2.3 Parámetros de seguridad mediante verificación de actualizaciones de acuerdo con nuevos requerimientos obtenidos.

3. Revisa la configuración de las herramientas de seguridad aplicadas a los equipos y redes de comunicación.

a) Herramientas de auditoria para la recopilación de la información

Entrevista. Consiste en recabar información a través del diálogo directo entre el entrevistador y el entrevistado.  Según la amplitud de las respuestas implicadas en las preguntas, la entrevista puede ser:

·         Abierta

·         Estructurada

·         Semiestructurada

Encuesta: Técnica que tiene la finalidad de brindar información sobre hechos concretos u opiniones del personal. Esta información se obtiene siempre a través de un cuestionario diseñado para el caso y las respuestas se dan por escrito en el mismo documento. La encuesta puede realizarse de dos maneras: reuniendo a todas las personas que serán encuestadas, con presencia del investigador, o enviando a cada encuestado el cuestionario para que lo conteste de manera individual sin la presencia del investigador.

Preguntas abiertas: Permiten una amplia expresión de las ideas, inquietudes y sentimientos de las personas.

Observación Directa. Consiste en el análisis directo de conductas en el trabajo para compararlas con un patrón de conducta esperada y en su caso, encontrar desviaciones que deben indicar la necesidad de la capacitación. Puede ser aplicada a personas o grupos. Es muy útil para la detección de necesidades de mejoramiento de habilidades físicas o de interrelación personal, especialmente cuando estas habilidades son complejas.

Conceptos

Cuestionario: Un cuestionario es un conjunto de preguntas que se confecciona para obtener información con algún objetivo en concreto. Existen numerosos estilos y formatos de cuestionarios, de acuerdo a la finalidad específica de cada uno.

Entrevista: Es un acto comunicativo que se establece entre dos o más personas y que tiene una estructura particular organizada a través de la formulación de preguntas y respuestas. La entrevista es una de las formas más comunes y puede presentarse en diferentes situaciones o ámbitos de la vida cotidiana.

Muestreo: Selección de un conjunto de personas o cosas que se consideran representativos del grupo al que pertenecen, con la finalidad de estudiar o determinar las características del grupo.

Experimentación: Se utiliza para comprobar ciertas hipótesis que se tengan acerca de algo, generalmente estas investigaciones se realizan en laboratorios. Una vez formulada la teoría, el investigador debe comprobar si es real, si es verdadera, para ello se deben poner en práctica un sinfín de experimentos cambiando las variables que participan en el proceso y así poder verificar si se cumple.

b)  Herramientas de auditoria para la comparación de configuraciones

Auditoria: Conjunto de procedimientos y técnicas para evaluar y controlar, total o

parcialmente, un sistema informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente

Ejemplo de Auditoria

1. Identificación del informe

·         Auditoria de la Ofimática

2. Identificación del Cliente

·         El área de Informática

3. Identificación de la Entidad Auditada

·         Municipalidad Provincial Mariscal Nieto

4. Objetivos

·         Verificar si el hardware y software se adquieren siempre y cuando tengan la

·         seguridad de que los sistemas computarizados proporcionaran mayores beneficios

·         que cualquier otra alternativa.

·         Verificar si la selección de equipos y sistemas de computación es adecuada

·         Verificar la existencia de un plan de actividades previo a la instalación

·         Verificar que los procesos de compra de Tecnología de Información, deben estar

·         sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en

·         General, que aseguren que todo el proceso se realiza en un marco de legalidad y

·         cumpliendo con las verdaderas necesidades de la organización para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos.

·         Verificar si existen garantías para proteger la integridad de los recursos

·         informáticos.

·         Verificar la utilización adecuada de equipos acorde a planes y objetivos.

5. Hallazgos Potenciales

·         Falta de licencias de software.

·         Falta de software de aplicaciones actualizados

·         No existe un calendario de mantenimiento ofimático.

·         Faltan material ofimático.

4. Analiza reportes de aplicaciones

a) Genera reportes de operación de las aplicaciones:

El reporte puede ser la conclusión de una investigación previa o adoptar una estructura de Problema-solución en base a una serie de preguntas. En el caso de los informes impresos.  El texto suele ir acompañado por gráficos, diagramas, tablas de contenido y notas al pie de página. E n el ámbito de la informática los reportes son informes que organizan y exhiben la información contenida en una base de datos. Su función es aplicar un formato determinado a los datos para mostrarlos por medio de un diseño atractivo y que sea fácil de interpretar por los usuarios. 

b) Compara métricas establecidas con los recursos obtenidos

Podemos definir las Métricas de Software o Medidas de Software como:

La aplicación continua de técnicas basadas en las medidas de los procesos de desarrollo de Software y sus productos, para producir una información de gestión significativa y a tiempo. Esta información se utilizará para mejorar esos procesos y los productos que se obtienen de ellos.

Las Métricas de Software implican medir: medir involucra números; el uso de números para hacer cosas mejor. Las Métricas de Software pretenden mejorar los procesos de desarrollo de Software y mejorar, por tanto, todos los aspectos de la gestión de aquellos procesos.

