Title: SISTEMAS DE INFORMACION PARA LA CONSTRUCCION DESARROLLO DE SISTEMAS DE INFORMACION
1SISTEMAS DE INFORMACION PARA LA
CONSTRUCCIONDESARROLLO DE SISTEMAS DE INFORMACION
- Objetivos.
- Explicar las formas de asegurar la calidad y
realizar la evaluación de los sistemas de
información. - Identificar los tipos de grietas de seguridad y
procedimientos de seguridad. - Describir formas de proteger un sistema contra
intrusiones.
2SISTEMAS DE INFORMACION PARA LA
CONSTRUCCIONDESARROLLO DE SISTEMAS DE INFORMACION
- Aseguramiento de la calidad y evaluación de los
sistemas de información. - El control de calidad para el procesamiento de
la información incluye deberes y funciones en la
estructura de la organización, actividades y
diseño de capacidades en las aplicaciones, y
políticas y procedimientos para los sistemas
desarrollados por el usuario. - Todos estos constituyen una respuesta
organizacional completa al problema de control y
aseguramiento de la calidad de los sistemas de
información. -
3SISTEMAS DE INFORMACION PARA LA
CONSTRUCCIONDESARROLLO DE SISTEMAS DE INFORMACION
- Aseguramiento de la calidad y evaluación de los
sistemas de información.
4SISTEMAS DE INFORMACION PARA LA
CONSTRUCCIONDESARROLLO DE SISTEMAS DE INFORMACION
- Aseguramiento de la calidad y evaluación de los
sistemas de información.
5SISTEMAS DE INFORMACION PARA LA
CONSTRUCCIONDESARROLLO DE SISTEMAS DE INFORMACION
- Funciones de la organización para el control y el
aseguramiento de la calidad - Deberes de la alta administración
- Establecer las areas de autoridad y de
responsabilidad de la función de sistemas de
información. - Seleccionar al ejecutivo de sistemas de
información. - Aprobar (normalmente a través de negociación) el
alcance del sistema de información, el plan a
largo plazo del sistema de información y el
presupuesto anual. - Aprobar los principales equipos y programas.
- Aprobar las principales aplicaciones.
- Comparar los resultados contra el plan y evaluar
el desempeño del sistema de información. - Revisar y aprobar los procedimientos del sistema
de información para aseguramiento y control de
calidad.
6SISTEMAS DE INFORMACION PARA LA
CONSTRUCCIONDESARROLLO DE SISTEMAS DE INFORMACION
- Funciones de la organización para el control y el
aseguramiento de la calidad - Deberes del administrador del sistema de
información - Establecer y supervisar procedimientos de
aseguramiento de calidad para las aplicaciones
desarrolladas internamente y para los paquetes
comprados. - Establecer y supervisar varias funciones de
control del sistema de información. - Establecer y darle seguimiento a los
procedimientos para medir y reportar evidencias
de calidad errores, tiempo caído, reparación y
mantenimiento de aplicaciones, etc.
7SISTEMAS DE INFORMACION PARA LA
CONSTRUCCIONDESARROLLO DE SISTEMAS DE INFORMACION
- Funciones de control y aseguramiento de la
calidad del sistema de información - Biblioteca.
- Control de procesamiento.
- Control de acceso.
- Administración de la base de datos.
- Respaldo y recuperación.
- Aseguramiento de la calidad del desarrollo de
aplicaciones. - Deberes del usuario en el control y
aseguramiento de la calidad - Los usuarios tienen deberes como participantes
en el desarrollo y mantenimiento de las
aplicaciones y las bases de datos. Los deberes
requieren conocimientos del contexto de los
datos, participación del usuario en la entrada de
datos y en los resultados y en el principio
organizacional de control de separación de
funciones.
8Aspectos de seguridad en Tecnología de la
información
9Que es Seguridad?
- Grieta (Breach) Una falla de seguridad.
