamento de sistemas, quien justificará o no dicho requerimiento,
mediante un estudio evaluativo.
6. El departamento de sistemas instalará el software en cada computador y
entregará al área usuaria los manuales pertinentes los cuales quedaran bajo la
responsabilidad del Jefe del departamento respectivo.
7. Los diskettes que contienen el software original de cada paquete serán
administrados y almacenados por el departamento de sistemas.
8. El departamento de sistemas proveerá el personal y una copia del
software original en caso de requerirse la reinstalación de un paquete determinado.
12. 9. Los trámites para la compra de los equipos aprobados por el
departamento de sistemas, así como la adecuación física de las instalaciones serán
realizadas por la dependencia respectiva.
10. La prueba, instalación y puesta en marcha de los equipos y/o
dispositivos, serán realizada por el departamento de sistemas, quien una vez
compruebe el correcto funcionamiento, oficializara su entrega al área respectiva
mediante el "Acta de Entrega de Equipos y/o Software".
11. Una vez entregados los equipos de computación y/o el software por el
departamento de sistemas, estos serán cargados a la cuenta de activos fijos del área
respectiva y por lo tanto, quedaran bajo su responsabilidad.
12. Así mismo, el departamento de sistemas mantendrá actualizada la
relación de los equipos de computación de la compañía, en cuanto a numero de serie
y ubicación, con el fin que este mismo departamento verifique, por lo menos una vez
al año su correcta destinación.
13. El departamento de sistemas actualizará el software comprado cada vez
que una nueva versión salga al mercado, a fin de aprovechar las mejoras realizadas a
los programas, siempre y cuando se justifique esta actualización.
13. Instalación y/o actualización de
programas de cómputo.
Mientras hacemos uso de Internet y sus servicios, los ciberdelincuentes- de forma análoga
a como haría un ladrón al intentar entrar a robar a una casa– desarrollan software
malicioso para aprovechar cualquier vulnerabilidad en el sistema a través del cual infectar
el equipo. Para ello, suelen aprovechar las vulnerabilidades más recientes que tienen
tanto el sistema operativo como las aplicaciones instaladas en el mismo. Hay que tener en
cuenta que cuanto más tiempo tardemos en actualizar nuestros equipos
más tiempo estaremos expuestos a que cualquier tipo de malware pueda explotar alguna
vulnerabilidad y nuestro equipo quede bajo el control del atacante.
Para facilitar esta tarea, la mayoría de aplicaciones y sistemas operativos tienen la opción
de actualizar el sistema automáticamente, lo que permite tener los programas
actualizados sin la necesidad de comprobar manual y periódicamente si la versión
utilizada es la última disponible y, por tanto, la más segura.
14. Estas actualizaciones de software vienen justificadas por diferentes motivos:
Corregir las vulnerabilidades detectadas.
Proporcionar nuevas funcionalidades o mejoras respecto a las versiones anteriores.
Aunque es posible hacer la actualización de forma manual, lo más sencillo es hacerlo
de
forma automática. De esta forma el propio sistema busca las actualizaciones y las
descarga e instala sin que nosotros tengamos que intervenir en el proceso
15. Respaldos de información
No todo el mundo necesita un procedimiento para establecer políticas de
respaldos. Si usted está respaldando todos sus servidores hacia un único
dispositivo de respaldo, tales como una biblioteca de cintas, un método
formal para establecer políticas de respaldo es algo excesivo. Sin embargo,
si usted tiene que respaldar múltiples sistemas, posiblemente usando
diferente hardware o software, un procedimiento formal es probablemente
una buena idea.
Pero cuando usted es responsable de las copias de seguridad en múltiples
sistemas, no solo necesita políticas respaldo, sino también un
procedimiento bien comprendido para establecer esas políticas.
16. Un buen procedimiento de respaldo debe incluir las siguientes siete reglas:
1. Establece políticas coherentes
Su procedimiento debe animar, si no exigir, políticas de respaldo coherentes a través de todos los
servidores y dispositivos de respaldo de su empresa. Esto no siempre es posible, especialmente en el caso
de dispositivos de respaldo mixtos (tales como respaldar el centro de datos con un VTL y oficinas remotas
con una unidad de cinta directamente conectada al servidor).
