SEGURIDAD INFORMATICA

APLICACIÓN DE LA SEGURIDAD 

INFORMÁTICA

Propósito del modulo

Ofrecer servicios de seguridad informática apegados a procedimientos, estándares en equipos de cómputo y necesidades del cliente, a través de la aplicación, administración y control de herramientas de protección, garantizando integridad, disponibilidad y confidencialidad en la información almacenada en sistemas informáticos.

3103

2016-B

UNIDAD 1. APLICACIÓN DE ESTANDARES DE PROTECCION DE LA INFORMACIÓN

1.1. Determina riesgos de seguridad informática con base en las características del equipo y las necesidades del usuario.

Propósito: Aplicará estándares de seguridad informática de acuerdo con riesgos identificados y en apego a las buenas prácticas del uso de la tecnología.

INTRODUCCIÓN

A.      ANÁLISIS DE ELEMENTOS DE LA SEGURIDAD INFORMÁTICA.

CONCEPTO DE SEGURIDAD.

 cotidianamente se puede referir a la ausencia de riesgo o a la confianza en algo o en alguien. Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia en la seguridad. En términos generales, la seguridad se define como "el estado de bienestar que percibe y disfruta el ser humano".

Una definición dentro de las ciencias de la seguridad es "Ciencia interdisciplinaria que está encargada de evaluar, estudiar y gestionar los riesgos que se encuentra sometido una persona, un bien o el ambiente". Se debe diferenciar la seguridad sobre las personas (seguridad física), la seguridad sobre el ambiente (seguridad ambiental), la seguridad en ambiente laboral (seguridad e higiene), etc.

Las Ciencias de la Seguridad (como rama de las Ciencias Sociales) se estudia en distintas universidades^2 3 en carreras de grado como de posgrado.

CONCEPTO DE INFORMACIÓN.

La información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Existen diversos enfoques para el estudio de la información:

·         En biología, la información se considera como estímulo sensorial que afecta al comportamiento de los individuos.

·         En computación y teoría de la información, como una medida de la complejidad de un conjunto de datos.

·         En comunicación social y periodismo, como un conjunto de mensajes intercambiados por individuos de una sociedad con fines organizativos concretos.

Los datos sensoriales una vez percibidos y procesados constituyen una información que cambia el estado de conocimiento, eso permite a los individuos o sistemas que poseen dicho estado nuevo de conocimiento tomar decisiones pertinentes acordes a dicho conocimiento.

CONCEPTO DE INFORMÁTICA

La informática, también llamada computación en América latina,¹ es una ciencia que estudia métodos, técnicas, procesos, con el fin de almacenar, procesar y transmitir información y datos en formato digital. La informática se ha desarrollado rápidamente a partir de la segunda mitad del siglo XX, con la aparición de tecnologías tales como el circuito integrado, el Internet, y el teléfono móvil. Se define como la rama de la tecnología que estudia el tratamiento automático de la información.

En 1957, Karl Steinbuch añadió la palabra alemana Informatik en la publicación de un documento denominado Informatik: Automatische Informationsverarbeitung (Informática: procesamiento automático de información). El soviético Alexander Ivanovich Mikhailov fue el primero en utilizar Informatik con el significado de «estudio, organización, y la diseminación de la información científica», que sigue siendo su significado en dicha lengua.^{[cita requerida]} En inglés, la palabra informatics fue acuñada independiente y casi simultáneamente por Walter F. Bauer, en 1962, cuando Bauer cofundó la empresa denominada Informatics General, Inc.

CONCEPTO DE SEGURIDAD INFORMÁTICA

 también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA.

Para lograr sus objetivos de seguridad informática se fundamenta en tres principios que debe cumplir todo sistema informático.

confidencialidad: se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios, computadores y datos residen en localidades diferentes , pero están física y lógicamente interconectados.

Integridad: se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma información.

Disponibilidad: se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deber reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran, este principio es importante en sistemas informáticos cuyos compromiso con el usuario, es prestar servicio permanente.

B-CLASIFICACION DE LOS PRINCIPALES RIESGOS DE LA SEGURIDAD INFORMÁTICA.

CONCEPTO DE RIESGO

 Concepto de riesgo. Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas. Los riesgos más perjudiciales son a las tecnologías de información y comunicaciones, como por ejemplo la perdida de datos debido a daño en los discos, virus informáticos, entre otros.

 Tipos de riesgo. No todas las amenazas de un sistema informático tienen las mismas exigencias de seguridad, algunas son mayores que otras, por tanto al identificar o clasificar los riegos es conveniente establecer el grado o nivel en función de la seguridad.

·   Alto. Se considera un riesgo alto cuando la amenaza representa gran impacto dentro de la institución u organización.

·  Medio. Se establece cuando la amenaza impacta de forma parcial a las actividades de la organización o institución.

·     Bajo. Cuando una amenaza no representa un ataque importante en los procesos de una organización o institución.

 Matriz de riesgo. Constituye una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una empresa, así como el tipo y nivel de riesgos inherentes a estas, permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organización. La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico objetivo de la situación global de riesgo de una entidad.

CONCEPTOS DE VULNERABILIDAD

Son todos aquellos elementos que hacen a un sistema más propenso al ataque de una amenaza o aquellas situaciones en las que es más probable que un ataque tenga cierto éxito impacto en los procesos de negocio de la organización.

 

 

 

 

 

 

 

 

 

 

RIESGOS LOGICOS  Y FISICOS

Riesgos de una Computadora

Riesgo:

Es la vulnerabilidad ante un potencial perjuicio o daño para las unidades, personas, organizaciones o entidades. Cuanto mayor es la vulnerabilidad mayor es el riesgo, pero cuanto más factible es el perjuicio o daño, mayor es el peligro. Por tanto, el riesgo se refiere sólo a la teórica "posibilidad de daño" bajo determinadas circunstancias, mientras que el peligro se refiere sólo a la teórica "probabilidad de daño" bajo esas circunstancias.

Vulnerabilidad:

Las vulnerabilidades son puntos débiles del software que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo. Algunas de las vulnerabilidades más severas permiten que los atacantes ejecuten código arbitrario, denominadas vulnerabilidades de seguridad, en un sistema comprometido.

Riesgo Lógico:

Riesgos Lógicos:

Son aquellos daños que el equipo puede sufrir en su estado lógico, perjudicando directamente a su software. 

Códigos Maliciosos:

En seguridad informática, código malicioso es un término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Esta definición incluye tanto programas malignos compilados, como macros y códigos que se ejecutan directamente, como los que suelen emplearse en las páginas web (scripts).Los códigos maliciosos pueden tener múltiples objetivos como:

• Extenderse por la computadora, otras computadoras en una red o por internet.

•   Robar información y claves.

• Eliminar archivos e incluso formatear el disco duro.

• Mostrar publicidad invasiva.

Mínimos cambios en un código malicioso, pueden hacer que ya no sea reconocido como malicioso por un programa antivirus; es por esta razón que existen tantas variantes de los virus, los gusanos y otros malwares. Además, los antivirus todavía no tienen la suficiente "inteligencia" como para detectar códigos maliciosos nuevos.

Spam:

Se llama spam, correo basura o mensaje basura a los mensajes no solicitados, no deseados o de remitente no conocido, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor.

Piratería:

Es quien adopta por negocio la reproducción, apropiación o acaparación y distribución, con fines lucrativos, y a gran escala, de distintos medios y contenidos (software, videos, música) de los que no posee licencia o permiso de su autor, generalmente haciendo uso de un ordenador.

Riesgo Físico:

FACTOR DE RIESGO FÍSICO:

DEFINICIÓN:

Son todos aquellos factores ambientales que dependen de las propiedades físicas de los cuerpos tales como:

Temperaturas Extremas

Ventilación

Iluminación

Presión

Radiación

Vibración

Ruido

RECOPILACION DE INFORMACION DE LA ORGANIZACIÓN

OBJETIVOS CORPORATIVOS

1. Permiten especificar los propósitos de la organización e identificar los aspectos que necesariamente se deben controlar y tomar en cuenta para que se puedan lograr‚ las metas, con el fin de colaborar al cumplimiento de la misión de la institución.

2. Los objetivos corporativos son los resultados globales que una organización espera alcanzar en el desarrollo y operacionalización concreta de su misión y visión.

3. Por ser globales, estos objetivos deben cubrir e involucrar a toda la organización, por ello, deben tenerse en cuenta todas las áreas que integran a la empresa.

4. Dado su carácter macro, deben ser definidos dentro de la planeación corporativa y servir así de marco de referencia de los objetivos funcionales.

5. Los objetivos corporativos; ya sean a corto, mediano o largo plazo deben ser medibles y con posibilidad de evaluación, es decir, que debe ser posible aplicarles una auditoria mediante indicadores globales de gestión.

6. Los objetivos, dan dirección y señalan el camino.

ORGANIGRAMAS

MANUALES DE PROCESOS

Conformación Del Manual A) IDENTIFICACIÓN
Este documento debe incorporar la siguiente información:

• Logotipo de la organización.
• Nombre oficial de la organización.
• Denominación y extensión. De corresponder a una unidad en particular debe anotarse el nombre de la misma.
• Lugar y fecha de elaboración.
• Número de revisión (en su caso).
• Unidades responsables de su elaboración, revisión y/o autorización.
• Clave de la forma. En primer término, las siglas de la organización, en segundo lugar las siglas de la unidad administrativa donde se utiliza la forma y, por ùltimo, el número de la forma. Entre las siglas y el número debe colocarse un guion o diagonal.

B) ÍNDICE O CONTENIDO
Relación de los capítulos y páginas correspondientes que forman parte del documento.
C) PRÒLOGO Y/O INTRODUCCIÓN
Exposición sobre el documento, su contenido, objeto, áreas de aplicación e importancia de su revisión y actualización. Puede incluir un mensaje de la máxima autoridad de las àreas comprendidas en el manual.
D) OBJETIVOS DE LOS PROCEDIMIENTOS
Explicación del propósito que se pretende cumplir con los procedimientos.
Los objetivos son uniformar y controlar el cumplimiento de las rutinas de trabajo y evitar su alteración arbitraria; simplificar la responsabilidad por fallas o errores; facilitar las labores de auditoria; facilitar las labores de auditoria, la evaluación del control interno y su vigilancia; que tanto los empleados como sus jefes conozcan si el trabajo se está realizando adecuadamente; reducir los costos al aumentar la eficiencia general, además de otras ventajas adicionales.
E) AREAS DE APLICACIÓN Y/O ALCANCE DE LOS PROCEDIMIENTOS
Esfera de acción que cubren los procedimientos.
Dentro de la administración pública federal los procedimientos han sido clasificados, atendiendo al ámbito de aplicación y a
sus alcances, en: procedimientos macro administrativos y procedimientos meso administrativos o sectoriales.
F) RESPONSABLES
Unidades administrativas y/o puestos que intervienen en los procedimientos en cualquiera de sus fases
G) POLÍT

ICAS O NORMAS DE OPERACIÓN
En esta sección se incluyen los criterios o lineamientos generales de acción que se determinan en forma explícita para facilitar la cobertura de responsabilidad de las distintas instancias que participaban en los procedimientos.Además deberán contemplarse todas las normas de operación que precisan las situaciones alterativas que pudiesen presentarse en la operación de los procedimientos. A continuación se mencionan algunos lineamientos que deben considerarse en su planteamiento:

• Se definirán perfectamente las políticas y/o normas que circunscriben el marco general de actuación del personal, a efecto de que esté no incurra en fallas.
• Los lineamientos se elaboran clara y concisamente, a fin de que sean comprendidos incluso por personas no familiarizadas con los aspectos administrativos o con elprocedimiento mismo.
• Deberán ser lo suficientemente explícitas para evitar la continua consulta a los niveles jerárquicos superiores.