Estas medidas son aplicables a todo el ciclo de vida del desarrollo, desde la iniciación, cuando debemos estimar los costos, al seguimiento y control de la fiabilidad de los productos finales, y a la forma en que los productos cambian a través del tiempo debido a la aplicación de mejoras.

c) Identifica nuevos requerimientos

Un requerimiento de servicio puede ser configurado desde la consola Windows BLOGIK y desde la consola web BLOGIK.  Esta configuración permitirá administrar un requerimiento durante su ciclo de vida. Adicional mente un requerimiento de servicio debe configurar elementos transversales.

Características:

•                    Evaluar y seleccionar un Sistema Operativo adecuado para la implementación de herramientas de seguridad informática en servidores de Web.

•                    Enunciar los requerimientos del equipo necesarios para el desarrollo del Sistema Operativo seleccionado.

•                    Establecer mecanismos y métodos eficaces con enfoque activo hacia la seguridad para ser implementados al sistema.

•                    Proporcionar técnicas de protección que brinden soluciones óptimas a la vulnerabilidad de los servidores Web.

•                    Presentar una serie de recomendaciones para el desempeño satisfactorio del sistema mencionado, así como para su correcta instalación.

d) Define nuevos requerimientos de seguridad en caso necesario

Definir los equipos que, por razones de seguridad, requieren circuitos fijamente cableados. Por definición, estos circuitos de seguridad trabajan independientemente del sistema de automatización (a pesar de que el circuito de seguridad ofrece normalmente un interfaz de

entrada/salida para la coordinación con el programa de usuario). Usualmente se configura una matriz para conectar cada actuados con su propia área de PARO DE EMERGENCIA. Esta matriz constituye la base para los esquemas de los circuitos de seguridad

e) Establece medidas para solucionar nuevos requerimientos

•                    Enunciar los requerimientos del equipo necesarios para el desarrollo del Sistema Operativo seleccionado.

•                    Establecer mecanismos y métodos eficaces con enfoque activo hacia la seguridad para ser implementados al sistema.

•                    Proporcionar técnicas de protección que brinden soluciones óptimas a la vulnerabilidad de los servidores Web.

•                    Presentar una serie de recomendaciones para el desempeño satisfactorio del sistema mencionado, así como para su correcta información

f) Determina alternativas para optimizar lo existente

Como resultado de realizar un análisis de las concepciones y criterios que sobre estudios de factibilidad económicos, estudios de manipulación de materiales procedimientos de planificación logística, así como técnicas y herramientas de análisis que plantean los diferentes autores consultados de la revisión de literatura internacional, se seleccionó como procedimiento metodológico a seguir en el presente trabajo el propuesto por Pamela W. Darlin (2002), el cual es una metodología de Estudio de la Factibilidad y Viabilidad de Procedimientos Económicos, donde se establecen las etapas que conforman el proceso, pero son etapas generales en las que no se establece cómo proceder. Un aporte de esta investigación lo constituye la adaptación de criterios a un Estudio de Capacidades de almacenamiento para la evaluación y factibilidad económica de la tecnología a emplear. En cada etapa se definieron los objetivos y tareas a realizar, así como una breve fundamentación de los mismos. Además, se incluyen criterios o condicionantes que se exigen para la formulación de la estrategia a seguir, tomando en consideración factores de situación y aspectos de interés planteados en el Problema del Diseño Investigativo.

5.  Implementación de acciones correctivas en la configuración y ejecución de herramientas de seguridad

a) Planes de Contingencia: Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre. De hecho, los expertos en seguridad afirman "sutilmente" que hay que definir un plan de recuperación de desastres "para cuando falle el sistema", no "por si falla el sistema".

Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperación de desastres, el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles

Características

Un plan de contingencia completa 3 tipos de acción a las cuales son:

• Prevención: conjunto de acciones a realizar para prevenir cualquier contingencia que afecte la cantidad operativa ya sea en forma parcial
• Detección: Debes contener el daño en el momento, así como limitar tanto como sea posible contemplando todos los desastres naturales.
• Recuperación: Abarca el mantenimiento de partes científicas entre las pérdidas de los recursos, así como de su recuperación o restauración

Alternativas de Solución

• Mantener un inventario de todos los elementos físicos en su instacion
• Crear copias de seguridad de sus datos más importantes.

b) Actualización de software y de equipos de seguridad

Las actualizaciones tienen como objetivo reparar problemas específicos de vulnerabilidades que se presentan en un programa.  Algunas veces, en lugar de liberar un sólo parche o actualización, los distribuidores publican una versión actualizada de su software, aunque podrían referirse a ésta como un parche

¿Cómo saber que actualizaciones deben instalarse?

Cuando las actualizaciones están disponibles, los distribuidores usualmente las liberan a través de sus sitios web para que los usuarios las descarguen. Algunos programas cuentan con herramientas de actualización automática cada vez que existe algún parche disponible, tal es el caso de Windows Epate. Es importante instalar las actualizaciones tan pronto como sea posible para proteger al equipo de los intrusos, quienes buscan tomar ventaja de las vulnerabilidades. Si estas opciones automáticas están disponibles, es recomendable aprovecharlas, si no lo están, se aconseja verificar los sitios web de su distribuidor periódicamente en busca de actualizaciones.