- Seguridad Salguarda y protección de las ventajas
de tecnología de información de una empresa. - Seguridad del sitio
- Seguridad de los recursos
- Seguridad de red
- Seguridad de servicios
10Definiciones
- Programa de Seguridad Las políticas y medidas
de seguridad que se usarán, las responsabilidades
de los individuos relacionadas con mantener la
seguridad, así como las responsabilidades de
aquellos quienes deben establecer las políticas
de seguridad. - Reforzamiento Diseño un programa de seguridad
para un blanco potencial de tecnología de
información, haciendo el nivel de esfuerzo mayor
que el valor de una caída de sistema, red o
instalación.
11Tipos de Grietas de Seguridad
- Intrusión Entrada forzada y no autorizada a un
sistema. - Intercepción La captura de datos e información
transmitida sobre una red empresarial u otra
línea de comunicación.
12Implicaciones de una grieta de Seguridad
- Destrucción de recursos
- Corrupción de datos y aplicaciones
- Denegación de servicios
- Robo de servicios
- Robo de recursos
13Ataques de denegación de servicios
- Privar, usualmente intencional y temporalmente, a
una empresa o a sus usuarios de los servicios que
normalmente esperan tener , usualmente involucra
un servicio de red (como e-mail) o el acceso a un
sitio de la red, (como un sitio web).
14SeguirdadFuentes de grietas de seguridad
- Empleados
- Robo de identidad Pérdida de la identidad
personal por una grieta de seguridad. - Hacker Persona que obtiene acceso a un sistema
de manera ilegal.
15Fuentes de grietas de seguridad
- Terrorista Cualquiera que lleva a cabo de
manera premeditada, políticamente motivado ataque
contra información, sistemas de cómputo,
programas de computadora y datos, los cuales
resultan en en violencia contra blancos no
combatientes por grupos sub-nacionales o agentes
clandestinos. - Ciberterrorismo Ataques terroristas en
instalaciones de cómputo en compañías que
dependen de la tecnología de la información para
producir sus servicios.
16Fuentes de grietas de seguridad
- Virus de computadora
- Virus Programa oculto que altera, sin
conocimiento del usuario, la forma en que opera
una computadora o que modifica o altera los
programas y datos almacenados en dicha
computadora.
17Fuentes de grietas de seguridad
- Protección contra virus
- Revisión con utilería de detección y eliminación
- Intercepción con programas que monitorean el
funcionamiento de los equipos - Firma digital y encriptación para evitar la
alteración de archivos y programas.
Otro individuo se interconecta con otro sistema o
red que contiene un virus. Cuando un programa que
contiene el virus es descargado, el virus es
transportado a la computadora iniciando la
comunicación
Origen del virus Un individuo escribe un programa
y lo anexa a un archivo de programa en disco
Distribución de un virus
Otro individuo copia un programa conteniendo un
virus a un disquette. El virus es pasado a otra
computadora cuando el disquette es insertado en
la computadora
Invasión de un virus En un tiempo predeterminado
o bajo predeterminadas condiciones, el virus se
pone en actividad.
Un mensaje de e-mail con un virus anexado es
bajado de una computadora remota sobre una red de
computadoras
18Medidas de seguridad
- Procedimientos y políticas generales de
seguridad - Cambiar contraseñas frecuentemente
- Restringir el uso del sistema
- Limitar los accesos a los datos
- Establecer controles físicos de acceso
- Dividir las responsabilidades
- Encriptar los datos
- Establecer controles de procedimientos
- Instituir programas educacionales
- Auditar las actividades del sistema
- Registrar todas las transacciones y actividades
de los usuarios
19Medidas de seguridad
20Medidas de protección
- Software de protección contra virus
- Firmas digitales
- Encriptación de firmas digitales Se basan en un
esquema matemático de codificación diseñado para
frustrar los intentos de un virus de atacar
programas y datos. - Encriptación
21Métodos de Encriptación
- Infraestructura pública de llaves (PKI) Una
llave pública se pone a disponibilidad en un
directorio en donde todas las partes interesadas
pueden buscar. Por lo tanto cuando alguien desea
transmitir un mensaje seguro busca un directorio
de certificados digitales para encontrar la llave
pública del receptor y la usa para encriptar el
mensaje. - Transacción Electrónica Segura (SET) Es una
adaptación de la llave de encriptación y del
certificado digital (conocido en la industria
como Billetera electrónica) para realizar
transacciones financieras seguras sobre internet.