H) CONCEPTO (S)
Palabras o términos de carácter técnico que se emplean en el procedimiento, las cuales, por su significado o grado de especialización requieren de mayor información o ampliación de su significado, para hacer más accesible al usuario la consulta del manual.
I) PROCEDIMIENTO (descripción de las operaciones). Presentación por escrito, en forma narrativa y secuencial, de cada una de las operaciones que se realizan en un procedimiento, explicando en qué consisten, cuándo, cómo, dónde, con qué, y cuánto tiempo se hacen, señalando los responsables de llevarlas a cabo. Cuando la descripción del procedimiento es general, y por lo mismo comprende varias áreas, debe anotarse la unidad administrativa que tiene a su cargo cada operación. Si se trata de una descripción detallada dentro de una unidad administrativa, tiene que indicarse el puesto responsable de cada operación. Es conveniente codificar las operaciones para simplificar su comprensión e identificación, aun en los casos de varias opciones en una misma operación.
J) FORMULARIO DE IMPRESOS. Formas impresas que se utilizan en un procedimiento, las cuales se intercalan dentro del mismo o se adjuntan como apéndices. En la descripción de las operaciones que impliquen su uso, debe hacerse referencia específica de éstas, empleando para ello números indicadores que permitan asociarlas en forma concreta. También se pueden adicionar instructivos para su llenado.
K) DIAGRAMAS DE FLUJO. Representación gráfica de la sucesión en que se realizan las operaciones de un procedimiento y/o el recorrido de formas o materiales, en donde se muestran las unidades administrativas (procedimiento general), o los puestos que intervienen (procedimiento detallado), en cada operación descrita. Además, suelen hacer mención del equipo o recursos utilizados en cada caso. Los diagramas representados en forma sencilla y accesible en el manual, brinda una descripción clara de las operaciones, lo que facilita su comprensión. Para este efecto, es aconsejable el empleo de símbolos y/o gráficos simplificados.
L) GLOSARIO DE TÉRMINOS. Lista de conceptos de carácter técnico relacionados con el contenido y técnicas de elaboración de los manualesde procedimientos, que sirven de apoyo para su uso o consulta. Procedimiento general para la elaboración de manuales administrativos
DISEÑO DEL PROYECTO. La tarea de preparar manuales administrativos requiere de mucha precisión , toda vez que los datos tienen que asentarse con la mayor exactitud posible para no generar confusión en la interpretación de su contenido por parte de quien los consulta. Es por ello que se debe poner mucha atención en todas y cada una de sus etapas de integración, delineando un proyecto en el que se consiguen todos los requerimientos, fases y procedimientos que fundamentan la ejecución del trabajo.
A) RESPONSABLES
Para iniciar los trabajos que conducen a la integración de un manual, es indispensable prever que no queda diluida la responsabilidad de la conducción de las acciones en diversas personas, sino que debe designarse a un coordinador, auxiliado por un equipo técnico, al que se le debe encomendar la conducción del proyecto en sus fases de diseño, implantación y actualización. De esta manera se logra homogeneidad en el contenido y presentación de la información.
Por lo que respecta a las características del equipo técnico, es conveniente que sea personal con un buen manejo de las relaciones humanas y que conozca a la organización en lo que concierne a sus objetivos, estructura, funciones y personal. Para este tipo de trabajo, una organización puede nombrar a la persona que tenga los conocimientos y la experiencia necesarios para llevarlo a cabo. Por la naturaleza de sus funciones puede encargarlo al titular de la unidad de mejoramiento administrativo (en caso de contar con este mecanismo). Asimismo, puede contratar los servicios de consultores externos.
B) DELIMITACIÓN DEL UNIVERSO DE ESTUDIO
Los responsables de efectuar los manuales administrativos de una organización tienen que definir y delimitar su universo de trabajo para estar en posibilidad de actuar en él; para ello, deben realizar:
ESTUDIO PRELIMINAR
Este paso es indispensable para conocer en forma global las funciones y actividades que se realizan en el área o áreas donde se va a actuar. Con base en él se puede definir la estrategia global para el levantamiento de información, identificando las fuentes de la misma, actividades por realizar, magnitud y alcances del proyecto, instrumentos requeridos para el trabajo y en general, prever las acciones y estimar los recursos necesarios para efectuar el estudio.

Preparación Del Proyecto Recabados los elementos preliminares para llevar a cabo el manual, se debe preparar el documento de partida para concretarlo, el cual debe quedar integrado por:
*Propuesta técnica, (que debe de incluir):
-Antecedentes: recuento de todos los manuales o esfuerzos análogos preparados con anterioridad.
-Naturaleza: tipo de manual que se pretende realizar.
-Justificación: demostración de la necesidad de efectuarlo en función de las ventajas que ello reportará a la organización.
Objetivos: logros que se pretenden alcanzar.
-Acciones: iniciativas o actividades necesarias para su consecución.
-Resultados: beneficios que se esperan obtener en cuanto a mejorar el funcionamiento de la organización, sus productos y/ o
servicios, clima organizacional y relaciones con el entorno.
-Alcance: área de aplicación que cubre el estudio en términos de ubicación en la estructura orgánica y/ o territorial.
-Recursos: requerimientos humanos, materiales y tecnológicos necesarios para desarrollarlo.
-Costo: estimación global y específica de recursos financieros que demanda su ejecución.
-Estrategia: ruta fundamental necesaria para orientar los recursos de acción y asignación de recursos.
-Información complementaria: material e investigaciones que pueden servir como elementos de apoyo.
c) PROGRAMA DE TRABAJO
-Identificación: nombre del manual.
-Responsable(s): unidad o grupo que tendrá a su cargo la implantación del manual.
-Área(s): universo bajo estudio.
-Clave: número progresivo de las actividades estimadas.
-Actividades: pasos específicos que tienen que darse para captar la información.
-Fases: definición del orden secuencial para realizar las actividades.
-Calendario: fechas asignadas para el inicio y terminación de cada fase.
-Representación gráfica: descripción del programa en cuadros e imágenes.
-Formato: presentación y resguardo del programa de trabajo.
-Reportes de avance: seguimiento de las acciones.
-Periodicidad: espacio de tiempo dispuesto para informar avances.
B) PRESENTACIÓN DEL PROYECTO A LAS AUTORIDADES COMPETENTES
a) PARTICIPANTES
Para depurar el contenido del proyecto, afinar sus parámetros y determinar su viabilidad operativa, es recomendable presentarlo a:
*Área (s) que intervendrá directamente en su aplicación, por lo cual tienen la obligación de conocer el proyecto en forma detallada.
*Áreas afectadas por la implantación del proyecto, ya que tendrán que cambiar o adecuarse.
*Área responsable del manejo de los recursos económicos, para cuantificar el costo del proyecto en forma más específica.
b) RESPONSABLE DE SU AUTORIZACIÓN
Asimismo, el proyecto debe presentarse al titular de la organización o de la unidad administrativa responsable de su ejecución, para su aprobación.
Una vez autorizado, el responsable debe hacer del conocimiento de todos los niveles jerárquicos la intención que tiene la organización de elaborar el manual, resaltando los beneficios que de este esfuerzo se obtendrán, a fin de que todos brinden su apoyo durante el desarrollo del trabajo. Sin este requisito, la labor de integración del manual se vería seriamente dificultada.
C) CAPTACIÓN DE LA INFORMACIÓN
Como primer paso de esta etapa se debe obtener una lista del personal que va a participar en el levantamiento de la misma, considerando la magnitud y especificaciones del trabajo.
a) Capacitación del personal
Una vez integrado el grupo de trabajo, se debe capacitarlo, no sólo en lo que respecta al manejo de medios de investigación que se utilizarán para el levantamiento de la información, sino también en todo el proceso que se seguirá para preparar el manual.
Por ello, se debe dar a conocer a los participantes el objetivo que se persigue, así como los métodos de trabajo adoptados, calendarización de actividades, documentos que se emplearán.(cuestionarios, formatos, etcétera), responsables del proyecto, unidades administrativas involucradas, inventario de información a captar y distribución del trabajo a cada persona.
Cuando el grupo de trabajo sea numeroso, puede resultar conveniente formar subgrupos, coordinados cada uno por un responsable, quien debe encargarse de revisar y homogeneizar la información.
Es recomendable efectuar un estudio en un área piloto, para luego comparar y evaluar los resultados obtenidos.
b) Levantamiento de la información
Los esfuerzos de recopilación deben enfocarse en el registró de hechos que permitan conocer y analizar información específica y verdaderamente útil para el manual, pues de lo contrario se puede incurrir en interpretaciones erróneas, lo cual genera retraso y desperdicio de recursos. Asimismo, debe aplicarse un criterio de discriminación, basado en el objetivo del estudio, y proceder continuamente a su revisión y evaluación para mantener una línea de acción uniforme.
Esta actividad exige mantener una relación constante con las fuentes internas emisoras de la información, así como con las áreas u organizaciones con otra ubicación física.
Para recabar la información en forma ágil y ordenada se puede utilizar alguna o una combinación de las siguientes técnicas de recopilación:
Investigación documental:
Esta técnica permite la selección y análisis de aquellos escritos que contienen datos de interés relacionados con el manual. Para ello se estudian documentos tales como bases jurídico-administrativas, diarios oficiales, actas de reuniones, circulares, oficios y todos aquellos que contengan información relevante para el estudio.
Consulta a sistemas de información
Acceso a sistemas computacionales que contienen información y recursos de apoyo para estructurar el manual. Este mecanismo permite recabar información interna y/o de sistemas externos a la organización enlazados a través de redes.
Encuesta:
Este método implica la realización de entrevistas personales con base en una guía de preguntas elaborada con anticipación. También se puede utilizar un cuestionario, a fin de que las entrevistas tengan un contenido homogéneo.
Esta técnica se considera de gran utilidad para reunir información preliminar al análisis o para efecto de plantear cambios o modificaciones a la estructura actual de la información. La encuesta puede realizarse en forma individual o reuniendo a directivos y empleados de una misma área o que intervienen en la misma clase de tareas.
También se puede recabar información de clientes y/o usuarios, prestadores de servicios y proveedores que interactúan con la organización.
Los cuestionarios que se utilizan en la encuesta, y que sirven para obtener la información deseada, están constituidos por series de preguntas escritas, predefinidas, secuenciadas y separadas por capítulos o temática específicos.
Este medio permite ahorrar recursos y tiempo; sin embargo, la calidad de la información que se obtiene depende de su
estructuración y forma de presentación.
En términos generales, todo cuestionario debe expresar el motivo de su preparación, procurar que las preguntas sean claras y concisas, con un orden lógico, redacción comprensible, facilidad de respuesta y evitar demasiadas preguntas. Asimismo, se puede incluir un instructivo de llenado para indicar cómo contestarlo.
La entrevista consiste básicamente en celebrar reuniones individuales o grupales en las cuales se cuestiona orientadamente a los participantes para obtener información. Este medio es posiblemente el más usado y el que puede brindar información más completa y precisa, puesto que el entrevistador, al tener contacto con el entrevistado, además de obtener respuestas, puede percibir actitudes y recibir comentarios.
Para que una entrevista se desarrolle positivamente, es conveniente observar estos aspectos:
Tener claro el objetivo: para cubrir este aspecto, se recomienda preparar previamente un cuestionario o guía de entrevista que contenga los principales puntos que se desea captar. Esta guía puede operar a manera de marco de trabajo para que, al término de la misma, se pueda verificar si se ha obtenido la información requerida.
Establecer anticipadamente la distribución del trabajo: esta etapa consiste en asignar responsabilidades y determinar las áreas a investigar.
Concretar previamente la cita: es importante que el entrevistado esté preparado para proporcionar la información con el tiempo y tranquilidad necesarios para disminuir el margen de error y evitar interrupciones.
Clasificar la información que se obtenga: esta fase implica diferenciar la situación real de la relativa a sugerencias para mejorarla, procurando no confundir ambos aspectos.
Para apoyar y/o agilizar la captura de información se puede emplear el muestreo, que es una técnica estadística auxiliar que sirve para inferir información acerca del universo que se investiga, a partir del estudio parcial del mismo.
Cuando el universo de estudio es de gran magnitud, pero la información sea homogénea en virtud de normas de operación y requisitos uniformes, se establece la posibilidad de conocer sus características sin necesidad de encuestar o investigar a todas las unidades, ni de entrevistar a cada uno de los empleados.
Existen tablas de muestreo que, de acuerdo con las características y volumen de la información, establecen cuál es la mínima cantidad de información representativa del todo -muestra- que es necesario recabar para que los resultados que se obtengan a partir de ésta tengan validez.
Observación directa
Este recurso puede ser empleado por los técnicos o analistas en el área física donde se desarrolla el trabajo de la organización. A partir del análisis de la información recabada se deben sostener pláticas con algunas de las personas que prestan sus servicios en estas áreas para complementarla o afinarla.
Otra forma consiste en que el jefe del área de trabajo realice la observación directa, comente y discuta algunos de los puntos con sus subordinados y presente los resultados de su análisis al investigador. La ventaja de este procedimiento radica en que debido a la familiaridad entre jefe y subordinados, la información puede ser más completa, pero habrá ocasiones en que los resultados no serán los deseados, debido a inhibiciones o problemas internos, o que pueda plantearse una situación que no corresponde a la realidad operativo.
D) Integración de la información
Una vez que se cuenta con la información de las áreas involucradas en el estudio, se debe ordenar y sistematizar los datos a efecto de poder preparar su análisis.
a) Cómo clasificar la ínformacíón
Para facilitar la tarea de integración, es recomendable que la información obtenida se vaya accesando a equipos de cómputo para salvaguardaría y facilitar su manejo. Con este propósito se pueden:

• Crear directorios, subdirectorios y archivos para desagregarla en función de la división del trabajo.
• Crear bases de datos o programas específicos.
• Utilizar paquetes acordes con las necesidades específicas del proyecto.
• Combinar los puntos anteriores para optimizar resultados.

En forma paralela deben abrirse carpetas con apartados específicos con los documentos fuente del estudio, en las que se debe compendiar la información por área, sistema, procedimiento, equipos, políticas, etcétera. Es conveniente que los documentos que se recaben contengan el visto bueno de la persona que suministra la información.
También es recomendable que conforme se recaben datos sobre algún aspecto, se concentren en un documento de trabajo que pueda servir de memoria en el diseño posterior del proyecto.
b) ÁREAS PARA AGRUPAR LA INFORMACIÒN
Antecedentes.
Se debe tomar en cuenta la reglamentación jurídico-administrativa que regula la realización del trabajo, como se ha atendido por parte de las unidades responsables de hacerlo y qué efecto ha tenido sobre otras unidades, organizaciones, clientes y/o usuarios.
También es oportuno, en su caso, considerar la evolución o desarrollo de las estructuras organizacionales anteriores y los resultados que se obtuvieron, lo cual permite contar con un marco de referencia histórico para comprender mejor la situación actual.
Situación actual.
Se toma en cuenta los siguientes aspectos:

• Objetivos
• Estructura orgánica Normas y políticas administrativas
• Funciones
• Procedimientos
• Instrumentos jurídico-administrativos
• Equipo
• Condiciones de trabajo
• Ambiente laboral

E) ANÁLISIS DE LA INFORMACIÒN
En esta etapa se debe realizar un estudio o examen crítico de cada uno de los elementos de información o grupos de datos que se integraron con el propósito de conocer su naturaleza, características y comportamiento, sin perder de vista su relación, interdependencia o interacción interna y con el ambiente, para obtener un diagnóstico que refleje la realidad operativa.
Esta mecánica de estudio puede seguir la siguiente secuencia:

• Conocer
• Describir
• Descomponer
• Examinar críticamente
• Ordenar cada elemento
• Definir las relaciones
• Identificar y explicar su comportamiento

Un enfoque muy eficaz en el momento del análisis de los datos consiste en adoptar una actitud interrogativa y formular de manera sistemática seis cuestionarios fundamentales:

• ¿Qué trabajo se hace?
• ¿Para qué se hace?
• ¿Quién lo hace?
• ¿Cómo se hace?
• ¿Con qué se hace?
• ¿Cuándo se hace?

Después de obtener respuestas claras y precisas para cada una de las preguntas anteriores, las mismas deben someterse, a su vez, a un nuevo interrogatorio planteando la pregunta ¿por qué?. Las nuevas respuestas que se obtengan darán la pauta para formular el manual y las medidas de mejoramiento administrativo.
a) TÉCNICAS DE APOYO PARA EL ANÀLISIS
En esta fase comprende los recursos técnicos que se emplean para estudiar la información obtenida con el fin de conocerla en forma detallada t determinar alternativas de acción específicas que permitan derivar soluciones óptimas para lograr los resultados deseados.
Las técnicas de análisis que se pueden utilizar en esta fase están directamente relacionadas con el origen del proyecto, así como con la información técnica del líder o responsable en función del tipo de manual, factibilidad para su aplicación, disponibilidad de tiempo, asignación de recursos y nivel técnico del grupo de trabajo.
Este tipo de instrumentos se puede utilizar como respaldo para el proyecto o en sentido inverso, a raíz de la implantación de un proceso de cambio organizacional que debe culminar con la edición de un manual administrativo.
Entre las técnicas que generalmente se utilizan para auxiliar el análisis administrativo en este campo, se encuentran las siguientes:
Organizacionales.

• Administración por objetivos
• Análisis de sistemas
• Análisis de costo-beneficio
• Análisis de estructuras
• Árbol de decisiones
• Auditoría administrativa
• Autoevaluación
• Control total de calidad
• Estudio de factibilidad
• Estudio de viabilidad
• Benchmarking
• Desarrollo organizacional
• Reingeniería organizacional
• Reorganización

Cuantitivas.

• Análisis de series de tiempos
• Correlación
• Modelos de inventario
• Modelos integrados de producción
• Muestreo
• Números
• Números índices
• Programación dinámica
• Programación lineal
• Simulación
• Teoría de colas o de líneas de espera
• Teoría de los grafos
• Teoría de las decisiones

F) PREPARACIÓN DEL PROYECTO DEL MANUAL
Una vez que se cuenta con toda la información del manual se procederá a integrarlo; para tal actividad se requiere convocar a todos los partícipes de la presentación del manual, para revisión del contenido y presentación de cada apartado.
a) Validación
La información verificada de cada área o unidad administrativa deberá presentarse a la persona entrevistada para que firme de conformidad en un espacio específico para este objetivo; debe verificar que la información esté completa y comprensible.
b) ESTRUCTURACIÒN
Una vez que se reúne la información revisada y firmada por cada área, los involucrados en la presentación del manual deben reunirse para compaginar e integrar el proyecto final del manual.
G) FORMULACIÓN DE RECOMENDACIONES
Para seleccionar las recomendaciones más viables, se toma en cuenta su costo, recursos necesarios para aplicarlas y sus ventajas y limitaciones.
a) TIPOS DE RECOMENDACIONES
De mantenimiento: preservación general de la misma estructura orgánica, funciones, sistemas, procedimientos, personal y formas.
De eliminación: supresión de sistemas, reemplazo de formas, registros e informes, eliminación total o parcial de procedimientos, bajas de personal, desaparición de áreas o unidades administrativas, etc.
De adición: introducción de un nuevo sistema, incremento del número de operaciones en determinado procedimiento, aumento de personal o programas, etc.
De combinación: intercalar el orden de aplicación de programas de trabajo, combinar el orden de las operaciones de un procedimiento, compaginar la utilización de formas de uso generalizado con nuevas formas, etc.
De fusión: agrupación de áreas, unidades administrativas o personas bajo un mismo mando, unificación de formas, registros e informes, etc.
De modificación: cambios en los procedimientos o las operaciones, reubicación física de personal, equipo o instalaciones, redistribución de cargas de trabajo, modificación de formas, registros, informes y programas, etc.
De simplificación: reducción de pasos de un procedimiento, introducción de mejoras en los métodos de trabajo, simplificación de formas, reportes, registros, programas, etc.
De intercambio: redireccionamiento de funciones, procedimientos, recursos, personal o flujo del trabajo entre áreas u organizaciones del mismo grupo o sector.
b) ELABORACIÓN DEL INFORME
Para entregar los resultados del estudio es necesario redactar un informe, en el que además de exponer las razones que llevaron a obtenerlos, incorpore la información estratégica del proyecto que le permita a la alta dirección la toma de decisiones oportuna y correcta.
El informe consta de los siguientes elementos, generalmente:
Introducción: es el resumen del propósito, enfoque, limitaciones y el plan de trabajo.
Parte principal o cuerpo: sección donde se anotan los hechos, argumentos y justificaciones.
Conclusiones y recomendaciones.
Apéndices o anexos: inclusión de gráficas, cuadros y demás instrumentos de análisis administrativo que se consideren elementos auxiliares para apoyar la propuesta y recomendaciones.
H) PRESENTACIÓN DEL MANUAL PARA SU APROBACIÓN
Una vez que el manual ha quedado debidamente estructurado, el encargado del proyecto debe someterlo a las instancias procedentes para su aprobación; convocará a su grupo de trabajo para la última revisión de la documentación que se presentará.
a) A los niveles directivos
Es recomendable que esta presentación parta en un documento síntesis derivado del informe, cuya extensión no sea mayor a treinta cuartillas, para que en caso de ser analizado, requiera de un mínimo de tiempo que deje un lapso adicional para explicaciones, así como para intercambio de opiniones.
Si el tiempo de que se dispone es muy breve, el documento síntesis puede ser entregado a las autoridades correspondientes y hacer la presentación del manual exclusivamente con el apoyo de equipos de cómputo, láminas o audiovisuales, donde se destaquen los elementos más relevantes para el proceso de toma de decisiones.
El documento síntesis puede subdividirse en el siguiente capitulado:

• Introducción: breve descripción de las causas que generaron la necesidad de preparar el manual, los mecanismos de coordinación y participación de empleados para su desarrollo, así como los propósitos y explicación general acerca de su contenido.
• Análisis de la estructura organizacional: exposición de la génesis y desarrollo de la organización, es decir los cambios, sucesos y vicisitudes de mayor relevancia que ha afrontado en forma total o parcial y que influyeron en la decisión de preparar el manual.
• Diagnóstico de la situación actual: definición de las causas y/o problemas que originaron el estudio y que justifican los cambios o modificaciones que se proponen en el manual.
• Propuestas de mejoramiento: presentación de alternativas de acción para la organización, ventajas y desventajas que pueden derivarse, implicaciones de los cambios, así como los resultados que se espera obtener con el manual.
• Estrategia de implantación: explicación de los pasos sucesivos o etapas previstas para poner en práctica el manual y las medidas de mejoramiento administrativo derivadas de él. Asimismo, la forma en que se efectuarían los cambios previendo los factores sobresalientes de actuación de las áreas, unidades, mecanismos y funcionarios involucrados en el esfuerzo.
• Seguimiento, control y evaluación: precisión de los mecanismos de información, proceso de control y evaluación, así como los criterios y medidas que podrían tomarse en cada caso.

