Auditoria de Sistemas I (3401) IUTEPAL

SISTEMA DE ACTIVIDAD CRITICA

2009-03-24T15:48:27+00:00

Actividad Critica

Actividad Critica:

Es aquella actividad donde el espacio de el espacio o tiempo es nulo, en estos casos si se retrazan en su fecha de inicio o en su fecha de ejecución mas allá de la fecha estipulada, provocaran un retrazo en la fecha estipulada de la entrega del proyecto. La actividad critica es cuando no se puede modificar el tiempo de comienzo y finalización de un proyecto sin modificar la duración del mismo.

Mecanismos que se utilizan para la Actividad Critica:

Técnicas de revisión y evaluación de Programas: (en Inglés Program Evaluation and Review Technique), PERT, este es un modelo para la gestión y administración de proyectos es un método para que permite analizar las tareas involucradas de un proyecto en un momento dado. Especialmente se encarga de analizar el tiempo empelado en cada tarea de un proyecto e identificar el tiempo mínimo necesario para la completacion del proyecto.

La utilización de las técnicas PERT nos permite:

Determinar las actividades necesarias y cuando lo son.
Buscar el plazo mínimo de ejecución del proyecto.
Buscar las ligaduras temporales entre actividades del proyecto.
Identificar las actividades críticas, es decir, aquellas cuyo retraso en la ejecución supone un retraso del proyecto completo.
Identificar el camino crítico, que es aquel formado por la secuencia de actividades críticas del proyecto.
Detectar y cuantificar las holguras de las actividades no críticas, es decir, el tiempo que pueden retrasarse (en su comienzo o finalización) sin que el proyecto se vea retrasado por ello.
Si se está fuera de tiempo durante la ejecución del proyecto, señala las actividades que hay que forzar.
Nos da un proyecto de coste mínimo.

SEGURIDAD FISICA - SEGURIDAD LOGICA

SEGURIDAD FISICA:

Es la aplicación de medidas de control y aplicación de barreras físicas para el resguardo de la información confidencial, es la prevención ante amenazas por ejemplo a los centro de computo también incluye la seguridad de forma remota al mismo. Estos se implementa para la protección del hardware y los medios de almacenamiento de datos. La seguridad Física debe incluir desde un ataque externo por ejemplo de virus, Hackers también se debe prever incendios.

Tipos de Desastres:

Entre los principales peligros que existen en un centro de datos nombraremos los siguientes:

Incendios: El centro de datos debe cumplir con normas de seguridad y debe tener sistemas contra incendios que eviten la propagación de incendios en caso de que sucedan, pero también debe permitir que en caso de que suceda un incendio la información pueda ser recuperada en su mayoría.

Inundaciones: Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. también seria conveniente estudiar el área para saber si en la misma han sucedido inundaciones. En este caso se debe tomar las medidas preventivas necesarias.

Condiciones Climáticas: Esto no incluye solo a las condiciones climáticas, también incluye la condiciones internas del centro de computo ya que los equipos o Hardware necesitan de un ambiente ideal. Las temperaturas bajas o altas podrían dañar los equipos por lo tanto seria conveniente contar con detectores de temperatura para estar pendiente de cambios que puedan afectar el centro de datos.

Señales de Radar: La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana. También el uso de telefonía celular dentro de los centros de datos en muchos casos no esta permitida para evitar inconvenientes o problemas con los equipos.

Instalaciones Electricas: Instalaciones Eléctricas: Es importante contar con buenas instalaciones eléctricas que estén instaladas cumpliendo con las normas establecidas para evitar fallas eléctricas, que puedan causar daños en los equipos, o podrían causar incendios.

Ergonomía: es una disciplina que se ocupa de estudiar la forma en que interactúa el cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa interacción sea lo menos agresiva y traumática posible.

También es necesario resguardar los equipos como ya que estos pueden ser utilizados para sacra información valiosa de la empresa, también para el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Los equipos de los que dispone la empresa tambien pueden ser utilizados para fraude por lo tanto es necesario dar a los usuarios accesos solo al material o la información necesaria.

SEGURIDAD LOGIGA

La seguridad lógica se refiere a colocar barreras y procedimientos que permitan resguardar el acceso a los datos, el acceso a los datos solo debe ser para las personas autorizadas para hacerlo, no todo el personal que labra en una empresa deberia tener el acceso a los datos. Por ejemplo en una organización un usuario del área de producción no deberia tener acceso a los datos financieros ya que este podría modificar estos bien sea de forma equivoca o bien por sabotaje.