2. Se asegura de que las políticas son claras y tan fáciles de aplicar como sea posible
Una política que no sea seguida de manera consistente porque es confusa no es mucho mejor que no
tener ninguna política en absoluto. Lo ideal sería que todo el mundo entendiera la política y por qué existe.
Eso significa poner la justificación por escrito.
3. Establece métricas
Un procedimiento eficaz tiene formas claras, medibles y apropiadas de comprobación para ver que se
están siguiendo las políticas. El software de respaldo moderno con funciones automáticas de gestión de
políticas ayuda considerablemente con esto.
4. Se esfuerza por quitar al humano del circuito
Una buena política saca a la gente fuera del proceso de respaldo tanto como sea posible, porque las
máquinas son simplemente más fiables. Por lo general, no es posible eliminar por completo a los seres
humanos del proceso por razones económicas o de otra índole, pero minimizar su influencia debe ser un
objetivo del procedimiento.
17. 5. Recoge retroalimentación continua
Un procedimiento eficaz crea políticas que reaccionan ante el mundo real. Eso significa que usted tiene que
hacer un esfuerzo para averiguar a través de las personas en las trincheras qué tan bien están
funcionamiento realmente las políticas. Idealmente, esto es más que un esfuerzo pasivo. Los
administradores de almacenamiento deben buscar activamente las opiniones de las personas afectadas por
las partes interesadas, especialmente la gente que está haciendo el trabajo.
6. Obtiene compromiso
Usted lo ha oído antes: Obtenga el compromiso de las personas que hacen el trabajo. Sin embargo, es
especialmente importante en este caso porque la gran mayoría de las fallas en el respaldo y la restauración
tienen un error humano como su causa raíz. (La mayoría de los estudios muestran al error humano como la
segunda causa de fallas en los respaldos, por detrás de los fallos de medios. Sin embargo, muchos de esos
fallos de medios son el resultado directo de un error humano). Y el error humano es notoriamente
influenciado por el compromiso del humano al proceso.
Para ser franco, si usted no tiene el compromiso del personal, entonces va a tener una tasa mucho más alta
de copias de seguridad fallidas. Este es un problema particular con los respaldos en ubicaciones remotas,
cuando la gente que hace los respaldos no pertenece a la organización de almacenamiento y realizar
respaldos es una tarea auxiliar.
7. Hace que sea fácil cambiar políticas conforme cambian la tecnología y las necesidades
El objetivo de un procedimiento de respaldo es hacer más fácil el establecimiento de buenas políticas. Las
buenas políticas son aquellas que reflejan y se adaptan a las necesidades reales de la organización. Un
procedimiento para establecer políticas lento, inflexible y excesivamente burocrático obstaculizará en lugar
de ayudar a este objetivo.
18. Acceso a internet.
Revisión de accesos a internet.
Uso de sistemas de mensajería instantánea.
Registro de usuarios.
Bitácoras de acceso a los buzones de correo
B. Enumeración de las políticas aplicables a
los servicios de internet y correo electrónico
de una organización.
19. Acceso a internet.
Una política de seguridad de la información es un documento muy denso para la
mayoría de las empresas, sin embargo, fundamental para determinados negocios,
especialmente aquellos de mayor tamaño y sectores que están regulados en el tema.
Sin embargo, esto no significa que las empresas menores no deben tener un
conjunto de directrices mínimas para garantizar la seguridad en sus ambientes, de
acuerdo con sus complejidades y necesidades.
El propósito de una política de uso de Internet es definir lo que está permitido o no,
a fin de que la empresa pueda atender las necesidades esenciales para que los
colaboradores puedan desempeñar sus funciones en un ambiente de calidad.
20. Generalmente el documento que consolida la política de uso de Internet se inicia con
orientaciones en cuanto a lectura/interpretación de la política. Esto significa dejar
claro qué acciones se toman en caso de ocurrencias no contempladas por el
documento. En este sentido la empresa podrá optar por la implantación de política
permisiva, o bien política restrictiva. En las políticas permisivas, los accesos a los sitios
son totalmente liberados, con excepción de aquellos enumerados en la política y/o
configurados en la solución de seguridad utilizada por la empresa. En políticas
restrictivas ocurre lo contrario, todos los sitios tienen su acceso restringido, con
excepción de aquellos informados en la política y/o configurados en la solución de
seguridad de la empresa.