Al Órgano De Gobierno
De acuerdo con la normatividad vigente y/o a las políticas dictadas por el titular de la organización, una vez que el manual propuesto ha sido revisado y analizado por los niveles superiores, debe presentarse ante el consejo de administración o su equivalente para su aprobación definitiva.
c) A OTROS NIVELES JERÀRQUICOS
La exposición a los niveles departamentales, de oficina o de área también puede basarse en el documento síntesis, pero tratando siempre de hacerlo en la forma más accesible posible para facilitar su comprensión. Asimismo, servirá para fortalecer el compromiso entre todas las partes involucradas, elemento fundamental para el posterior seguimiento y evaluación de las actividades.
I) REPRODUCCIÓN DEL MANUAL
Una vez que el grupo responsable de la elaboración del manual haya recabado e integrado las observaciones surgidas en los diferentes niveles de decisión, debe coordinarse con la unidad o área que maneja los recursos económicos para que éste sea reproducido para su distribución e implantación. Para este efecto, el líder del proyecto debe suministrar los parámetros técnicos para el diseño de la impresión. Aun cuando existen varias opciones para hacerlo, pero las unidades de medida más aceptadas para este tipo de documento son:

• Utilizar formatos intercambiables, a fin de facilitar su revisión y actualización.
• Que los formatos sean de 28x21 cm (tamaño carta).
• Las gráficas o cuadros que por necesidad sobrepasen el tamaño carta, serán dobladas hasta lograr esta dimensión.
• Utilizar el método de reproducción en una sola cara de las hojas.
• Procurar que la división en apartados, capítulos, áreas y/o secciones queden separados por divisiones, las cuales presenten impreso este nombre.
• Que todo el documento quede integrado por carátula, portada, índice o contenido, introducción y cuerpo.

Carátula
Es la cubierta o cara exterior del documento, que tiene como objetivo su identificación a través de los siguientes elementos:

• Nombre oficial de la organización.
• Logotipo oficial.
• Nombre genérico del manual en relación con su contenido.
• Nombre de la unidad administrativa responsable de su elaboración y/o aplicación.

J) IMPLANTACIÓN DEL MANUAL
La implantación del manual representa el momento crucial para traducir en forma tangible las propuestas y recomendaciones en acciones específicas para elevar la productividad, mejorar la coordinación, agilizar el trabajo y homogeneizar el conocimiento de la dinámica y componentes organizacionales.
a) MÉTODOS DE IMPLANTACIÓN
La selección de método para implantar administrativos está estrechadamente relacionada con elementos de estructura tales como:
Tipo de manual
Cobertura
Recursos asignados
Nivel técnico del personal
Clima organizacional
Entorno
En función de estas variables, las alternativas para implantarlos son:

• Método instantáneo. Generalmente es el más utilizado, ya que la decisión de preparar manuales administrativos-en la mayoría de los casos- proviene de los más altos niveles de la estructura de una organización, lo cual les confiere una naturaleza o validez casi obligatoria. También se adopta cuando la organización es nueva, si no se involucra a un número amplio de unidades administrativas, si es relativamente sencillo, si no implica un gran volumen de funciones, sistemas u operaciones, o si en la organización existe una sólida infraestructura administrativa.
• Método del proyecto piloto. Esta forma de implantación implica aplicar el contenido del manual en sólo una parte de la organización, con la finalidad de medir los resultados que ello genera.

El beneficio que pueda aportar radica en que permite realizar cambios en una escala reducida, llevando a cabo cuantas pruebas sean necesarias para determinar la viabilidad de la propuesta.
Una probable desventaja de este método es que no siempre es posible asegurar que lo que es válido para los proyectos piloto se destinan recursos y una atención especial que no puede a toda la organización.
-Método de implantación en paralelo. Cuando se trata de manuales de amplia cobertura, que implican el manejo de mucha información o de carácter estratégico, un volumen considerable de recursos o para garantizar la seguridad de todo un sistema de trabajo, se emplea este método que implica la operación simultánea, por un periodo determinado, tanto del ambiente de trabajo o condiciones tradicionales como las que se van a implantar. Esto permite efectuar cambios sin crear problemas, ya que las nuevas condiciones accionan libremente antes de que se suspendan las anteriores.

• Método de implantación parcial o por aproximaciones sucesivas. Este método, de gran utilidad para implantar manuales que implican modificaciones sustanciales a la operativa normal, consiste en seleccionar parte de su contenido o de àreas específicas para introducir los cambios sin causar grandes alteraciones, y dar el siguiente paso sólo cuando se haya consolidado el anterior, lo que permite un cambio gradual y controlado.
• Combinación de métodos. Es el empleo de màs de un método para implantar un manual en función de los requerimientos técnicos de su contenido.

b) ACCIONES DE IMPLANTACIÓN DEL MANUAL
Para dar a conocer el manual es conveniente definir un programa para su presentación y que, con base en las acciones que para este efecto se establezcan, se proceda a celebrar platicas, seminarios, foros de decisión y cualquier otro tipo de evento de esta naturaleza.
También se pueden llevar a cabo reuniones de sensibilización , por medio de las cuales se puede incrementar la confianza y colaboración del personal, ya que a través de ellas se les comunican los objetivos propuestos y las bondades que de ello puede resultar.
En forma paralela se deben emprender campañas de difusión mediante revistas, boletines, folletos, paneles y cualquier otro recurso de información que refuerce la aceptación, particularmente cuando las medidas de lo mejoramiento puedan afectar a una organización en forma radical o a nivel grupal o sectorial.
K) REVISIÓN Y ACTUALIZACIÒN

• La utilidad de los manuales administrativos radica en la veracidad de la información que contienen, por lo que se hace necesario mantenerlos permanentemente actualizados por medio de revisiones periódicas. Para ello es conveniente:
• Evaluar en forma sistemática las medidas de mejoramiento administrativo derivadas de la implantación del manual, así como los cambios operativos que se realicen en la organización.
• Establecer en calendario para la actualización del manual
• Designar un responsable para la atención de esta función.

a) MECANISMOS DE INFORMACIÓN
Son aquellos que ponen en práctica con la finalidad de establecer los flujos adecuados para que la información administrativa, tanto de implantación de mejoras como respuestas a desviaciones, pueda llegar con agilidad y claridad a las àreas y niveles que las necesiten.
Para ese efecto, se debe aprovechar la infraestructura instalada, utilizando servicios del grupo técnico responsable de la elaboración del manual.
Una vez definidos los parámetros para evaluar el comportamiento del manual, operativamente, la organización debe efectuar el seguimiento de las acciones por conducto de la(s) unidad(es) responsable(s) de su aplicación, apoyadas por una comisión, grupo o subgrupo designado para ese propósito.

C-IDENTIFICA Y ANALIZA NIVELES DE RIESGO EN LA ORGANIZACIÓN

ANALIZA CONFIGURACIONES DE SEGURIDAD EN GRUPOS Y CUENTAS DE USUARIO EN EL SISTEMA OPERATIVO

§  CUESTIONARIO

v  Que es la seguridad de la información?

v  Que es la integridad del sistema?

v  Que es confidencialidad?

v  Que es disponibilidad?

v  Que es seguridad informática?

v  Que es seguridad lógica?

v  Como se puede conseguir la seguridad lógica?

v  Que es seguridad física?

v  Cuáles son las principales amenazas que se proveen en la seguridad física?

v  Que es la política de seguridad?

ENTREVISTA

1.-Qué es una IPS  Es un dispositivo que ejerce el control de acceso de una red informática para proteger al sistema de ataques  y abusos.

2.-Software desarrollado  para IPS/IDS  Tipping  point, stonegate IPS-2000

3.-Para qué sirve el firewall-  Es el encargado de proteger una red  confiable de una que no lo es ejemplo por el internet  

FICHA TECNICA

D.-IDENTIFICA RIESGOS FISICOS EN LA ORGANIZACIÓN APLICADOS A EQUIPOS DE CÓMPUTO Y COMUNICIONES

CONTROLES DE ACCESO

en seguridad informática, consiste en la autorización, autenticación, autorización de acceso y auditoría. Una definición más estrecha de control de acceso abarcaría únicamente la aprobación de acceso, por lo que el sistema adopta la decisión de conceder o rechazar una solicitud de acceso de un sujeto ya autenticado, sobre la base a lo que el sujeto está autorizado a acceder. Autenticación y control de acceso a menudo se combinan en una sola operación, por lo que el acceso está aprobado sobre la base de la autenticación exitosa, o sobre la base de una token de acceso anónimo. Los métodos de autenticación y tokens incluyen contraseñas, escaneados biométricos, llaves físicas, llaves electrónicas y dispositivos, caminos ocultos, barreras sociales y monitoreo por seres humanos y sistemas automatizados.

PROTECCION CONTRA FALLA ELECTRICA

REGULADOR

El regulador impide que las variaciones de la corriente eléctrica que existen en las líneas de luz, dañen cualquier parte de la computadora, reciben la corriente eléctrica y la filtran para evitar que el voltaje rebase los 110v. a su vez compensan los valores de electricidad que se encuentren por debajo del estándar.

Equipos de corriente (no break)

El no break, se utilizan para sustituir la energía eléctrica para la computadora en caso de que ocurra un corte en la energía eléctrica. En estas situaciones, el dispositivo sigue generando electricidad (debido a que guarda energía eléctrica) durante unos cinco minutos o más, de modo que el usuario tiene tiempo de guardar sus trabajos, de apagar correctamente el sistema para evitar daños.

Supresor de Picos

Los picos son el aumento de voltaje que dura muy poco tiempo, son los más comunes en las redes de energía eléctrica. Los picos y las descargas de voltaje son dos problemas frecuentes porque ambos pueden dañar ciertos componentes de la computadora. Estos son más dañinos que las fallas de corriente, debido a que pueden destruir los circuitos que hacen trabajar al disco duro o las tarjetas.

PROTECCION CONTRA DESASTRES NATURALES

Existen distintos tipos de peligros en cuanto a seguridad física se menciona como por ejemplo:

*Desastres Naturales

*Hardware

*Altas y bajas de luz

Y no está de más mencionar que también la pérdida de la información o daños al software son problemas que pueden surgir en un Centro de Cómputo.

**Desastres Naturales**

En este se engloban los más comunes que son terremotos (temblores), temblores eléctricos, inundaciones (humedad), entre otros más, aunque los más comunes son los ya mencionados.

La aplicación de la seguridad contra estos desastres naturales sería, en el caso de los temblores, tener bien protegido el equipo de cómputo, preferentemente que se encuentre en un lugar seguro donde no se pueda caer.

La seguridad contra tormentas eléctricas; contar con buenas NO-BREK o supresores de picos o reguladores, todo esto para proteger la información de las máquinas y que no se dañe el equipo.

La seguridad conta las inundaciones (humedad); tener muy bien inpermeabilizado el local donde tendremos nuestro centro de cómputo y además contar con protectores para las máquinas para tenerlas protegidas en todo momento.

**Hardware**

En este se refiere a las partes de la computadora, las cuales también por medio del sistema de seguridad se pueden mantener en perfectas condiciones, en este punto solo ago. referencia a que podemos mantener bien cuidadas y guardadas nuestras computadoras para que si es posible ni el polvo les caiga mucho porque es un factor importante para que se dañen y cabe mencionar que dándoles mantenimiento mínimo una vez al año las computadoras se mantendrán en buen estado.