Entre los objetivos de la seguridad lógica tenemos:
Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
Que la información recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Control de acceso: El control de acceso puede implementarse en el acceso al sistema operativo de los equipos de computación, en aplicaciones importantes, en base de datos, etc. La protección en el acceso al sistema operativo es muy importante ya que de esta manera se puede ingresar a la red, permite proteger las aplicaciones de modificaciones o utilizaciones no autorizadas. Existen estándares de seguridad que deben ser importantes en cada empresa, estos se nombraran a continuación:
-Identificación y autentificación: Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación.
-Roles: este aspecto se refiere a la función que cumple un usuario dentro de la empresa y de acuerdo a este se darán los accesos necesarios a las aplicaciones e información. Por ejemplo el acceso para un administrador de sistema, acceso para un gerente de área, acceso para un usuario general.
-Transacciones: También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.

-Limitaciones a los servicios: las limitaciones de servicio se refiere a la utilización de aplicaciones estás deben ser establecidas por los administradores de sistemas. Esto puede ser por ejemplo la utilización de programas de acuerdo a la cantidad de licencias que posea o halla adquirido la organización.

-Modalidad de acceso: esto se refiere a los privilegios que puede tener un usuario para ver la información dentro de la organización. Por ejemplo si un usuario tener acceso solo a lectura de cierto tipo de información y no tiene acceso a la modificación de estos documentos. O también otorga acceso para la ejecución de programas.

Sistema de Actividad Critica

2008-06-06T22:00:14+00:00

Sistema de Actividad Critica

¿Qué es un sistema de salud?

Un sistema de salud es la suma de todas las organizaciones, instituciones y recursos cuyo objetivo principal consiste en mejorar la salud. Un sistema de salud necesita personal, financiación, información, suministros, transportes y comunicaciones, así como una orientación y una dirección generales. Además tiene que proporcionar buenos tratamientos y servicios que respondan a las necesidades de la población y sean justos desde el punto de vista financiero.
Un buen sistema de salud mejora la vida cotidiana de las personas de forma tangible. Una mujer que recibe una carta recordándole que su hijo debe vacunarse contra una enfermedad potencialmente mortal está obteniendo un beneficio del sistema de salud. Lo mismo ocurre con una familia que finalmente puede acceder al agua potable gracias a la instalación en su aldea de una bomba de agua financiada por un proyecto de saneamiento del gobierno, o con una persona con VIH/SIDA que obtiene medicamentos antirretrovíricos, asesoramiento nutricional y exámenes periódicos en un ambulatorio asequible.
El principal responsable por el desempeño global del sistema de salud de un país es el gobierno, pero también resulta fundamental la buena rectoría de las regiones, los municipios y cada una de las instituciones sanitarias.
El fortalecimiento de los sistemas de salud y el aumento de su equidad son estrategias fundamentales para luchar contra la pobreza y fomentar el desarrollo.
Los sistemas de salud de los países pobres no son los únicos que tienen problemas. Algunos países ricos tienen grandes sectores de la población que carecen de acceso al sistema de salud debido a que los mecanismos de protección social son injustos. Otros están luchando contra el aumento de los costos debido a la utilización ineficiente de los recursos.

¿EL SISTEMA DE SALUD?

Las intervenciones en saludpueden ser explicadas como un sistema; pero no todas las prácticas sanitarias son sistemas, luego sólo se debería comparar aquellas que tienen la forma sistémica. Además no se debería comparar a un sistema de salud con partes de un sistema, por ejemplo, la acupuntura es una técnica o un procedimiento del sistema de salud chino; pero la acupuntura sola no se puede llamarse "medicina", al margen del complejo cultural y conceptual que la contiene.
El enfoque sistémico como teoría asume que toda la realidad se agrupa en sistemas, que son recortes de la realidad constituidos por la identificación de un fin común, que lo hacen un todo, el cual está compuesto por elementos o partes que se encuentran en equilibrioe interrelación. Cada parte es funcional al todo, por lo tanto el equilibrio es una de sus principales características. Cuando hay desequilibrio o anomia se debe corregirlo para restablecer el sentido único del sistema. Cada uno de los elementos tiene un rol y un status, si una parte pretende hacer algo diferente simplemente se constituye en un problema. Esto último denota los riesgos teóricos y prácticos de creer que el enfoque de sistemas se puede para toda realidad o que inocuo ideológicamente.
El sistema tiene intercambios con otros sistemas a través de sus ingresos, salidas o productos. De esta forma puede observarse un hospital donde se podría identificar una finalidad o misión común (la recuperación de la salud del paciente) y por ello cada estructura del hospital cumple un determinado rol o función para cumplir dicha finalidad, así, los directivos y administrativos proporcionarían los recursos necesarios, los médicos harían los exámenes e indicaciones más apropiadas, las enfermeras apoyarían el tratamiento; el servicio de nutrición elabora las dietas y los técnicos las entregan; los pacientes deben alimentarse y seguir las indicaciones médicas, los familiares apoyan moralmente al paciente; el producto sería un paciente recuperado. Si algún nivel o estructura no cumple su función se convierte en un escollo que debe corregirse.

