FASCICULO TRES

Accesos y seguridad en tecnología de la información

 

 

La información, los procesos, sistemas y redes que brindan apoyo se constituyen como importantes recursos de la empresa. La confidencialidad, integridad y disponibilidad de la información pueden ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen comercial.

En las organizaciones, la infraestructura de tecnología de la información que se encuentra constituida por las redes y sistemas de información, se enfrentan en forma creciente con amenazas relativas a la seguridad, de diversos orígenes, incluyendo el fraude asistido por computadora, espionaje, sabotaje, vandalismo, incendio o inundación.

 

 

 

Requerimientos de Acceso y Seguridad

 

Para establecer las necesidades de los accesos y seguridad que le permitirán a la organización minimizar los riesgos asociados a las amenazas, existen tres recursos con los se pueden identificar los requisitos

en cuanto a seguridad (Administración del Riesgo, 1999), éstos se

mencionan a continuación:

1. Las evaluaciones de riesgos que enfrenta la organización. Con esta evaluación se logra identificar las amenazas que enfrenta la Arquitectura de la Tecnología de la información, además de las vulnerabilidades y probabilidades de ocurrencia, estimando el impacto potencial.

 

2. Los requisitos legales, normativos, reglamentarios y contractuales que deben

cumplir la organización, sus socios comerciales, los contratistas

y los prestadores de servicios.

 

3. Los procesos, objetivos y requisitos para el procesamiento de la

 información, que ha desarrollado la organización para respaldar sus operaciones.

 

 

 

Evaluación de riesgos

 

 

La evaluación de riesgos es un proceso metódico que permite la

identificación de las amenazas a los procesos que afronta toda la

estructura de tecnología de la información de la organización. Para poder realizar una correcta evaluación de riesgos, se hace necesario tener en

cuenta aspectos como el impacto y la probabilidad de ocurrencia. (ISO and Comisión International Electrotechnical Commission., 2009).

 

 

 

 

Control de Acceso

 

 

 

Luego de haber identificado y evaluado los riesgos de seguridad, se deben seleccionar e implementar controles que garanticen la mitigación de los riesgos. De ahí, toma gran importancia una política de administración de

riesgos (Administración del Riesgo, 1999), que debe tener en cuenta el

 

costo de implementar los controles que logren minimizar su impacto y la

pérdida de la información.

Por lo tanto, parte del estudio de este fascículo va enfocado en desarrollar

los tipos de controles que permitan limitar los accesos y proveer seguridad

basada siempre en los principios de confiabilidad, integridad y disponibilidad de la información.

 

 

 

Control de acceso a la red

Estos controles tiene como finalidad la protección de los servicios de la red. Para lograrlo se deben asegurar todos los accesos a la red, ya sean internos o externos. Con la implementación de estos controles se garantiza una autenticación apropiada para las comunidades y equipos, y el control de acceso a los sistemas de información en general.

Igual que en los controles a los sistemas de información, los controles a la red deben partir de una política de utilización del servicio, es decir, establecer las reglas que logren proporcionar una conexión segura. (ISO/IEC, 2007) Un claro ejemplo de esto, es utilizar métodos de cifrados en el acceso a la red por medio inalámbrico como el cifrado de contraseñas.

Estos controles encierran la red y servicios que las comunidades acceden para procesar información, además, contemplan procedimientos de autorización para los usuarios que tienen acceso, junto con la gestión que permite proteger los servicios.

Una buena práctica en los controles de acceso a la red es implementar un camino forzado, que se refiere en tener el completo dominio de la trayecto

Control de acceso al sistema operativo

 

 

Los controles de acceso al sistema operativo se implementan con el fin deim pedir el acceso sin autorización a la terminal de usuario (computador, dispositivo portátil, entre otros). En este tipo de controles se deben desarrollar todos los mecanismos que logren proveer de seguridad y restringir el acceso a las terminales de usuario. Para hacerlo, es necesario implementar un conjunto de acciones, que van desde la identificación de la identidad del usuario, la toma de acciones en caso de presentarse un alto

número de intentos fallidos de acceder al sistema operativo, tener medios de autenticación que permitan una confiabilidad en las contraseñas (iso27000.es, 2005), entre otros.