**Altas y bajas de luz**

En este punto sería preferente tener un buen regulador para las altas y bajas de luz, de que a veces falla la luz para que el equipo de cómputo no quede afectado todo esto se hace mediante la aplicación de la seguridad.

A continuación se muestran una imágenes referente a los puntos antes visto y un mapa conceptual que explica sintetizada mente los puntos de arriba.

Elabora informe de análisis de riesgos de seguridad informática de una organización considerando los criterios de confidencialidad, integridad y disponibilidad de la información.

1.      Matriz de riesgos.

2.      Ficha técnica de las características del equipo de cómputo y de comunicaciones que incluya valoración de criterios de seguridad informática.

3.      Cuestionarios de seguridad aplicados a usuarios y administradores.

 Matriz de riesgo

Laboratorio de computo (CONALEP)	Bajo	Medio	Alto
Perdida de la USB
Computadora descompuesta
Memoria con virus
Computadora con virus
Derrame de algún liquido
Mal manejo de Software

Ficha técnica

Procesador	Bay trall-TZ3735F
Memoria RAM	40GB
Almacenamiento	332GB
Pantalla	LED de 10.1”
Batería	Polímero 6000mAh
Puertos	Micro USB Micro SD
Multimedia	3.0 MP frente
Sistema operarito	Windows 10
Peso	3.25 KG
Dimensiones(mm)	258*184-23
Precio	4.999
Seguridad y mantenimiento	Para dar una mejor seguridad se le recomienda AL USUARIO ESTABLECER UNA CONTRASEÑA para evitar intrusos y darle mantenimiento cada 3 meses

Cuestionario

¿Cual es la visión?

R=El Colegio Nacional de Educación Profesional Técnica es una Institución líder en la formación de Profesionales Técnicos y Profesionales Técnicos Bachiller en México, que cursan programas reconocidos por su calidad y basados en el modelo mexicano de formación dual, egresan con competencias laborales y valores sociales que les permiten ser competitivos en el mercado laboral y continuar estudios superiores.

El CONALEP es reconocido como centro de capacitación, evaluación y certificación de competencias laborales y servicios tecnológicos, contribuye a elevar la productividad y competitividad del país.

¿Cuál es la misión?

R= formar mediante un modelo basado en competencias, a Profesionales Técnicos y Profesionales Técnicos Bachiller, capacita y evalúa con fines de certificación de competencias laborales y servicios tecnológicos para atender las necesidades del sector productivo del país.

¿Cuáles son los valores?

R= calidad, compromiso con la sociedad, comunicación, cooperación, mentalidad positiva, responsabilidad

¿Cómo llego a esta institución?

R= Era profesor y con el tiempo fui subiendo de rango de área de Computo

¿Cuánto tiempo tiene trabajando en la empresa?

R= 28 años

¿Cual es su cargo?

R= Encargado del área de laboratorios

¿Con cuantas maquinas de cómputo cuenta?

R= Contamos con 172 equipos de computo en los laboratorios

¿Cuantos servidores tiene?

R= contamos con 5 servidores

¿Que procesador tienen las maquinas?

R= i3 e i5

¿Con cuanta memoria cuentan los equipos de cómputo?

R= 4 y 2 gb

¿Con que problemas te has encontrado en los equipos?

R= Con el software casi no hay problema y en el hardware  es lo que daña mas seguido

De hecho lo que se daña más son las fuentes de poder

¿Cuáles han sido las principales vulnerabilidades de los equipos?

R=  El vandalismo de los alumnos

¿Cómo las has solucionado?

R= con la vigilancia o reportarlos

¿Qué tipo de mantenimiento les dan a los equipos?

R= preventivo y correctivo

¿Cada cuánto tiempo de dan mantenimiento a los equipos?

R=  al final de cada semestre se le da mantenimiento muy bueno

¿Cuentan con algún tipo de antivirus?    Solo los servidores cuentan con antivirus  ¿Cuál? note 32

¿Con que sistema operativo cuentan? 

R= Windows 7 en laboratorios y en los servidores Windows 2008

¿Qué tipos de consecuencias hay para los alumnos que dañan los equipos?

R= pagar las consecuencias (el equipo de cómputo que descompusieran)

¿Con que tipo de seguridad cuentan conforme al hardware?

R=con un candado

Plan de seguridad en cómputo acorde con los riesgos determinados y estándares de protección.

ITIL:(IT Infrastructure Library, biblioteca de infraestructura de TI) = Marco de referencia que describe un conjunto de mejores prácticas y recomendaciones para la administración de servicios de TI, con un enfoque de administración de procesos.

COBIT (Objetivos de control para la información y tecnologías relacionadas) es una metodología publicada en 1996 por el Instituto de Control de TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información) que se usa para evaluar el departamento de informática de una compañía

ISMs : Maestra en este punto no me salió lo que me está pidiendo

Analiza estándares internacionales de seguridad informática

BS 17799

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

Características

BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO

ISO/IEC 27000

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Comisión), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:•ISMS(Information Security Management System).

•Valoración de Riesgo.

•Controles.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.

ISO 27000: En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste.

ISO/IEC 27001

ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

ISO/IEC 27002

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

ISO/IEC 20000

La serie ISO/IEC 20000 - Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información). La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).

Definición de plan de seguridad

El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser vincluidos como parte de los SLAs, OLAs y UCs.

El Plan de Seguridad debe diseñarse para ofrecer un mejor y más seguro servicio al cliente y nunca como un obstáculo para el desarrollo de sus actividades de negocio.

PLAN DE SEGURIDAD DE LA UNIVERSIDAD ESTATAL DEL SUR DE MANABI

1. GENERALIDADES

En los actuales momentos la seguridad informática ha tomado gran importancia, debido al avance de la tecnología. La posibilidad de interconectarse a través de redes, permite explorar más allá de las fronteras nacionales, y con estas nuevas amenazas para los sistemas de información.

Estos riesgos que se están enfrentando han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el  mal  uso de las mismas, lo que puede ocasionaría serios problemas a los bienes, servicios y operaciones de la Universidad Estatal del Sur de Manabí.

Para concienciar a los colaboradores de la Universidad sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la universidad crecer y mantenerse competitiva. Se crearán las políticas de seguridad informáticas partiendo desde el análisis de los riesgos a los que se encuentra propensa en la Universidad.

2. ALCANCE DE LAS POLÍTICAS

Este manual de políticas de seguridad es elaborado de acuerdo al análisis de riesgos y de vulnerabilidades que se encuentra sujeta la Universidad.

3 OBJETIVOS

Desarrollar un sistema de seguridad significa “planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad física de los recursos informáticos, así como resguardar los activos de la Universidad”.

Los objetivos que se desean alcanzar luego de implantar nuestro sistema de seguridad son los siguientes:

Establecer   un    esquema   de   seguridad   con   perfecta   claridad  y  transparencia  en  la administración del riesgo.

Compromiso de   todo  el  personal  de  la   Universidad con el proceso de seguridad, agilizando la aplicación de los controles con dinamismo y armonía.

Ganar calidad con la prestación del servicio de seguridad

Convertir a  los   empleados en interventores del sistema de seguridad.

4 ANÁLISIS DE LAS RAZONES QUE IMPIDEN LA APLICACIÓN DE LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA

Una de las primeras razones que se enfrenta es convencer a los altos directivos de la necesidad y beneficios de buenas políticas de seguridad informática.

Los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los administradores de Informática. Lo que conlleva que se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa.

Los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.

Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que quienes toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la Universidad.

Es importante señalar que las políticas por sí solas no constituyen una garantía para la seguridad de la Universidad, ellas deben responder a intereses y necesidades Universitarias basadas en la visión de la misma, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la formalización y materialización de los compromisos adquiridos con la Universidad.

5 RESPONSABILIDADES

Es responsabilidad del supervisor de Seguridad Informática, desarrollar, someter a revisión y divulgar en adición a los demás medios de difusión (intranet, email, sitio web oficial, revistas internas) de los Procedimientos de Seguridad.  Asimismo, es responsabilidad del supervisor inmediato capacitar a sus empleados en lo relacionado con los Procedimientos de Seguridad.

6 DEFINICIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA

6.1 DISPOSICIONES GENERALES

Articulo 1°.- El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo informático de las diferentes áreas de la Universidad

Articulo 2°.- Para los efectos de este instrumento se entenderá por:

Comité

Al equipo integrado por el Rector, Directores Académicos y Directores Departamentales y el personal administrativo (ocasionalmente) convocado para fines específicos como:

Adquisiciones de Hardware y software

Establecimiento      de   estándares  de  la   Universidad   tanto  de hardware como de software

Establecimiento dela Arquitecturatecnológica de grupo.

Establecimiento de lineamientos para concursos de ofertas

Administración de informática

Está integrada por el Jefes de área, las cuales son responsables de:

Velar por el funcionamiento  de  la tecnología informática que se utilice en las diferentes áreas.

Elaborar y efectuar seguimiento del Plan Maestro de Informática

Definir estrategias y objetivos a corto, mediano y largo plazo

Mantenerla Arquitecturatecnológica

Controlar la calidad del servicio brindado

Mantener el Inventario actualizado de los recursos informáticos

Velar   por    el   cumplimiento   de   las   Políticas    y    Procedimientos establecidos.

Articulo 3°.- Para los efectos de este documento, se entiende por Políticas en Informática, al conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas responsables del hardware, siendo responsabilidad de la Administración de Informática, vigilar su estricta observancia en el ámbito de su competencia, tomando las medidas preventivas y correctivas para que se cumplan.

Articulo 4°.- Las Políticas en Informática son el conjunto de ordenamientos y lineamientos enmarcados en el ámbito jurídico y administrativo. Estas normas inciden en la adquisición y el uso de los Bienes y Servicios Informáticos, las cuales se deberán de acatar invariablemente, por aquellas instancias que intervengan directa y/o indirectamente en ello.

Articulo 5°.- Las Políticas aquí contenidas, son de observancia para la adquisición y uso de bienes y servicios informáticos, en SASF, cuyo incumplimiento generará que se incurra en responsabilidad administrativa; sujetándose a lo dispuesto en la sección Responsabilidades Administrativas de Sistemas.

6.2 LINEAMIENTOS PARA LA ADQUISICIÓN DE BIENES INFORMÁTICOS

Articulo 6°.- Toda adquisición de tecnología informática se efectuará a través del Comité, que está conformado por el personal de la Administración de Informática.

Articulo 7°.- La Administración de Informática, al planear las operaciones relativas a la adquisición de Bienes informáticos, establecerá prioridades y en su selección deberá tomar en cuenta: estudio técnico, precio, calidad, experiencia, desarrollo tecnológico, estándares y capacidad, entendiéndose por:

Precio

Costo inicial, costo de mantenimiento y consumibles por el período estimado de uso de los equipos;

CALIDAD

Parámetro cualitativo que especifica las características técnicas de los recursos informáticos.

EXPERIENCIA

Presencia en el mercado nacional e internacional, estructura de servicio, la confiabilidad de los bienes y certificados de calidad con los que se cuente.

Desarrollo Tecnológico

Se deberá analizar su grado de obsolescencia, su nivel tecnológico con respecto a la oferta existente y su permanencia en el mercado.

ESTÁNDARES

Toda adquisición se basa en los estándares,. Esta arquitectura tiene una permanencia mínima de dos a cinco años.

CAPACIDADES

Se deberá analizar si satisface la demanda actual con un margen de holgura y capacidad de crecimiento para soportar la carga de trabajo del área.

Artículo 8°.- Para la adquisición de Hardware se observará lo siguiente:

El equipo  que  se  desee  adquirir  deberá estar dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estándares.

Los equipos complementarios deberán tener una garantía mínima de un año y deberán contar con el servicio técnico correspondiente en el país.