CRITERIO CULTURAL
Medicina Tradicional:Son las medicinas asociadas a la culturas autóctonas antiguas de las sociedades prehispánicas en América o de cualquier otra sociedad mundial. En América Latina se conoce también con los términos de Medicina folklórica, indígena y étnico-andina. Constituyen sistemas de salud. Ej. La Medicina Tradicional Andina Peruana, el Ayurdeya y la Medicina Pránica en la India, la Medicina Tradicional China.
Medicina Moderna: Es la medicina asociada a la cultura "occidental" o "moderna", aquella que se inicia en Grecia con el paradigma de la racionalidad objetiva y empírica; la cual tiene actualmente una forma altamente desarrollada con énfasis biologista. También se la denomina Medicina científica u occidental. Constituye un sistema de salud. Ej. La Medicina Moderna Norteamericana.
CRITERIO DE USO Y DIFUSIÓN
Medicina Popular: Consiste en prácticas de salud muy difundidas y usadas por la población y significa una simplificación o reconversión de conceptos científicos y de experiencias de salud populares, eficaces o no, que pueden incluir rasgos tradicionales. No se ha identificado que tengan forma sistémica, por ello preferimos llamarla "prácticas populares de salud". Ej. Cubrir con pasta dental las quemaduras, algodón quemado en las heridas pequeñas y aceite en las quemaduras.
Medicina Académica: Asociada a la cultura moderna y a la ciencia, es la que se enseña formalizadamente en las universidades occidentales y su ejercicio está reservado a quienes adquieren un título académico y a ámbitos hospitalarios principalmente. Ej. La Medicina que se enseña en las Facultades de Medicina del Perú.
CRITERIO DE LA FORMALIZACIÓN
Medicina Oficial o Formal: Es la Medicina que ha adquirido status de legalidadsocial (con la cultura hegemónica o dominante) ya sea por su carácter académico como por cumplir las formas legales vigentes. Ej. La Medicina moderna, occidental o científica que ejercen los médicos en el Perú, amparados en el Colegio Médico y las leyes peruanas.
Medicina Informal:Se la define con relación a la ilegalidad de su práctica, es la ejercida por parteros, hueseros, adivinos, sorteadores, chamanes, seudomédicos y otros no médicos, cuya práctica es abiertamente ilegal o semilegal (amparados en el derecho al trabajo). Incluye desde los curanderos tradicionales auténticos hasta los falsificadores y estafadores que se publicitan como curadores de todo y explotan las creencias populares o su desinformación. Ej. Los vendedores de hierbas en los mercados, los consultorios de los seudo chamanes.
Medicina Alternativa: Se refiere a lo alternativo a la medicina oficial, académica y científica clásica. Son especialmente técnicas derivadas de medicinas orientales u otras, cuya eficacia es reconocida objetivamente y por lo tanto hay demanda y oferta de ella (incluso por médicos científicos y población con cultura no tradicional). Recientemente se ha preferido llamarla "Complementaria" de la Medicina científica. Ej. la acupuntura, la iridoterapia, la aromaterapia, entre muchas otras.
CRITERIO COSMOLÓGICO
Medicina Alopática: Sistema médico cuyos tratamientos producen en el estado sano, fenómenos distintos de los que caracterizan la enfermedad que combaten. Da énfasis al enfoque biomédico, a la farmacología y cirugía, los cuales curan eliminando o extirpando los agentes etiológicos de las enfermedades. Se la identifica con la medicina científica o moderna clásica.
Medicina Homeopática: Sistema médico basado en la relación entre totalidad e individualidad, utiliza para su práctica la ley de la semejanza, el medicamento dinamizado y único, la ley de la curación y la experimentación en el hombre sano. Se basa en el principio de que la enfermedad se puede curar mediante fármacos, elementos naturales o biológicos que producen en una persona sana, los mismos efectos patológicos que son sintomáticos de la enfermedad.
CRITERIO CIENTÍFICO
Medicina Empírica: Son prácticas o técnicas de salud creadas y usadas por la población, con algunos rasgos de eficacia simbólica o real, pueden recoger elementos de la medicina tradicional o científica, sin fundamento racional y teórico. No constituye un sistema de salud.
Medicina Científica: Es la asociada a la ciencia vigente actual, de carácter objetiva, positivista, formal e incluso académica. Excluye las prácticas empiristas y mágicas de la medicina.
Medicina Natural:Suele recoger las tradiciones de curación antigua, tiene como fundamento la recuperación del valor y armonía con la naturaleza; cuestiona la tecnificación y mercantilización actuales de la medicina. Tiene una versión moderna (que implica la comprobación experimental de los principios activos, la definición de la dosis media, dosis letal, toxicidad, ensayos clínicos, etc.), que terminan en la producción de medicamentos comerciales en base a plantas o minerales de laboratorios y una versión tradicional en los hierberos, tradicionales o no. Ej. El uso del llantén, de la maca y los productos comercializados en las farmacias naturistas.