 

FASCICULO DOS

El concepto de comunidades se adapta hacia la relación existente entre la

sinergia del individuo y la tecnología ((AECEM, 2010) más específicamente,

como el individuo la apropia con la finalidad de hacer cumplir su rol dentro

de la organización

Arquitectura de TI

  

 

Como se pudo ver en el ejemplo anterior, para llevar a cabo una acción tan

simple como la venta de boletas para un espectáculo, debe confluir varios

tipos de comunidades que relacionadas permiten llevar a cabo dicha labor.

Entonces, de este tipo de situaciones se desprenden relaciones entre comunidades

más complejas.


Comunidades B2B

 

Este tipo de comunidades se establece cuando hay una relación entre dos

tipos y/o unidades de negocio de la compañía (Turban, Kling, & MacKay,

2008), ya sea en la misma o en diferentes. Algunos ejemplos característicos

de este tipo de comunidades son:

 Logística – Transporte. Una organización se encarga de almacenar la

mercancía y otra se encarga de llevarla a su destino final.

 Proveedor de servicio – Implementador de solución. Un ejemplo muy

típico son las empresas que se encargan del diseño de portales web,

que para este caso sería el implementador de la solución. Este tipo de

empresas se apoyan en Re-Seller de hosting con el fin de poder alojar

sus portales web.


Comunidades B2C

 

 

Las comunidades B2C (Business to consumer) son aquellas que se crean

entre las organizaciones y los consumidores (Díaz, 2004). En este tipo de

comunidades se caracteriza el consumidor buscando estilos comunes y

tendencias de consumo, permitiendo al segmento de negocio poder llegar

con mayor facilidad y vender sus productos y/o servicios.

 

Comunidades B2E

 

Las comunidades B2E (Business-to-employee) miden la relación que hay

entre la organización y sus empleados. (Mohini & Dianne, 2007). Desde el

punto de vista de Tecnología de la Información, en este tipo de comunidades

se busca determinar el grado de apropiación de la tecnología dispuesta

por la organización para que los empleados puedan desarrollar sus actividades.

 

Comunidades B2B2C

 

 

 

Las comunidades B2B2C (business-to-business-to-consumer) nacen de la

relación que surge entre una comunidad de tipo B2B y B2C. En este tipo

de comunidades se prevé una relación entre dos tipos y/o unidades de

negoción para llegar a un consumidor (cliente). (RIVAS ROCES, 2005)

 

 

FASCICULO UNO

Situación actual de las TI

Uno de los indicadores del avance en la implementación de las TIC en los

países es el grado de penetración de Internet. A nivel internacional, el

grado de implementación de las TI es elevado (el 94% de las empresas

utiliza la internet) .

Arquitecturas de TI

Entre los aportes de las de tecnologías de la información a las

organizaciones se encuentran :

· Facilitan las comunicaciones.

· Eliminan las barreras de tiempo y espacio.

· Favorecen la cooperación y colaboración entre distintas entidades.

· Aumentan la producción de bienes y servicios de valor agregado.

· Provocan el surgimiento de nuevas profesiones y mercados.

· Reducen los impactos nocivos al medio ambiente al disminuir el

consumo de papel y la tala de árboles y al reducir la necesidad de

transporte físico y la contaminación que éste pueda producir.

· Aumentan las respuestas innovadoras a los retos del futuro.

· Internet permite un acceso igualitario a la información y al conocimiento.

 

Aplicaciones de las TI

Las TIC tienen una gran aplicación en el sector financiero siendo uno de

los sectores en los que más impacto está teniendo Internet, debido a que

maneja un bien intangible, como es el dinero. El sector vive una revolución

que supone una oportunidad importante para conseguir nuevos clientes o

perderlos. Surgen además nuevos competidores para la banca, como son

los portales financieros.

 

Modelo de Arquitectura TI

Las Tecnología de la Información se deben fundamentar sobre una

estructura base, que se convierta en su pilar. El diseño de una Arquitectura

TI se aprecia en el modelo de referencia descrito en la Figura