Deberán  ser   equipos   integrados    de   fábrica  o  ensamblados  con componentes previamente evaluados por el Comité.

La marca de los  equipos o  componentes deberá contar con presencia y permanencia demostrada en el mercado nacional e internacional, así como con asistencia técnica y refaccionaria local.

Todo proyecto de adquisición de bienes de informática, debe sujetarse al análisis, aprobación y autorización del Comité.

Artículo 9.- En la adquisición de Equipo de cómputo se deberá incluir el Software vigente precargado con su licencia correspondiente considerando las disposiciones del artículo siguiente.

Articulo 10°.- Para la adquisición de Software base y utilitarios, el Comité dará a conocer periódicamente las tendencias con tecnología de punta vigente, siendo la lista de productos autorizados la siguiente:

PLATAFORMAS DE SISTEMAS OPERATIVOS

MS-Windows

Linux.          

BASES DE DATOS

Oracle

LENGUAJES Y HERRAMIENTAS DE PROGRAMACIÓN

Los lenguajes y herramientas de programación que se utilicen deben ser compatibles con las plataformas enlistadas.

PL/SQL

JAVA

ORACLE Forms

ORACLE Reports

ORACLE Designer

ORACLE Workflow Builder

PL/SQL  Developer

ORACLE Jdeveloper

Macromedia Dreamweaver

Macromedia Fireworks

Java Decompiler

UTILITARIOS DE OFICINA

Microsoft Office

Star Office

PROGRAMAS ANTIVIRUS

Norton Antivirus

McAfee

MANEJADOR DE CORREO ELECTRÓNICO

Microsoft Outlook

NAVEGADORES DE INTERNET

Internet Explorer

Mozilla

COMPRIMIDORES DE ARCHIVOS

Winzip

Winrar

Artículo 11°.- Todos los productos de Software que se utilicen a partir de la fecha en que entre en vigor el presente ordenamiento, deberán contar con su licencia de uso respectiva; por lo que se promoverá la regularización o eliminación de los productos ya instalados que no cuenten con el debido licenciamiento.

Artículo 12°.- Para la operación del software de red en caso de manejar los datos de la Universidad mediante sistemas de información, se deberá tener en consideración lo siguiente:

Toda la información institucional deberá invariablemente ser operada a través de un mismo tipo de sistema manejador de base de datos para beneficiarse de los mecanismos de integridad, seguridad y recuperación de información en caso de presentarse alguna falla.

El acceso  a  los  sistemas  de  información,     deberá  contar  con  los privilegios ó niveles de seguridad de acceso suficientes para garantizar la seguridad total de la información institucional. Los niveles de seguridad de acceso deberán controlarse por un administrador único y poder ser manipulado por software.

Se  deben  delimitar  las  responsabilidades  en   cuanto  a  quién  está autorizado a consultar y/o modificar en cada caso la información, tomando las medidas de seguridad pertinentes.

Los datos de los sistemas de información,    deben ser respaldados de acuerdo a la frecuencia de actualización de sus datos, rotando los dispositivos de respaldo y guardando respaldos históricos periódicamente. Es indispensable llevar una bitácora oficial de los respaldos realizados, asimismo, los CDs de respaldo deberán guardarse en un lugar de acceso restringido con condiciones ambientales suficientes para garantizar su conservación.  En cuanto a la información de los equipos de cómputo personales,la Unidadde Informática recomienda a los usuarios que realicen sus propios respaldos en la red o en medios de almacenamiento alternos.

Todos los sistemas de información que se tengan en operación, deben contar con sus respectivos manuales actualizados. Un técnico que describa la estructura interna del sistema así como los programas, catálogos y archivos que lo conforman y otro que describa a los usuarios del sistema y los procedimientos para su utilización.

Artículo 13°.- Para la prestación del servicio de desarrollo o construcción de Software aplicativo se observará lo siguiente:

6.3 INSTALACIONES DE LOS EQUIPOS DE CÓMPUTO

Artículo 14°.- La instalación del equipo de cómputo, quedará sujeta a los siguientes lineamientos:

Los  equipos  para  uso interno  se  instalarán  en  lugares  adecuados, lejos de polvo y tráfico de personas.

La  Administración  de  Informática,     así  como  las  áreas  operativas deberán contar con un croquis actualizado de las instalaciones eléctricas y de comunicaciones del equipo de cómputo en red.

Las instalaciones eléctricas  y de comunicaciones, estarán  de preferencia fijas o en su defecto resguardadas del paso de personas o máquinas, y libres de cualquier interferencia eléctrica o magnética.

Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando las especificaciones del cableado y de los circuitos de protección necesarios.

En ningún caso se permitirán instalaciones improvisadas o sobrecargadas.

Artículo 14°.- La supervisión y control de las instalaciones se llevará a cabo en los plazos y mediante los mecanismos que establezca.

6.4 LINEAMIENTOS EN INFORMÁTICA: INFORMACIÓN

Artículo 15°.- La información almacenada en medios magnéticos se deberá inventariar, anexando la descripción y las especificaciones de la misma, clasificándola en tres categorías:

Información histórica para auditorias.

Información de interés de la Universidad

Información de interés exclusivo de alguna área en particular.

Artículo 16°.- Los jefes de área responsables de la información contenida en los departamentos a su cargo, delimitarán las responsabilidades de sus subordinados y determinarán quien está autorizado a efectuar operaciones emergentes con dicha información tomando las medidas de seguridad pertinentes.

Artículo 17°.- Se establecen tres tipos de prioridad para la información:

Información vital para el funcionamiento del área;

Información necesaria, pero no indispensable en el área.

Información ocasional o eventual.

Articulo 18°.- En caso de información vital para el funcionamiento del área, se deberán tener procesos colaborativos, así como tener el respaldo diario de las modificaciones efectuadas, rotando los dispositivos de respaldo y guardando respaldos históricos semanalmente.

Articulo 19°.- La información necesaria pero no indispensable, deberá ser respaldada con una frecuencia mínima de una semana, rotando los dispositivos de respaldo y guardando respaldos históricos mensualmente.

Articulo 20°.- El respaldo de la información ocasional o eventual queda a criterio del área.

Articulo 21°.- La información almacenada en medios magnéticos, de carácter histórico, quedará documentada como activos del área y estará debidamente resguardada en su lugar de almacenamiento.

Es obligación del responsable del área, la entrega conveniente de la  información, a quien le suceda en el cargo.

Articulo 22°.- Los sistemas de información en operación, como los que se desarrollen deberán contar con sus respectivos manuales. Un manual del usuario que describa los procedimientos de operación y el manual técnico que describa su estructura interna, programas, catálogos y archivos.

Articulo 23°.- Ningún colaborador en proyectos de software y/o trabajos específicos, deberá poseer, para usos no propios de su responsabilidad, ningún material o información confidencial de SASF tanto ahora como en el futuro.

6.5 FUNCIONAMIENTO DE LOS EQUIPOS DE CÓMPUTO

Articulo 24°.- Es obligación dela Administración de Informática vigilar que el equipo de cómputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las funciones del área a la que se asigne.

Articulo 25°.- Los colaboradores de la Universidad al usar el equipo de cómputo, se abstendrán de consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo o deterioren la información almacenada en medios magnéticos, ópticos, o medios de almacenamiento removibles de última generación.

Articulo 26°.- Por seguridad de los recursos informáticos se deben establecer seguridades:

·        FÍSICAS

Sistema Operativo

Software

Comunicaciones

Base de Datos

Proceso

Aplicaciones

Por ello se establecen los siguientes lineamientos:

Mantener claves de acceso que permitan el uso solamente al personal autorizado para ello.

Verificar  la  información  que provenga  de  fuentes  externas a  fin  de corroborar que esté libre de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos.

Mantener pólizas de seguros de los recursos informáticos en funcionamiento

 Articulo 27°.- En ningún caso se autorizará la utilización de dispositivos ajenos a los procesos informáticos del área.  Por consiguiente, se prohíbe el ingreso y/o instalación de hardware y software particular, es decir que no sea propiedad de SASF, excepto en casos emergentes quela Dirección autorice.

6.6 PLAN DE CONTINGENCIAS INFORMATICAS

Articulo 28°.- La Administración de Informática creará para los departamentos un plan de contingencias informáticas que incluya al menos los siguientes puntos:

Continuar con la operación del área con procedimientos informáticos alternos.

Tener los respaldos de información en un lugar seguro, fuera del lugar en el que se encuentran los equipos.

Tener el apoyo por medios magnéticos o en forma documental, de las operaciones necesarias para reconstruir los archivos dañados.

Contar con un instructivo de operación para la detección de posibles fallas, para que toda acción correctiva se efectúe con la mínima degradación posible de los datos.

Contar con un directorio del personal interno y del personal externo de soporte, al cual se pueda recurrir en el momento en que se detecte cualquier anomalía.

Ejecutar pruebas de la funcionalidad del plan.

Mantener revisiones del plan a fin de efectuar las actualizaciones respectivas.

 

6.7 ESTRATEGIAS  INFORMÁTICAS

Articulo 29°.- La estrategia se consolida en el Plan Maestro de Informática y está orientada hacia los siguientes puntos:

Plataforma de Sistemas Abiertos (Portables).

Esquemas de operación bajo el concepto multicapas.

Estandarización de hardware, software base, utilitarios y estructuras de datos

Intercambio de experiencias entre Departamentos.

Manejo de proyectos conjuntos con las diferentes áreas.

Programa de capacitación permanente para los colaboradores de la Universidad.

Articulo 30°.- Para la elaboración de los proyectos informáticos y para el presupuesto de los mismos, se tomarán en cuentan tanto las necesidades de hardware y software del área solicitante, como la disponibilidad de recursos con los que cuente la Universidad.

6.8 ACCESO FÍSICO

Articulo 31°.- Sólo al personal autorizado le está permitido el acceso a las instalaciones donde se almacena la información confidencial de la universidad.

Articulo 32°.- Sólo bajo la vigilancia de personal autorizado, puede el personal externo entrar en las instalaciones donde se almacena la información confidencial, y durante un período de tiempo justificado.

6.9 IDENTIFICADORES DE USUARIO Y CONTRASEÑAS

Articulo 32°.- Todos los usuarios con acceso a un sistema de información  a una red informática, dispondrán de una única autorización de acceso compuesta de identificador de usuario y contraseña.

Articulo 33°.- Ningún usuario recibirá un identificador de acceso a la Red de Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no acepte formalmente la Política de Seguridad vigente.

Articulo 34°.- Los usuarios tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, conforme a los criterios establecidos por el responsable de la información.

Artículo 35°.- La longitud mínima de las contraseñas será igual o superior a ocho caracteres, y estarán constituidas por combinación de caracteres alfabéticos, numéricos y especiales.

Artículo 36°.- Los identificadores para usuarios temporales se configurarán para un corto período de tiempo. Una vez expirado dicho período, se desactivarán de los sistemas.

6.10 RESPONSABILIDADES PERSONALES

Artículo 37°.- Los usuarios son responsables de toda actividad relacionada con el uso de su acceso autorizado.

Artículo 38°.- Los usuarios no deben revelar bajo ningún concepto su identificador y/o contraseña a otra persona ni mantenerla por escrito a la vista, ni al alcance de terceros.

Artículo 39°.- Los usuarios no deben utilizar ningún acceso autorizado de otro usuario, aunque dispongan de la autorización del propietario.

Artículo 40°.- Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contraseña) está siendo utilizado por otra persona, debe proceder al cambio de su contraseña e informar a su jefe inmediato y éste reportar al responsable de la administración de la red.