Sistema de seguridad nacional

EL CONCEPTO “SEGURIDAD” PROVIENE DEL LATIN SECURITAS QUE A SU VEZ SE DERIVA DEL ADJETIVO SECURUS , EL CUAL ESTA COMPUESTO POR SE, SIN Y CURA, CUIDADO O PROCURACION, LO QUE SIGNIFICA SIN TEMOR, DESPREOCUPADO O SIN TEMOR A PREOCUPARSE.
LA SEGURIDAD NACIONAL ES UN CONCEPTO QUE OFRECE DIFICULTADES PARA DEFINIRLO, POR LO QUE CADA ESTADO LO ESTABLECE EN FUNCION DE LAS REALIDADES QUE OBSERVA EN SU DESARROLLO POLITICO, ECONOMICO, SOCIAL Y MILITAR.
LA SEGURIDAD NACIONAL SE GENERO CON LA APARICION DE LOS PRIMEROS GRUPOS HUMANOS, ES POSIBLE AFIRMAR QUE NACIO COMO UNA NECESIDAD DEL SER HUMANO PARA PROTEGERLO DE LOS PELIGROS PROVENIENTES DE SU RELACION CON EL MEDIO AMBIENTE Y LA SOCIEDAD. ENTONCES, PODEMOS SEÑALAR QUE ESTE FENOMENO ES EL CONJUNTO DE ACCIONES HECHAS POR LOS INTEGRANTES DE UN ESTADO PARA OBTENER Y CONSERVAR LAS CIRCUNSTACIAS PROPICIAS PARA EL LOGRO DE SU PROYECTO NACIONAL.
UNA VEZ QUE SURGIERON LOS ESTADOS, LA SEGURIDAD ASUMIO SU NATURALEZA POLITICA, PUES SE CONCRETO A ASEGURAR LA SUPERVIVENCIA DE ESA ORGANIZACION. EL PASO DEL TIEMPO UBICO A LA SEGURIDAD NACIONAL COMO FENOMENO SOCIAL CIRCUNSCRITO AL PROCESO POLITICO.

DE ESTE INICIO SE INFIEREN PUNTOS BASICOS, DE LOS CUALES PARTEN RASGOS ESENCIALES QUE LIMITAN EL CONCEPTO DE LA SEGURIDAD NACIONAL, ENTRE LOS MAS DESTACADOS TENEMOS:
ES UNA CONDICION POLITICA, ECONOMICA, SOCIAL Y MILITAR.
SE MANIFIESTA COMO PROCESO CONTINUO E INCESANTE.
TIENE UNA DINAMICA PROPIA.
ES UNA FUNCION ESTATAL.
NACE CON LA ORGANIZACION DEL ESTADO.
SE MANIFIESTA EN EL PLENO EJERCICIO DE LA SOBERANIA E INDEPENDENCIA.
SU META BASICA ES LA CONSECUCION DE LOS OBJETIVOS NACIONALES.
REPRESENTA UN ESTADO DE GARANTIA.
CAPACIDAD DE CONSERVACION Y SUPERVIVENCIA QUE POSEE CADA ESTADO.
EXISTE EN FUNCION DEL DESARROLLO DE UNA NACION.
SE MANIFIESTA EN ACCIONES EN LOS CUATRO CAMPOS DEL PODER.
BUSCA LA ESTABILIDAD Y CONSECUCION DE LOS OBJETIVOS NACIONALES.
ESTA DIRIGIDA A SUPERAR LOS PROBLEMAS NACIONALES.

