• Author / Uploaded
• Jhon Jairo Imparato Marchena

Citation preview

Componentes de infraestructura informática

Correo Electrónico - Exchange SAP R/3 Oracle Windows 2003 Server Red

Red de comunicaciones

Plantas • • • • • •

Cali Palmira Florida Dagua Yumbo Bogotá

Servicios de red: •Ccmail •Correo Internet •Consulta Internet •Impresión •Almacenamiento

Distritos de venta • • • • • • •

Barranquilla Medellín Bucaramanga Duitama Pereira Bogotá Cali

Componentes de infraestructura informática Hardware: Según capacidad de memoria, procesamiento, almacenamiento, comunicaciones, pueden ser desde grandes computadores a computadores personales. El hardware incluye: – CPU (Unidad central de procesamiento): dirige todas las operaciones – Dispositivos de almacenamiento de datos (discos duros, discos ópticos, unidades de cd, de dvd) – Dispositivos de entrada/salida (terminales, monitores, lectores de código de barras, escaners, tarjetas de video, de sonido, impresoras, módems, otros) – Controladores de comunicaciones (enrutadores, hubs, firewalls,…)

Componentes de infraestructura informática Software: El software básico es el sistema operativo, el cual es una colección de programas de cómputo usados para el diseño, procesamiento y control de todos los recursos y aplicaciones de computadora. Adicional hay software de: •Administración de bases de datos (Oracle, Sybase, DB2….) •Comunicaciones de datos (PC Anywhere, ..) •Administración de red (Windows 2003 Server, Linux, OS400….) •Seguridad (ISS Scanner,..) •Correo electrónico (ej. Microsoft Outlook) •Aplicaciones según necesidades de usuarios (SAP, Peoplesoft…) •Administración de bibliotecas de programas, copias de seguridad •Control de acceso

Riesgo informático

Un riesgo informático es la posibilidad de explotar una vulnerabilidad de la plataforma informática y causar daños a la información, activo fundamental de la organización

Riesgos informáticos •Uso no adecuado de recursos •Modificación o destrucción no autorizada de información •Pérdida de información •Suplantación de identidad •Negación del servicio •Virus Ocasionados por: •Errores humanos •Personal interno deshonesto •Competidores/Hackers, Crackers •Crimen Organizado •Terroristas

Riesgos Financieros

•Pérdidas financieras •Pérdida de confianza de los clientes •Pérdida de imagen corporativa •Demandas •Multas •Sanciones •Bancarrota

Seguridad Informática La seguridad informática es la protección de los datos de la organización, aplicativos, sistemas y recursos de red, de mal uso accidental o deliberado ocasionado por acceso no autorizado, alteración o destrucción. La información incluye: •Comunicaciones y!o documentación impresas (cartas, memos…) •Transacciones en línea / Aplicativos •Bases de datos o archivos con datos, en cualquier medio: cd, dvd, cintas, microfilm, otros •Sistemas de procesamiento que incluyen servidores, estaciones de trabajo, impresoras •Recursos de red

Propiedades en la información de la organización que existen cuando hay seguridad informática:

• • • •

Integridad Veracidad Confidencialidad Disponibilidad

IMPORTANCIA DE LA SEGURIDAD INFORMATICA • La globalización de la economía ha obligado a las organizaciones a estrechar la relación entre procesos y tecnología. • Las organizaciones necesitan disponer de adecuadas estructuras de seguridad y control para garantizar la integridad de la información administrativa y operativa, para el éxito en: – Toma de decisiones – Interacción con socios de negocios, proveedores, clientes – Cumplimiento de regulaciones

SEGURIDAD COMO VALOR ESTRATEGICO Nuevos servicios Clientes más exigentes

Reducción de costos

Negocio

Normativa Entes de Regulación

Dinero “virtual”

Globalización

Es imposible cualquier objetivo sin planes orientados a: Incorporación de tecnología de avanzada y/o ampliación de los recursos informáticos existentes

SEGURIDAD COMO VALOR ESTRATEGICO A pesar de que se dispone de la tecnología necesaria Los posibles problemas de seguridad

Los temores a perder la poca seguridad que se posee

impiden el desarrollo integro de nuevas posibilidades de negocio o directamente los frustran.



Ejemplos de esto, son : Los proyectos que requieren involucración de proveedores en los procesos de información  Internet y otros nuevos servicios

Proceso contínuo de la seguridad informática Como lograr un ambiente seguro para el manejo de la información DIAGNÓSTICO Y EVALUACIÓN (AUDITORIA)

RIESGOS Y OBJETIVOS DE CONTROL

DISEÑO

20% 10%

MONITOREO Y AUDITORÍA

ADMINISTRACIÓN CENTRALIZADA DE SEGURIDAD

POL. - NORMAS PROC. - EST. HERRAM.

50% 20% OPERACIÓN

CAPACITACIÓN DE GERENCIA Y USUARIOS

IMPLANTACIÓN

Por donde empezar? Realizando una auditoría/evaluación de seguridad informática Componentes de la plataforma tecnológica que pueden ser evaluados en la auditoría: SISTEMAS OPERATIVOS SERVIDORES BASE DE DATOS APLICATIVOS COMPUTADORES PERSONALES SISTEMA OPERATIVO DE RED INTERNET/INTRANET CORREO ELECTRONICO: EXCHANGE

Algunas oportunidades de mejoramiento encontradas en la auditoría  Definición de un esquema de seguridad adecuado donde se involucren las áreas dueñas de la información  Definición formal de las actividades de administración de la seguridad  Definición formal del proceso de creación, modificación y eliminación de usuarios  Depuración de roles y privilegios de usuarios  Considerar la definición de estándares en nombres de usuarios y de perfiles  Fortalecer el esquema de administración de contraseñas de usuarios  Definición de perfiles de usuarios  Implementación de un procedimiento de revisión periódica de pistas de auditoría  Concientización a los usuarios  Análisis de segregación de funciones