Artículo 41°.- El Usuario debe utilizar una contraseña compuesta por un mínimo de ocho caracteres constituida por una combinación de caracteres alfabéticos, numéricos y especiales.

Artículo 42°.- La contraseña no debe hacer referencia a ningún concepto, objeto o idea reconocible. Por tanto, se debe evitar utilizar en las contraseñas fechas significativas, días de la semana, meses del año, nombres de personas, teléfonos.

Artículo 43°.- En caso que el sistema no lo solicite automáticamente, el usuario debe cambiar la contraseña provisional asignada la primera vez que realiza un acceso válido al sistema.

Artículo 44°.- En el caso que el sistema no lo solicite automáticamente, el usuario debe cambiar su contraseña como mínimo una vez cada 30 días. En caso contrario, se le podrá denegar el acceso y se deberá contactar con el jefe inmediato para solicitar al administrador de la red una nueva clave.

Artículo 45°.- Proteger, en la medida de sus posibilidades, los datos de carácter personal a los que tienen acceso, contra revelaciones no autorizadas o accidentales, modificación, destrucción o mal uso, cualquiera que sea el soporte en que se encuentren contenidos los datos.

Artículo 46°.- Guardar por tiempo indefinido la máxima reserva y no se debe emitir al exterior datos de carácter personal contenidos en cualquier tipo de soporte.

Artículo 47°.- Utilizar el menor número de listados que contengan datos de carácter personal y mantener los mismos en lugar seguro y fuera del alcance de terceros.

Artículo 48°.- Cuando entre en posesión de datos de carácter personal, se entiende que dicha posesión es estrictamente temporal, y debe devolver los soportes que contienen los datos inmediatamente después de la finalización de las tareas que han originado el uso temporal de los mismos.

Artículo 49°.- Los usuarios sólo podrán crear ficheros que contengan datos de carácter personal para un uso temporal y siempre necesario para el desempeño de su trabajo. Estos ficheros temporales nunca serán ubicados en unidades locales de disco de la computadora de trabajo y deben ser destruidos cuando hayan dejado de ser útiles para la finalidad para la que se crearon.

Artículo 50°.- Los usuarios deben notificar a su jefe inmediato cualquier incidencia que detecten que afecte o pueda afectar a la seguridad de los datos de carácter personal: pérdida de listados y/o disquetes, sospechas de uso indebido del acceso autorizado por otras personas, recuperación de datos.

Artículo 51°.- Los usuarios únicamente introducirán datos identificativos y direcciones o teléfonos de personas en las agendas de contactos de las herramientas ofimáticas (por ejemplo en Outlook)

Establece métricas y mecanismos para la evaluación de los controles implementados.

METRICAS Y MECANISMOS PARA LA EVALUACION DE CONTROLES IMPLEMENTADOS

Indicadores para evaluar la eficiencia de los controles implementados:

Para poder aplicar indicadores de gestión como herramienta de evaluación es necesario saber que tipo de indicadores se deben aplicar, en que área se aplicara, cómo será el proceso de evaluación y de dónde se obtendrá dicha información. Es necesario entonces conocer los pasos básicos para diseñar indicadores de gestión:

Contar con Objetivos a Corto Plazo:

Mejorar la gestión y organización de la empresa

Lograr alianzas con los principales proveedores de la empresa

Fidelización del cliente

Optimizar la producción

Identificar los factores críticos del éxito.

Recurso Humanos

Abastecimiento.

Ventas

Establecer los indicadores para cada factor critico.

Para definir un buen indicador de control o evaluación de un proceso es importante desarrollar un criterio de selección con una técnica muy sencilla

MODO EN EL QUE LOS INDICADORES SON MEDIDOS:

Una vez definido cada indicador debemos identificar el tipo de control que se desea aplicar sobre el factor clave de éxito, de esta manera se establece la naturaleza del indicador a construir, y una vez identificada la naturaleza del indicador se procede a identificar las variables del sistema que serán evaluadas periódicamente para calcular el indicador.

INDICADOR DE EFICIENCIA

Cuando la naturaleza del control más apropiado es la eficiencia, las variables estarán más relacionadas con el uso de los recursos por parte del proceso:

= CANTIDAD DE RECURSO DESPERDICIADO

CANTIDAD DE RECURSO UTILIZADO

Cuando la naturaleza del control más apropiado es la eficacia, las variables estarán relacionadas con el cumplimiento de los recursos esperados por parte de dicho proceso:

INDICADOR DE EFECTIVIDAD

= VALOR DE UN ATRIBUTO DE SALIDA DE UN PROCESO

VALOR ESPERADO DEL ATRIBUTO

Establecer tendencias y referencias a los indicadores.

Toda evaluación es realizada a través de la comparación y esta no es posible si no se cuenta con un nivel de referencia para comparar el valor de un indicador.

Para la aplicación de los indicadores a presentar se tomara en cuenta como punto de referencia la tendencia para un primer periodo y posteriormente con una mayor base de datos aplicar la referencia de tipo histórico para ser de fácil aplicación y la que más de adapta a la pequeña empresa industrial al momento de comenzar a implementar indicadores.

Elabora el plan de seguridad informática basado en estándares internacionales estableciendo mecanismos de protección de la información y métricas de evaluación.

1.      Plan de seguridad a implementar.

2.      Políticas de seguridad a implementar.

QUE ES UNA METRICA ?

una métrica es cualquier medida o conjunto de medidas destinadas a conocer o estimar el tamaño u otra característica de un software o un sistema de información, generalmente para realizar comparativas o para la planificación de proyectos de desarrollo. Un ejemplo ampliamente usado es la llamada métrica de punto función.

Ejemplo:

Plan de seguridad a implementar

La implementación de medidas de seguridad, es un proceso Técnico-Administrativo. Como este proceso debe abarcar toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.

Se deberá tener en cuenta que la implementación de Políticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organización. La implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organización, tanto técnica como administrativamente.

Por esto, será necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y técnicos que se generen.

Es fundamental no dejar de lado la notificación a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organización con el fin de otorgar visibilidad a los actos de la administración.

Políticas de seguridad a implementar

Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.

Objetivos de la política y descripción clara de los elementos involucrados en su definición.

Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización.

Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.

Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.

Definición de violaciones y las consecuencias del no cumplimiento de la política.

Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley.

Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas.

Bitácora

He aprendido mucho en esta parte de la asesoría que ando haciendo ya que me recordé los valores CONALEP que ya se me habían olvidado hace vario tiempo. También ahora se mejor que es un concepto de seguridad, concepto de información informática entre muchos más. Aunque se me dificultaba mucho diferenciar entre los riegos lógicos y físicos ya se mas o menos lo que tiene que ver cada uno por ejemplo un riesgo lógico como: spam o códigos maliciosos en cambio un riesgo físico seria como: La PC se calienta demasiado o en caso de que le caiga algún liquido sobre ella la puede afectar etc. También fui hacer una entrevista  sobre seguridad informática y como puedo proteger mi computadora contra virus intrusos y muchas cosas También ya se actuar cuando haya fenómenos naturales y puedan dañar mis aparatos electrónicos que estén conectados a una fuentes de electricidad elabore una matriz de riesgo donde especifico los niveles de riesgos que hay sobre un laboratorio de computo(lo tome como un ejemplo) que podrá ver en mi trabajo de asesorías  lo que aún se me dificulta es aprenderme muy bien  los estándares en protección y los estándares internacionales de protección y lo que me quedo más o menos claro fue lo de ¿Qué es una métrica? Bueno no le entendí mucho pero al estar asiéndolo me grabe algunas partes de ello.

Gracias por su Atención

2. Administra herramientas de seguridad informática.

2.1 Instala y configura herramientas informáticas acorde con los estándares y buenas prácticas de seguridad en cómputo.

Elaboración de manual de instalación y configuración de software.

           · Requerimientos de instalación.

PHP es el lenguaje de programación en la que Media Wiki está escrito, y se requiere con el fin de ejecutar el software.
Para la última versión de Media Wiki, la versión de PHP 5.2.3 o posterior (PHP 5.3.1 se ve afectado por error de PHP 50.394 y no se admite).
Si no puede actualizar a PHP5, entonces usted puede utilizar el antiguo, Media Wiki no compatibles, 1.6.12, que requiere la versión de PHP 4.3.0 o posterior
Las extensiones son necesarios los siguientes: Perl Compatible Regular las expresiones (v4.0 +), período de sesiones, la Biblioteca estándar de PHP. Tenga en cuenta que todos estos están habilitados en PHP por defecto.
Si va a instalar MediaWiki en CentOS 5.6, utilice el paquete php53 en lugar de php. El paquete contiene php PHP 5.1.x, que no es compatible con la última versión de Media Wiki.
Si necesita compilar PHP desde las fuentes, a continuación, ver la configuración de PHP para las opciones de compilación que afectan a MediaWiki.

· Procedimiento de instalación.

1. Lo primero que debemos hacer luego de descargar la última versión de MediaWiki es descomprimirla en nuestro disco para eso podemos utilizar Winrar que no da ninguna complicación ni problema. Una vez descomprimido lo subimos a nuestro servidor dentro de una carpeta.

2. Luego de subir todo debemos crear nuestra base de datos Mysql, como este es un proceso que es muy particular de cada Hosting y es relativamente sencillo no lo voy a detallar a menos que alguien lo necesite, en la mayoría de los casos utilizando phpMyAdmin esto no llevara más de 10 seg.

3. Luego tenemos que ingresar a la url en donde subimos los archivos en mi caso y al hacerlo en local la mía es http://localhost/wiki/ recuerda reemplazar esto por tus datos y si todo salió bien tendremos que tener esto en pantalla:

Instalando Media Wiki

Obviamente vamos a “Set up the wiki”: D

4. Aquí vamos a ver que hay muchos campos para llenar, pero solamente comentare sobre los que son imprescindibles los demás el software los instalara por defecto y de esa forma evitaremos muchas complicaciones:

Wiki name: El nombre de la wiki, no es demasiado complicado de entender: D

Contact e-mail: Email que usara el software para realizar las notificaciones como así también el destino de las recuperaciones de passwords perdidas.

Admin username, Password y Password confirm: Los datos necesarios para ingresar al panel de administración del wiki.

Database config: En esta serie de campos directamente colocamos los mismos datos con los que creamos la base de datos en el punto anterior, recuerden que muchas veces en el host funciona colocar local host, salvo ciertos casos como por ejemplo los que nos alojamos en Dreamhost, aquí simplemente ponemos el host de la base misal y listo.

Luego de terminar eso y dejando todos los demás campos por defecto presionamos el botón “Install MediaWiki!”

5. Luego si hicimos todo bien nos aparecerá un texto y abajo “Installation successful!” ahora simplemente debemos mover el archivo LocalSettings.php que se encuentra dentro de la carpeta config a la carpeta principal de la wiki. Una vez que movimos este archivo ingresamos a la página principal en mi caso http://localhost/wiki y tendríamos que ver esta pantalla:

Portada Wikimedia

· Procedimiento de configuración.

Desarrollo: cada programador necesita el programa instalado, pero con las herramientas, códigos fuente, bancos de datos y etc., para modificar el programa.
Prueba: antes de la entrega al usuario, el software debe ser sometido a pruebas. Esto se hace, en caso de software complejos, en una instalación ad hoc.
Producción: Para ser utilizado por el usuario final.

Configuración local de seguridad.

· Actualizaciones automáticas para el sistema operativo y aplicaciones.

Primero te vas a botón de inicio:

Después de que realices ese paso nos vamos a panel de control:


Después de seleccionar panel de control aparecerá la siguiente ventanilla y seleccionas a Windows update y así buscaras las actualizaciones de Windows.

