Bueno este tema se trata de conocer, como se lleva acavo la seguridad de un centro de computo para esto el profesor nos comento sus experiencias ect, ect.
SEGURIDAD FÌSICA
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc, la seguridad de la misma será nula si no se ha previsto como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.
Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
TIPOS DE DESASTRES
No será la primera vez que se mencione en este trabajo, que cada sistema es único y por lo tanto la política de seguridad a implementar no será única. Este concepto vale, también, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarán pautas de aplicación general y no procedimientos específicos. Para ejemplificar esto: valdrá de poco tener en cuenta aquí, en Entre Ríos, técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en Los Angeles, EE.UU.
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.
Las principales amenazas que se prevén en la seguridad física son:
*Desastres naturales, incendios accidentales tormentas e inundaciones.
*Amenazas ocasionadas por el hombre.
*Disturbios, sabotajes internos y externos deliberados.
A continuación se analizan los peligros más importantes que se corren en un centro de computo:
*Incendios
*Inundaciones. Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.Esta es una de las causas de mayores desastres en centros de cómputos.Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior.Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.
*Condiciones Climatológicas
Señales de RadarLa influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años.Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.
*Instalaciones Eléctricas
*Ergometría
PRACTICAS DE SEGURIDAD DEL PERSONAL
Problema: existe una gran escasez de personal preparado y la mayoría de las empresas no pueden contratar al personal suficientemente calificado.
Simplemente no existe todo el personal capacitado que se requiere en el ámbito informático en los últimos años los centros de cómputo y nuestras escuelas, institutos y universidades no han preparado suficientes especialistas en la materia pues no se tomo en cuenta que esta tecnología se expandiera con tal rapidez.
Hace apenas unos años se crearon carreras en materia de informática debido a la gran demanda de este tipo de personal.
El personal egresado dista mucho de tener una buena preparación acorde por las demandas del mercado los maestros, o catedráticos que imparten las diferentes materias de este ramo no cuentan en su mayoría con los recursos materiales necesarios para preparar verdaderos profesionales; hacen falta laboratorios diseñados acorde para la capacitación del alumno.
Sugerencias de solución
Resulta mas seguro y económico capacitar profesionales recién egresado de carreras de orientación técnica científica, actuarial, física, matemática o electrónica incluyendo a los del área de computación y prepararlos exhaustivamente en forma interna y con instructores propios de la compañía en cuestión con lo cual se logra ambientarlos desde un principio en la problemática individual de la instalación de un centro de computo (este es un procedimiento un poco lento).
Si se decide contratar gente con experiencia hay que considerar que las entrevistas superficiales resultan inconvenientes; en este medio informático existen muchas personal que se dicen ser especialistas y van saltando de una instalación a otra con el único fin de ganar mas dinero, como dominan el lenguaje del ambiente de computo impresionan a los entrevistadores consiguiendo una contratación rápida; pero cuando se dan cuenta del fraude es demasiado tarde.
Para ello es necesario examinar exhaustivamente a cuanto candidato solicite el puesto en varios aspectos:
Su nivel académico es bueno y sus conocimientos generales aceptables entonces los exámenes no deben de seguir un formato predefinido ya que podría resultar una persona que ha presentado muchos de estos exámenes y los conoce muy bien.
La idea seria que fuera examinado por un comité y en forma oral con preguntas recién elaboradas en el momento de la entrevista.
Abra que examinarlo exhaustivamente sobre la especialidad que se dice tener que hacerlo otro grupo de especialistas con conocimiento en la materia y comprobados en la practica.
La experiencia se mide por la diversidad de proyectos en los que ha participado y aportado sus conocimientos.
Abra que considerar que el puesto que se baya a ocupar no sea tan distinto a lo que se ha desempeñado, pues suele suceder que un buen analista de sistemas resulta malo como líder de proyecto o jefe de informática puesto que no esta acorde con su verdadera experiencia y capacidad profesional.
4. no se debe creer en las recomendaciones verbales de los amigos del candidato.
Es bien sabido que la imagen que se tiene de una persona no es la misma para otras y que los favoritismos no son convenientes en estos casos de selección de personal
ELEMENTOS TECNICOS
El sistema planteado como producto de la política está compuesto por cuatro elementos los cuales se han venido desarrollando de manera secuencial, teniendo en cuenta que obedezcan a parámetros internacionales pero atendiendo a una realidad nacional en la prestación del servicio de movilización de mercancías, como se muestra a continuación en el esquema General de la Política.
