Componentes de infraestructura informática Correo Electrónico - Exchange SAP R/3 Oracle Windows 2003 Server Red Red de
Views 144 Downloads 7 File size 168KB
Componentes de infraestructura informática
Correo Electrónico - Exchange SAP R/3 Oracle Windows 2003 Server Red
Red de comunicaciones
Plantas • • • • • •
Cali Palmira Florida Dagua Yumbo Bogotá
Servicios de red: •Ccmail •Correo Internet •Consulta Internet •Impresión •Almacenamiento
Distritos de venta • • • • • • •
Barranquilla Medellín Bucaramanga Duitama Pereira Bogotá Cali
Componentes de infraestructura informática Hardware: Según capacidad de memoria, procesamiento, almacenamiento, comunicaciones, pueden ser desde grandes computadores a computadores personales. El hardware incluye: – CPU (Unidad central de procesamiento): dirige todas las operaciones – Dispositivos de almacenamiento de datos (discos duros, discos ópticos, unidades de cd, de dvd) – Dispositivos de entrada/salida (terminales, monitores, lectores de código de barras, escaners, tarjetas de video, de sonido, impresoras, módems, otros) – Controladores de comunicaciones (enrutadores, hubs, firewalls,…)
Componentes de infraestructura informática Software: El software básico es el sistema operativo, el cual es una colección de programas de cómputo usados para el diseño, procesamiento y control de todos los recursos y aplicaciones de computadora. Adicional hay software de: •Administración de bases de datos (Oracle, Sybase, DB2….) •Comunicaciones de datos (PC Anywhere, ..) •Administración de red (Windows 2003 Server, Linux, OS400….) •Seguridad (ISS Scanner,..) •Correo electrónico (ej. Microsoft Outlook) •Aplicaciones según necesidades de usuarios (SAP, Peoplesoft…) •Administración de bibliotecas de programas, copias de seguridad •Control de acceso
Riesgo informático
Un riesgo informático es la posibilidad de explotar una vulnerabilidad de la plataforma informática y causar daños a la información, activo fundamental de la organización
Riesgos informáticos •Uso no adecuado de recursos •Modificación o destrucción no autorizada de información •Pérdida de información •Suplantación de identidad •Negación del servicio •Virus Ocasionados por: •Errores humanos •Personal interno deshonesto •Competidores/Hackers, Crackers •Crimen Organizado •Terroristas
Riesgos Financieros
•Pérdidas financieras •Pérdida de confianza de los clientes •Pérdida de imagen corporativa •Demandas •Multas •Sanciones •Bancarrota
Seguridad Informática La seguridad informática es la protección de los datos de la organización, aplicativos, sistemas y recursos de red, de mal uso accidental o deliberado ocasionado por acceso no autorizado, alteración o destrucción. La información incluye: •Comunicaciones y!o documentación impresas (cartas, memos…) •Transacciones en línea / Aplicativos •Bases de datos o archivos con datos, en cualquier medio: cd, dvd, cintas, microfilm, otros •Sistemas de procesamiento que incluyen servidores, estaciones de trabajo, impresoras •Recursos de red
Propiedades en la información de la organización que existen cuando hay seguridad informática:
• • • •
Integridad Veracidad Confidencialidad Disponibilidad
IMPORTANCIA DE LA SEGURIDAD INFORMATICA • La globalización de la economía ha obligado a las organizaciones a estrechar la relación entre procesos y tecnología. • Las organizaciones necesitan disponer de adecuadas estructuras de seguridad y control para garantizar la integridad de la información administrativa y operativa, para el éxito en: – Toma de decisiones – Interacción con socios de negocios, proveedores, clientes – Cumplimiento de regulaciones
SEGURIDAD COMO VALOR ESTRATEGICO Nuevos servicios Clientes más exigentes
Reducción de costos
Negocio
Normativa Entes de Regulación
Dinero “virtual”
Globalización
Es imposible cualquier objetivo sin planes orientados a: Incorporación de tecnología de avanzada y/o ampliación de los recursos informáticos existentes
SEGURIDAD COMO VALOR ESTRATEGICO A pesar de que se dispone de la tecnología necesaria Los posibles problemas de seguridad
Los temores a perder la poca seguridad que se posee
impiden el desarrollo integro de nuevas posibilidades de negocio o directamente los frustran.
Ejemplos de esto, son : Los proyectos que requieren involucración de proveedores en los procesos de información Internet y otros nuevos servicios
Proceso contínuo de la seguridad informática Como lograr un ambiente seguro para el manejo de la información DIAGNÓSTICO Y EVALUACIÓN (AUDITORIA)
RIESGOS Y OBJETIVOS DE CONTROL
DISEÑO
20% 10%
MONITOREO Y AUDITORÍA
ADMINISTRACIÓN CENTRALIZADA DE SEGURIDAD
POL. - NORMAS PROC. - EST. HERRAM.
50% 20% OPERACIÓN
CAPACITACIÓN DE GERENCIA Y USUARIOS
IMPLANTACIÓN
Por donde empezar? Realizando una auditoría/evaluación de seguridad informática Componentes de la plataforma tecnológica que pueden ser evaluados en la auditoría: SISTEMAS OPERATIVOS SERVIDORES BASE DE DATOS APLICATIVOS COMPUTADORES PERSONALES SISTEMA OPERATIVO DE RED INTERNET/INTRANET CORREO ELECTRONICO: EXCHANGE
Algunas oportunidades de mejoramiento encontradas en la auditoría Definición de un esquema de seguridad adecuado donde se involucren las áreas dueñas de la información Definición formal de las actividades de administración de la seguridad Definición formal del proceso de creación, modificación y eliminación de usuarios Depuración de roles y privilegios de usuarios Considerar la definición de estándares en nombres de usuarios y de perfiles Fortalecer el esquema de administración de contraseñas de usuarios Definición de perfiles de usuarios Implementación de un procedimiento de revisión periódica de pistas de auditoría Concientización a los usuarios Análisis de segregación de funciones