21. Revisión de accesos a internet.
La actividad web sin control puede afectar a la productividad, llevar a
infecciones por malware, aumentar los costes y las potenciales
responsabilidades legales, así como afectar a la imagen de la empresa. GFI
WebMonitor proporciona únicas capacidades de filtrado web combinando
el filtrado del tráfico por aplicación con una funcionalidad de clasificación
de sitios web. Juntas permiten un control preciso de lo que los usuarios
están haciendo online y las aplicaciones que están usando.
22. Existen 3 modos de llevar a cabo un control del acceso a Internet de empleados
mediante filtros. Estos son los más comunes:
Filtrado por palabras clave:
El proveedor, juntamente con el director de la empresa, creará una serie de palabras
clave prohibidas a través de cortafuegos de filtrado de aplicaciones y bloqueo web.
Así pues, cuando el trabajador realice una búsqueda o intente acceder a Internet con
estas palabras, no encontrará resultados en el motor de búsqueda.
Tipos de archivos:
Se realiza una filtración de descarga de archivos de música y videos, y esto evitará
que no se puedan descargar estos archivos en el ordenador de la empresa y también
reducirá la posibilidad de virus y ataques al sistema.
Control de acceso a Internet mediante Url:
Se pueden bloquear sitios web no deseados. Puede resultar de gran utilidad por
ejemplo bloquear las redes sociales de los trabajadores (siempre que no sea una
empresa de marketing o comunicación online), páginas web pornográficas, sitios de
apuestas, chats, o sitios que puedan contener descargas de software maliciosos. Esto
evitará que los empleados no pierdan el tiempo cuando deberían estar trabajando.
23. Uso de sistemas de mensajería
instantánea.
La mensajería instantánea es una herramienta que sirve para acortar distancias. Con la
llegada de servicios como Messenger, BBM o WhatsApp, miles de usuarios optaron por
usar estos medios de comunicación por encima de alternativas como las llamadas o los
correos electrónicos. Con la ‘consumerización’, posteriormente llegaron al campo laboral.
Lo bueno
Tal vez la ventaja más grande de los servicios de mensajería instantánea es la posibilidad
que ofrecen de interactuar en tiempo real con las personas sin importar el lugar ni la zona
horaria en la que estén ubicados.
Lo malo
Como casi todos los buenos servicios, la mensajería instantánea tiene un némesis: la
seguridad. Si quiere empezar a implementar este tipo de comunicación con sus clientes, o
incluso con sus empleados, debe tener en cuenta que no puede tratar todos los asuntos
por esta vía, pues podría ser peligroso para su compañía.
24. Registro de usuarios.
Un registro informático es un tipo o conjunto de datos almacenados en un sistema.
Para la informática, existen distintos tipos de registros, pero en todos los casos hay
una referencia al concepto de almacenar datos o información sobre el estado,
procesos o uso de la computadora.
En primer lugar, un registro del sistema viene a ser una base de datos que tiene el fin
de almacenar configuración, opciones y comandos propios del sistema operativo. En
general, estos registros se utilizan en los sistemas Windows de Microsoft. Un registro
de sistema puede contener información y configuraciones del hardware y software en
uso, preferencias del usuario, asociaciones de archivos y ficheros, usos de sistema,
cambios y modificaciones, etcétera. Estos registros son conservados dentro del
sistema con denominaciones como "User.dat" o "System.dat" y pueden ser
recuperados por el usuario para su transporte a otro sistema.
25. Bitácoras de acceso a los buzones de
correo.
Una bitácora es, en la actualidad, un cuaderno o publicación que permite
llevar un registro escrito de diversas acciones. Su organización es
cronológica, lo que facilita la revisión de los contenidos anotados. Los
científicos suelen desarrollar bitácoras durante sus investigaciones para
explicar el proceso y compartir sus experiencias con otros especialistas.
as bitácoras consiguieron una gran fama a partir del desarrollo de los
weblogs o blogs, que son bitácoras virtuales que se publican en Internet.
Los blogs recopilan información de todo tipo y pueden ser escritos por
uno o más autores. Este tipo de bitácora suele aceptar la participación de
los lectores a través de comentarios y opiniones.
El fotolog o flog, por otra parte, es un blog que se basa en la publicación
de imágenes y comentarios de escasa extensión.