Normalización técnica
Marco legal
Sistema de control y vigilancia
Capacitación, sensibilización y divulgación
Normalización Técnica
La normalización es un factor clave del desarrollo industrial y económico del país por ello el Ministerio de Transporte en convenio con el Organismo Nacional de Normalización " ICONTEC " desarrolló normas técnicas colombianas para cada tipo de material peligroso buscando unificar los criterios mediante el consenso y así facilitar al sector productivo y de servicios competir en los mercados internacionales.
Todo el proceso de normalización se desarrolló tomando como documento de referencia la reglamentación modelo que sobre el tema diseñó la Organización de las Naciones Unidas.
La normalización en Colombia tiene como ente superior de política al Consejo Consultivo Asesor de Normas y Calidades y su desarrollo técnico ha venido siendo ejecutado por el Organismo Nacional de Normalización, que de acuerdo al decreto 2269 de 1993 es el Instituto Nacional de Normas Técnicas y Calidades ICONTEC.
En el proceso de normalización internacional y en representación de Colombia, el ICONTEC participa en los estudios realizados por los diferentes comités técnicos de la ISO. En este marco propone el establecimiento de normas internacionales, lo cual permite que el país tome parte activa en los trabajos técnicos y se mantenga permanentemente informado sobre los avances tecnológicos alcanzados en el ámbito mundial.
La Norma Técnica es un documento que se establece por consenso y aprobado por un organismo reconocido por el estado, que suministra, para uso común y repetitivo, reglas, directrices y características para las actividades o sus resultados, encaminados al logro del grado optimo de orden en su contexto dado. Las Normas Técnicas se deben basar en los resultados consolidados de la ciencia, la tecnología y la experiencia, y sus objetivos deben ser los beneficios óptimos para la comunidad.
El Ministerio de Transporte mediante convenio con el Organismo Nacional de Normalización ICONTEC elaboro con el concurso de la empresa privada normas técnicas colombianas, que contienen las especificaciones mínimas que debe cumplir tanto el vehículo como el producto y los ensayos a que se deben someter los envases y embalajes que contengan mercancías peligrosas; además de las instrucciones del embalaje /envase para las modalidades de transporte aéreo, marítimo y terrestre por carretera.
Se hace necesario para el país contar con instrumentos técnicos y jurídicos que se establecen mediante un reglamento, para que estas disposiciones le permitan a los usuarios del transporte cumplir una serie de requisitos que minimizan los riesgos durante la movilización de estos productos y a las autoridades de control ejercer la respectiva verificación.
El reglamento se fundamenta en los siguientes lineamientos:
v Consulta de la realidad nacional.
v Cumplimiento de lo establecido en las normas nacionales e internacionales.
v El marco legal establecido sea aplicable a nuestro país.
La estructura del reglamento se desarrolló con base en una amplia consulta publica, en la cual aproximadamente intervinieron por la empresa privada 135 empresas y gremios de la producción, y por parte del estado 30 entidades públicas; los cuales hicieron importantes aportes que reflejan las necesidades y expectativas del sector.
Este proyecto de reglamento se notificó a la Organización Mundial del Comercio O.M.C y a la Comunidad Andina de Naciones CAN en cumplimiento a lo establecido en convenios y tratados internacionales suscritos por el Estado colombiano
A continuación, se muestra el esquema general del reglamento.
sistemas de seguridad para hardware y software
De acuerdo a un estudio publicado en 2000 por el FBI y el Instituto de Seguridad Computacional (CSI), más del setenta por ciento de todos los ataques en datos y recursos confidenciales reportados por organizaciones, ocurrieron dentro de la organización misma. Por esto, la implementación de una política de seguridad interna es tan importante como una estrategia externa. Esta sección explica algunos de los pasos comunes que los administradores y usuarios deben tomar para salvaguardar sus sistemas de malas prácticas internas.
Las estaciones de trabajo de los empleados, no son los blancos más comunes de ataques remotos, especialmente aquellos detrás de un cortafuegos bien configurado. Sin embargo, hay algunas protecciones que se pueden implementar para evitar un ataque interno o físico en los recursos individuales de una estación de trabajo.