22Métodos de Encriptación
- Privacidad bastante buena (PGP) Es un programa
usado para encriptar y desencriptar firmas
digitales de e-mail, de manera que el receptor
sabe que el mensaje no ha sido cambiando en su
camino de transmisión. - Red privada virtual (VPN) Una forma de usar la
infraestructura pública de telecomunicaciones
como el internet, para proporcionar
comunicaciones seguras entre individuos o
computadoras clientes en localidades remotas y en
una red empresarial.
23Métodos de Encriptación
- Red privada virtual
- Protocolos de tuneleo Encriptando datos en el
extremo que envía y decriptándolos en el extremo
que recibe, los protocolos envían los datos ( y
si una empresa lo escoge, las direcciones de
origen y destino) a través de un tunel que no
puede ser accesado por datos que no están
adecuadamente encriptados.
24Medidas de seguridad
- Firewall Software de propósito especial lo
calizado en un servidor de acceso a la red. - Proxy Server Actúa como un intermediario entre
una PC y el Internet, separando una red
empresarial de una red externa.
25Medidas de Seguridad
26Medidas de seguridad
27Proxy Servers
28Confiabilidad
- Confibilidad La seguridad que las computadoras y
las comunicaciones harán lo que deben hacer
cuando lo deben hacer.
29Asegurando confiabilidad en el Servcio de T.I.
- Computadora tolerante a fallas Una computadora
diseñada con componentes duplicados para asegurar
la confiabilidad. - Sistema de fuente de poder ininterrumpible (UPS
System) Un sistema que asegura un flujo continuo
de electricidad cuando la fuente primaria de
poder falla. - Plan de recuperación de desastres Un
procedimiento para reponer los datos perdidos
cuando un sistema deja de funcionar.
30Asegurando confiabilidad en el Servcio de T.I.
- Instalación de respaldo externa Un centro de
computadoras de respaldo localizado lejos de las
instalaciones principales de la compañía. - Hot Site Un centro de computadoras de respaldo
totalmente equipado al cual una compañía puede
llevar las copias de respaldo de sus datos y
softwares y reiniciar sus procesos. - Cold Site Una instalación de respaldo preparado
con energía eléctrica y control del medio
ambiente que esta listo para que una compañía
instales su sistema de cómputo.
31Asegurando confiabilidad en el Servcio de T.I.
32Que es privacidad?
- Privacidad En T.I., es el término usado para
para referirse a la forma en que la información
personal es recolectada, usada y protegida.
33Spam y Privacidad
- Spam e-mail no solicitado.
- Autorización basada en E-Mail Cuando un
consumidor marca un cuadro accediendo a recibir
correos sobre los productos de la compañia, uno
realmente está dando aprobación al envío de
correos.
34Ética y uso de la TI en los negocios.
- Ética Los estándares conducta y comportamiento
moral que se espera que la gente siga. Tales
como - Pivacidad de los correos electrónicos
- Licencias de Software.
- Derechos de autor de Software.
- Acceso al Hardware.
- Dueño de la propiedad intelectual.
35Ética y uso de la TI en los negocios.
- Acceso a archivos
- Propiedad de los datos
36Piratería Digital
- Piratería Digital La realización de copias
ilegales de información con derechos de autor. - Piratería de Software La realización de copias
ilegales de software.