Seguridad Física

2008-05-31T00:43:57+00:00

Seguridad Física

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.

Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.

Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Tipos de Desastres

No será la primera vez que se mencione en este trabajo, que cada sistema es único y por lo tanto la política de seguridad a implementar no será única. Este concepto vale, también, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarán pautas de aplicación general y no procedimientos específicos. Para ejemplificar esto: valdrá de poco tener en cuenta aquí, en Entre Ríos, técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en Los Angeles, EE.UU.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Las principales amenazas que se prevén en la seguridad física son:

Desastres naturales, incendios accidentales tormentas e inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.

No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, además de que la solución sería extremadamente cara.

A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en cualquier entorno.

A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.

Incendios
Inundaciones
Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.
Esta es una de las causas de mayores desastres en centros de cómputos.
Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.
Condiciones Climatológicas
Señales de Radar
La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años.
Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor.
Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.
Instalaciones Eléctricas
Ergometría

Acciones Hostiles

Robo
Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero.
Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina.
La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora.
El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro
Fraude
Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines.
Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imágen, no se da ninguna publicidad a este tipo de situaciones.
Sabotaje
El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.
Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.
Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc.

Control de Accesos

El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.

Utilización de Guardias
Utilización de Detectores de Metales
El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.
La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma.
La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo.
Utilización de Sistemas Biométricos
Verificación Automática de Firmas (VAF)
En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también podría encuadrarse dentro de las verificaciones biométricas.
Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud.
La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o de escribir.
La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada.
El equipamiento de colección de firmas es inherentemente de bajo costo y robusto.
Esencialmente, consta de un bloque de metal (o algún otro material con propiedades acústicas similares) y una computadora barata.
Seguridad con Animales
Sirven para grandes extensiones de terreno, y además tienen órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema.
Así mismo, este sistema posee la desventaja de que los animales pueden ser engañados para lograr el acceso deseado.
Protección Electrónica

Conclusiones

Evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.

Tener controlado el ambiente y acceso físico permite:

disminuir siniestros
trabajar mejor manteniendo la sensación de seguridad
descartar falsas hipótesis si se produjeran incidentes
tener los medios para luchar contra accidentes

Las distintas alternativas estudiadas son suficientes para conocer en todo momento el estado del medio en el que nos desempeñamos; y así tomar decisiones sobre la base de la información brindada por los medios de control adecuados.

Estas decisiones pueden variar desde el conocimiento de la áreas que recorren ciertas personas hasta la extremo de evacuar el edificio en caso de accidentes.

Seguridad Lógica

2008-05-31T00:42:09+00:00

Seguridad Lógica

Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Física, es importante recalcar que la mayoría de los daños que puede sufrir un centro de cómputos no será sobre los medios físicos sino contra información por él almacenada y procesada.

Así, la Seguridad Física, sólo es una parte del amplio espectro que se debe cubrir para no vivir con una sensación ficticia de seguridad. Como ya se ha mencionado, el activo más importante que se posee es la información, y por lo tanto deben existir técnicas, más allá de la seguridad física, que la aseguren. Estas técnicas las brinda la Seguridad Lógica.

Es decir que la Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo."

Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica.

Los objetivos que se plantean serán:

Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
Que la información recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Controles de Acceso

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.

Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.

Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST)(1) ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema:

Identificación y Autentificación (leer más)
Roles
El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso.
Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc.
En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.
Transacciones
También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.
Limitaciones a los Servicios
Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.
Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario.
Modalidad de Acceso (leer más)
Ubicación y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas.
En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana.
De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso.
Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados.
Control de Acceso Interno (leer más)
Control de Acceso Externo (leer más)
Administración (leer más)

Niveles de Seguridad Informática

El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.

Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.

Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

Nivel D
Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.
Nivel C1: Protección Discrecional
Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario.
A continuación se enumeran los requerimientos mínimos que debe cumplir la clase C1:
- Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de ellos.
- Identificación y Autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación.
Nivel C2: Protección de Acceso Controlado
Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no sólo en los permisos, sino también en los niveles de autorización.
Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios.
La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores.
Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema.
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
También se establecen controles para limitar la propagación de derecho de accesos a los distintos objetos.
Nivel B2: Protección Estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior.
La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior.
Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad.
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones.
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexión segura.
Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Nivel A: Protección Verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

BALANCE SCORECARD

2008-05-31T00:39:49+00:00

¿En que consiste el Balanced Scorecard?

La herramienta que ordena, traduce y organiza los objetivos y planes estratégicos de una organización.

En México además de Grupo Bal, organizaciones como Consorcio Ara, Jugos del Valle, Arancia, recientemente el IMSS han aplicado la metodología que se ha convertido en una práctica aceptada como útil para articular y desplegar la gestión estratégica en las organizaciones.

El concepto rompe con el sistema tradicional de administración del presupuesto que solo se concentra en el resultado financiero.

Para contar la estrategia el Balanced Scorecard utiliza dos elementos:

1) El mapa de la estrategia

2) El tablero balanceado

El mapa de la estrategia es la representación visual de los objetivos más importantes de una organización, utilizando al menos cuatro perspectivas:

-La perspectiva económica

-La perspectiva de cliente

-La perspectiva de procesos internos

-La perspectiva de aprendizaje y crecimiento

Un ejemplo de un mapa es como sigue:

Las perspectivas agrupan a los objetivos causa – efecto para lograr los objetivos, el mapa sirve para ordenarlos de manera comprensible.

El tablero balanceado del Balanced Scorecard, se construye en base al menos de 4 perspectivas, e incluye los objetivos relatados en el mapa con medidores, metas y planes de acción.

Los medidores son el valor de éxito o fracaso de un objetivo, las metas, los compromisos, los planes de acción los claves para alcanzar las metas, entonces los “que” son los objetivos y los “como”

los planes de acción, la premisa es que la medición comunica los valores y las prioridades.

La medición es la disciplina, la manera en que los resultados se comunican a la organización, si medimos el clima organizacional, la satisfacción del cliente, la excelencia de los procesos y el valor intrínseco de la empresa, se entenderá que se está enfocando la organización al corto, mediano y largo plazos.

Los planes de acción de convertirse en el productor de más bajo costo, la innovación, la satisfacción del cliente, la excelencia de los procesos, la alianza de negocios, se alinean y entienden en conjunto no separadas e inconexas.

El Balanced Scorecard del más alto nivel – mapa de la estrategia y tablero balanceado – sirve para desplegar la estrategia en la empresa interna y la extendida – clientes, proveedores, accionistas y personal – lo cual facilita objetivos y planes estratégicos en común y responsabilidades compartidas.

Para llevar a la práctica el Balanced Scorecard es indispensable el involucramiento desde el más alto nivel y organizar el esfuerzo en equipo de trabajo.

En GNP el Balanced Scorecard de acuerdo al Ingeniero Manuel Reta facilitador del Programa de Creación de Valor y Director de Control de Gestión y Proyectos de GNP, “es un herramienta fundamental para apoyar la definición de los planes estratégicos.”

“Nos ha permitido depurar la cartera de proyectos estratégicos, asegurando que la Dirección General a cargo del Actuario Clemente Cabello y su grupo directivo, utilicen el vehículo adecuado de comunicación a la organización, tanto de los objetivos y planes estratégicos, como el avance de su cumplimiento”.

Se estableció como premisa en GNP y en Grupo Bal, “plasmar los objetivos y planes estratégicos en el Mapa de Estrategia y el Tablero Balanceado, es decir, hacer de la operación diaria un trabajo estratégico”.

Dice Manuel Reta que les queda “camino por recorrer, conectar los objetivos y planes estratégicos a cada colaborador y al desempeño individual” lo cual se logrará de acuerdo a su programa, a fines de 2004.

¿Para qué lo usan?