Las estaciones de trabajo modernas y los PCs del hogar tienen BIOSes que controlan los recursos del sistema a nivel del hardware. Los usuarios de las estaciones de trabajo pueden establecer contraseñas administrativas dentro del BIOS para prevenir a los usuarios maliciosos de acceder o arrancar el sistema. Las contraseñas del BIOS impiden que usuarios maliciosos arranquen el sistema, disuadiendo al usuario de robar o acceder información almacenada en el disco duro.
Sin embargo, si el usuario malicioso roba la PC (el caso más común de robo entre los viajeros frecuentes que llevan portátiles y otros dispositivos móviles) y la lleva a una ubicación donde ellos pueden desmontar la PC, la contraseña del BIOS no previene al atacante de remover el disco duro, instalarlo en otra PC sin la restricción del BIOS y montar el disco duro para leer los contenidos en él. En estos casos, se recomienda que las estaciones de trabajo tengan seguros para restringir el acceso al hardware interno. Se pueden conectar a las PCs y portátiles dispositivos de seguridad especializados, tales como cables de acero asegurables, para de esta manera prevenir robos, así como también instalar seguros en el chasis mismo para prevenir el acceso interno. Este tipo de hardware está ampliamente disponible desde fabricantes tales como Kensington y Targus.
El hardware de servidores, especialmente servidores de producción, son típicamente montados en estantes en salas de servidores. Los armarios de servidores usualmente tienen puertas con seguros y también están disponibles chasis de servidores individuales con rejillas que se pueden asegurar para prevenir que alguien apague intencionalmente o por accidente la consola.
La seguridad de software aplica los principios de la seguridad de información al desarrollo de software. Information security (La seguridad de información) se refiere a la seguridad de información comunmente como la protección de sistemas de información contra el acceso desautorizado o la modificación de información, si esta en una fase de almacenamiento, procesamiento o tránsito. Tambien la proteje contra la negación de servicios a usuarios desautorizados y la provisión de servicio a usuarios desautorizados, incluyendo las medidas necesarias para detectar, documentar, y contrarear tales amenazas.
Muchas preguntas con respecto a la seguridad, son relacionadas al ciclo vital de software. En particular, la seguridad del código y el processo de software; deben de ser considerados durante la fase del diseño y desarrollo. Además, la seguridad debe de ser preservada durante la operación y el mantenimiento para asegurar la integridad de una parte (pedazo) de software.
Una gran cantidad de seguridad usada en los Sistemas de Redes de hoy, nos pueden engañar en la creencia que nuestros trabajos como diseñadores de sistema de seguridad ya han sido realizados. Sin embargo, las cadenas y computadoras son increíblemente inseguras. La falta de seguridad se origina en dos problemas fundamentales: Los sistemas que son teóricamente seguros pueden ser inseguros en la práctica, Además los sistemas son cada vez más complejos. La complejidad proporciona más oportunidades para los ataques. Es mucho más fácil probar que un sistema es inseguro que demostrar que uno es seguro -- probar la inseguridad, simplemente una toma ventaja de ciertas vulnerabilidades del sistema. Por otra parte, probando un sistema seguro, requiere demostrar que todas las hazañas posibles puedan ser defendidas contra (muy desalentadora), si no imposible, la tarea
Actualmente, no hay ninguna solución singular para asegurar la ingenieria de software. Sin embargo, hay métodos específicos que mejoran la seguridad de los sistemas. En particular, podemos mejorar la confiabilidad de software. Tambien podemos mejorar nuestra comprensión de los requisitos de un pedazo de software
Las empresas también pueden utilizar proveedores de co-ubicación para hospedar sus servidores, ya que los proveedores de co-ubicación ofrecen un mayor ancho de banda, soporte técnico 24x7 y la experiencia en seguridad de sistemas y servidores. Esto puede ser una forma efectiva de hacer outsourcing de las necesidades de seguridad y conectividad para las transacciones HTTP o servicios de flujo de contenidos de multimedia (streaming media). Sin embargo, la co-ubicación puede ser un poco prohibitivas en términos de costos, especialmente para negocios pequeños a medianos. Las facilidades de co-ubicación son conocidas por ser muy bien protegidas por personal entrenado y muy bien monitorizadas en todo momento.
CONCLUSIONES:
Hablar hacerca de este tema fue interesante por que nos da una idea de toda la seguridad que debe de tener un centro de computo para su buen funcionamiento, si llegara a ocurrir tendremos la cpacidadde como controlarloo manejarlo.
hola hay que justificar la entrada y poner mas cosas de tu conclusion te parese bueno mu cal es 8
ResponderEliminar