· Administración de actualizaciones.

¿Qué es una actualización? Aquí descubrirá qué son las actualizaciones, cómo se clasifican y cómo trabaja WSUS con Microsoft Update para asegurar que sus sistemas obtengan las actualizaciones adecuadas en el momento oportuno.

  Clasificación de actualizaciones: Actualizaciones enumeradas por productos y clasificaciones
Actualizaciones disponibles por producto
Funcionamiento de WSUS con Microsoft Update
Revisiones y nuevas versiones de actualizaciones
Actualizaciones reemplazadas y de reemplazo
Aprobación de una actualización que reemplaza
Aprobar una actualización que reemplaza
Actualizaciones caducadas

• Servidores centrales de actualizaciones:

En informática, un servidor es un nodo que, formando parte de una red, provee servicios a otros nodos denominados clientes.
También se suele denominar con la palabra servidor a:

• Una aplicación informática o programa que realiza algunas tareas en beneficio de otras aplicaciones llamadas clientes. Algunos servicios habituales son los servicios de archivos, que permiten a los usuarios almacenar y acceder a los archivos de una computadora y los servicios de aplicaciones, que realizan tareas en beneficio directo del usuario final. Este es el significado original del término. Es posible que un ordenador cumpla simultáneamente las funciones de cliente y de servidor.
• Una computadora en la que se ejecuta un programa que realiza alguna tarea en beneficio de otras aplicaciones llamadas clientes, tanto si se trata de un ordenador central (mainframe), un miniordenador, una computadora personal, una PDA o un sistema embebido; sin embargo, hay computadoras destinadas únicamente a proveer los servicios de estos programas: estos son los servidores por antonomasia.
• Un servidor no es necesariamente una máquina de última generación de grandes proporciones, no es necesariamente un superordenador; un servidor puede ser desde una computadora de bajo recursos, hasta una máquina sumamente potente (ej.: servidores web, bases de datos grandes, etc. Procesadores especiales y hasta varios terabytes de memoria). Todo esto depende del uso que se le dé al servidor. Si usted lo desea, puede convertir al equipo desde el cual usted está leyendo esto en un servidor instalando un programa que trabaje por la red y a la que los usuarios de su red ingresen a través de un programa de servidor web como Apache.

Por lo cual podemos llegar a la conclusión de que un servidor también puede ser un proceso que entrega información o sirve a otro proceso. El modelo Cliente-servidor no necesariamente implica tener dos ordenadores, ya que un proceso cliente puede solicitar algo como una impresión a un proceso servidor en un mismo ordenador.

· Manejo de cuentas.

“Control de Cuentas de Usuario”. En teoría este componente de Windows nos ayuda a tener un mejor control sobre los permisos que ejercen las aplicaciones en nuestro equipo ya que nos avisa en pantalla cuando un programa esta intentando modificar y/o tener acceso a los componentes protegidos del sistema.

· Manejo de bitácoras.

Una bitácora se utiliza para mantener el control sobre el uso de los equipos de computo un ejemplo de bitácora de seguridad es el que se muestra a continuación: Bitácora de seguridad de laboratorio de computo Sin embargo al momento de implementar el uso de estas es necesario tomar en cuenta algunos aspectos, por ejemplo: Equipos de computo • Apagarlos al desocuparlos. • No rayar las pantallas y las partes de la computadora. • No mojarlos. • No forzarlos cuando se traben. Programas • Si un programa está bloqueado no desbloquear • No utilizar el programa para cosas que no sean su funcionamiento. • Respetar el reglamento del programa Páginas web • No desbloquear las paginas • Hacer caso a las advertencias. Mobiliario • No rallarlo • No pegar chicles • No maltrátarlo alumnos • No entrar con comida • Respetar el horario del laboratorio • Cuidar todo los componentes del laboratorio. MANEJO DE SOFTWARE El manejo del software en el equipo es de importancia por su capacidad de proteger al equipo de cómputo de amenazas presentes, principalmente en la red u otros dispositivos. Por ejemplo si se conecta a Internet, permite que otras personas utilicen el equipo o comparte los archivos con otras personas, debe tomar las medidas necesarias para impedir que el equipo sufra daños. Por lo general este tipo de software se actualiza sin que el operador tenga que hacerlo por medio de una configuración, permiten así tener el equipo actualizado.

· Manejo de software.

El manejo de los software en el equipo es de importancia por su capacidad de proteger al equipo de cómputo de amenazas en la red 

Esta documentación fue escrita por (Isaac. Urbina, Rosa Valdez .Josué David, Michel Fabián )

Manejo de software de seguridad en el equipo:
Es utilizado para poder proteger el equipo de amenazas que se pueden encontrar en la red u otros dispositivos
Actualizaciones automáticas se actualiza sin que el operador tenga que hacerlo por medio de una configuración son herramientas que permiten tener el equipo actualizado

Es una solución que integra el conocido ESET NOD32 Antivirus con módulos Antispyware, Antispam y firewall para dar una protección integral del ordenador. Está preparada para repeler virus, spyware, spam

El Antispam es lo que se conoce como método para prevenir el "correo basura". Tanto los usuarios finales como los administradores de sistemas de correo electrónico utilizan diversas técnicas contra ello. Algunas de estas técnicas han sido incorporadas en productos, servicios y software para aliviar la carga que cae sobre usuarios y administradores.

El spyware o programa espía es un software que recopila información de un ordenador y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del ordenador. El término spyware también se utiliza más ampliamente para referirse a otros productos que no son estrictamente spyware. Estos productos, realizan diferentes funciones, como mostrar anuncios no solicitados (pop-up), recopilar información privada, redirigir solicitudes de páginas e instalar marcadores de teléfono.

Firewall, es un elemento de software o hardware utilizado en una red para prevenir algunos tipos de comunicaciones prohibidos según las políticas de red que se hayan definido en función de las necesidades de la organización responsable de la red.

La idea principal de un firewall es crear un punto de control de la entrada y salida de tráfico de una red. Un firewall correctamente configurado es un sistema adecuado para tener una protección a una instalación informática, pero en ningún caso debe considerarse como suficiente. La Seguridad informática abarca más ámbitos y más niveles de trabajo y protección.

· Firewall local.

n Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).

Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:

1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.

Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa perimetral de las redes, no defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer protección una vez que el intruso lo traspasa.

Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente debe pasar a través de ellos para proveer servicios de seguridad adicionales como la encriptación del tráfico de la red. Se entiende que si dos Firewalls están conectados, ambos deben "hablar" el mismo método de encriptación-des encriptación para entablar la comunicación.

Routers y Bridges

Cuando los paquetes de información viajan entre su destino y origen, vía TCP/IP, estos pasan por diferentes Routers (enrutadores a nivel de Red).

Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.

En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los cuales son puentes que operan a nivel de Enlace.

La evolución tecnológica les ha permitido transformarse en computadoras muy especializadas capaz de determinar, si el paquete tiene un destino externo y el camino más corto y más descongestionado hacia el Router de la red destino. En caso de que el paquete provenga de afuera, determina el destino en la red interna y lo deriva a la máquina correspondiente o devuelve el paquete a su origen en caso de que él no sea el destinatario del mismo.

Los Routers "toman decisiones" en base a un conjunto de datos, regla, filtros y excepciones que le indican que rutas son las más apropiadas para enviar los paquetes.

Tipos de Firewall

1. Filtrado de Paquetes (leer más)
2. Proxy-Gateway de Aplicaciones (leer más)
3. Dual-Homed Host (leer más)
4. Screened Host (leer más)
5. Screened Subnet (leer más)
6. Inspección de Paquetes
   
   

Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y en aplicaciones muy complejas.

7. Firewalls Personales

Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un simple "cuelgue" o infección de virus hasta la pérdida de toda su información almacenada.

· Establece políticas para el manejo del antispyware.

• Los programas espía o spyware son aplicaciones que recopilan información sobre una persona u organización sin su conocimiento. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en círculos legales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante.
•  Pueden tener acceso por ejemplo a: el correo electrónico y el password; dirección IP y DNS; teléfono, país; páginas que se visitan, que tiempos se está en ellas y con qué frecuencia se regresa; que software está instalado en el equipo y cual se descarga; que compras se hacen por Internet; tarjeta de crédito y cuentas de banco.
• Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, como el programa Magic Lantern desarrollado por el FBI, o bien puede estar oculto en la instalación de un programa aparentemente inocuo.
• Los programas de recolección de datos instalados con el conocimiento del usuario no son realmente programas espías si el usuario comprende plenamente qué datos están siendo recopilados y a quién se distribuyen.
• Los cookies son un conocido mecanismo que almacena información sobre un usuario de interneten su propio ordenador, y se suelen emplear para asignar a los visitantes de un sitio de internet un número de identificación individual para su reconocimiento subsiguiente. Sin embargo, la existencia de los cookies y su uso generalmente no están ocultos al usuario, quien puede desactivar el acceso a la información de los cookies. Sin embargo, dado que un sitio Web puede emplear un identificador cookie para construir un perfil del usuario y éste no conoce la información que se añade a este perfil, se puede considerar a los cookies una forma de spyware. Por ejemplo, una página con motor de búsqueda puede asignar un número de identificación individual al usuario la primera vez que visita la página, y puede almacenar todos sus términos de búsqueda en una base de datos con su número de identificación como clave en todas sus próximas visitas (hasta que el cookie expira o se borra). Estos datos pueden ser empleados para seleccionar los anuncios publicitarios que se mostrarán al usuario, o pueden ser transmitidos (legal o ilegalmente) a otros sitios u organizaciones.

· Permisos de archivos y carpetas compartidas.

Los permisos en un recurso compartido, como una carpeta o volumen, vienen determinados por los permisos NTFS locales de dicho recurso, así como por el protocolo usado para obtener acceso al recurso compartido:

• Protocolo SMB (bloque de mensajes del servidor) 
  
  El control de acceso basado en SMB (para sistemas de archivos basados en Windows) se implementa mediante la concesión de permisos a usuarios individuales y grupos.
• Protocolo NFS (Network File System) 
  
  El control de acceso basado en NFS (para sistemas de archivos basados en UNIX) se implementa mediante la concesión de permisos a equipos cliente y grupos específicos, mediante el uso de nombres de red.

Los permisos de acceso final a un recurso compartido se determinan teniendo en cuenta los permisos NTFS y los permisos de protocolo compartido, y aplicando después los permisos más restrictivos. Si habilita la enumeración basada en el acceso en una carpeta compartida basada en SMB, Windows oculta los archivos y las carpetas para los cuales los usuarios no tienen permisos de lectura.

Puede configurar permisos y habilitar la enumeración basada en el acceso para un recurso compartido durante la creación de una nueva carpeta o volumen compartido con el Asistente para aprovisionar carpetas compartidas o seleccionando un recurso compartido existente y haciendo clic en Propiedades en el panel Acciones.

Este tema trata sobre los siguientes aspectos:

• Permisos NTFS 
• Permisos SMB 
• Permisos NFS 
• Enumeración basada en el acceso 

Para obtener información acerca de la forma de usar el Asistente para aprovisionar carpetas compartidas, vea Compartir un recurso. Para obtener información acerca de la forma de configurar las propiedades de un recurso compartido existente, vea Visualización y modificación de las propiedades de una carpeta compartida.

· Cifrado de archivos y carpetas.

De hecho, es tan sencillo como hacerlo en Windows XP. Basta con abrir el explorador de Windows y dirigirnos a esos archivos especiales que queremos cifrar. Una vez seleccionados -por ejemplo, la carpeta Mis Documentos– iremos a sus propiedades haciendo clic en el elemento del menú contextual