Dice Manuel Reta “para mejorar la creación de valor económico, para acelerar la transición de la empresa, para transformar la cultura de la organización, para introducir sistema de gobierno y de rendimiento de cuentas más acordes a la ejecución de la estrategia, entendiendo la insuficiencia de la información financiera para tomar decisiones adecuadas en el proceso de adaptación constante de las empresas y además lograr mayor claridad en nuestra toma de decisiones, establecimiento de prioridades y responsabilidades”.

Lo expuesto por Manuel Reta parece razón válida para que usted explore el Balanced Scorecard y se decida a modificar el evento selectivo anual de los objetivos y planes estratégicos, por un proceso continuo en el que todos los ejecutivos y operarios, participen de la ejecución de la tarea más importante y retadora, a la que día a día nos enfrentamos al llegar a nuestro lugar de trabajo para hacer realidad los planes de negocio.

........Balance Scored Card.......

2008-05-31T00:36:59+00:00

Qué es el Balanced Scorecard

Lo que uno mide, es lo que logrará. Así, si usted mide unicamente el desempeño financiero, solo obtendrá un buen desempeño financiero. Si por el contrario amplía su visión, e incluye medidas desde otras perspectivas, entonces tendrá la posibilidad de alcanzar objetivos que van más allá de lo financiero.

Esta es la idea fundamental del artículo que en 1992 Robert Kaplan y David Norton escribieran en Harvard Business Review, titulado "The Balanced Scorecard - Measures that Drive Performance" (El Balanced Scorecard - Mediciones que llevan a Resultados).

Especificamente, los autores sugieren cuatro perspectivas:

Perspectiva financiera:: aunque las medidas financieras no deben ser las únicas, tampoco deben despreciarse. La información precisa y actualizada sobre el desempeño financiero siempre será una prioridad. A las medidas tradicionales financieras (como ganancias, crecimiento en las ventas), quizás se deba agregar otras relacinadas como riesgo y costo-beneficio.
Perspectiva del cliente: cómo ve el cliente a la organización, y qué debe hacer esta para mantenerlo como cliente. Si el cliente no está satisfecho, aún cuando las finanzas estén marchando bien, es un fuerte indicativo de problemas en el futuro.
Perspectiva interna o de procesos de negocio: cuales son los procesos internos que la organización debe mejorar para lograr sus objetivos. Debemos preguntarnos: "Para satisfacer a los accionistas y clientes, en que procesos de negocio debemos sobresalir?".
Perspectiva de innovación y mejora: cómo puede la organización seguir mejorando para crear valor en el futuro. Incluye aspectos como entrenamiento de los empleados, cultura organizacional, etc.

Las medidas puramente financieras toman el punto de vista de los accionistas de la empresa. En general, son excesivamente de corto plazo, y muy vulnerables ante las variaciones del mercado accionario. Por lo tanto, evitan que los gerentes y directores consideren las oportunidades a largo plazo. De allí que una herramienta que "equilibre" estas mediciones con otras, haya sido tan atractiva desde su aparición en el mercado.

La traducción de Balanced Scorecard en español, literalmente, sería "Hoja de resultados equilibrada". Sin embargo, se le ha conocido por muchos nombres distintos, entre los cuales destacan "Tablero de Comando" y "Cuadro de Mando Integral". Muchos prefieren mantener el nombre en inglés.

El proceso de crear un "Balanced Scorecard" incluye la determinación de 1.- Objetivos que se desean alcanzar, 2.- Mediciones o parámetros observables, que midan el progreso hacia el alcance de los objetivos, 3.- Metas, o el valor específico de la medición que queremos alcanzar y 4.- Iniciativas, proyectos o programas que se iniciarán para lograr alcanzar esas metas.

Ejemplo: un objetivo de la empresa es tener un crecimiento rentable (objetivo). Esto se medirá mediante el crecimiento en el margen neto (medición). Se quiere alcanzar un crecimiento de 5% en este indicador (meta). Para hacerlo, se ampliará la gama de productos (iniciativa).

Esto se repite con tantos objetivos como sea necesario, tantas mediciones para cada objetivo (con sus respectivas metas), y tantas inicitivas como se requieran para lograrlos.

A nivel práctico, todas las mediciones establecidas se colocan en un cuadro, en el cual se va monitoreando el progreso en cada una de ellas. Los datos se obtienen generalmente de los distintos sistemas informáticos con los que cuenta la empresa, y se presentan en forma esquemática y gráfica, similar al tablero que utiliza un piloto para conocer el status de su avión.