Latest Entries »

Karina Romero Ibañez

Filed under: Uncategorized — Deja un comentario

noviembre 10, 2010

=TABLA DE RIESGOS=

Riesgo	Probabilidad	Impacto	Tipo de riesgo
Caída de red	Media	Alto	Lógico
Inadecuado controles de acceso	Alta	Bajo	Físico
Caída de servicios de producción	Media	Bajo	Lógico
Incendio	Baja	Bajo	Físico
Extracción y destrucción de información confidencial	Baja	Alto	Lógico
Robo	Media	Alto	Físico
Uso inadecuado de las instalaciones	Alta	Media	Lógico
Desastres naturales	Baja	Alto	Físico
Ataques de virus informáticos	Alto	Alto	Lógico
Fuga de información	Media	Alto	Lógico
Pérdida de información	Baja	Medio	Lógico
Descontrol del personal	Media	Bajo	Lógico
Spam	Alta	Medio	Lógico
Piratería	media	Alta	Físico, lógico
Códigos maliciosos	Alta	Alta	Lógico
Intrusos informáticos	media	alta	Físico, lógico

CUESTIONARIO

1*¿Cuál es tu nombre?

R= Luis Ángel Solano Tierrafría.

2*¿Qué papel desempeñas dentro de la empresa?

R=Técnico.

3*¿Cuál es tu área de trabajo?

R=Sistemas.

4*¿Cuáles son tus herramientas de trabajo?

R=Desarmadores, espray, brocha.

5*¿Tienes especialidad?

R=En mantenimiento.

6*¿Cuánto ganas?

R= ¿?

7*¿Cómo es tu relación con tus compañeros de trabajo?

R= Muy buena.

8*¿Además de este empleo realizas otra actividad empleo?

R=No.

9*¿Qué horario de trabajo tienes?

R=De 10am a 5pm.

10*¿Te conviene venir de tu casa al trabajo?

R=Si.

11*¿Tienes oficina propia?

R=No.

12*¿Puedes viajar?

R= En el estado nada más.

13*¿Tienes una familia que dependa de ti?

R=No.

14*¿Tienes antecedentes penales?

R=No.

15*¿Cómo sientes que es el ambiente en tu trabajo?

R=Muy bueno, tranquilo.

16*¿Dominas otro idioma?

R=No.

17*¿Tienes casa propia?

R=Si.

18*¿Cuántos años tienes?

R=19.

19*¿Cuántos años llevas trabajando aquí?

R=4 años.

20*¿Tienes alguna adicción?

R=No.

21*¿Tienes alguna contraseña para ingresar a la empresa?

R= Credencial.

22*¿Con que tipo de equipo cuenta tu empresa?

R=Lo más sofisticado.

23*¿Tienes seguro de vida?

R= Si.

24*¿La seguridad de tu equipo es por niveles o es fija?

R=Si.

25*¿Cantos tipos de sistemas operativos manejas aparte de Windows?

R= 4 sistemas.

11 de noviembre del 2010.

PRACTICA CALIDAD

Objetivo:

El alumno conocerá, manejara y aplicara los conceptos de calidad aplicados al manejo de la seguridad informática.

DESARROLLO:

1.-Investiga el concepto de calidad.

2.-Cual es la función de la calidad en el manejo del equipo de cómputo.

3.-Como aplicamos en la seguridad informática el concepto de calidad.

4.-Define que es un ISO.

5.-Describe los tipos de ISO que existen en la aplicación de la calidad y donde se aplican cada uno de ellos.

6.-Investiga quienes fueron los principales fundadores del concepto calidad y cuáles fueron los fundamentos de cada uno de los ideólogos.

7.-Mencina como aplicarías los conceptos anteriores en el manejo de la seguridad de la información.

8.-Investiga cuales son los pasos a seguir para el manejo de la información dentro de una empresa.

9.-Describe el concepto de esqueleto de pescado propuesto por Deming.

10.-Para administrar una red de información con calidad que pasos tienes tú que seguir.

CONCEPT CALIDAD, Y QUE TIPO DE CALIDAD QUE EXISTEN.

La palabra «calidad» se usa cada vez con más frecuencia en las compañías, ya sea en los sectores de alimentos, industria o servicios y especialmente en el sector de Tecnología Informática (TI). En este informe, el término «compañía» se refiere independientemente a cualquier compañía, organización o asociación en el sector público o privado. Del mismo modo, el término «cliente» se debe interpretar de modo amplio como «beneficiario» y el término «producto», como la entrega de algo material o inmaterial (servicio). Detrás del término «calidad» se ocultan muchos conceptos. Este informe tiene como meta definir los términos principales y comprender los objetivos y métodos de la implementación de un procedimiento de calidad.

Introducción a la calidad

La Calidad se puede definir como la capacidad de lograr objetivos de operación buscados. La norma ISO 8402-94 define la calidad como:

El conjunto de características de una entidad que le otorgan la capacidad de satisfacer necesidades expresas e implícitas.

La norma ISO 9000:2000 la define como:

La capacidad de un conjunto de características intrínsecas para satisfacer requisitos.

En la práctica, hay dos tipos de calidad:

Calidad externa, que corresponde a la satisfacción de los clientes. El logro de la calidad externa requiere proporcionar productos o servicios que satisfagan las expectativas del cliente para establecer lealtad con el cliente y de ese modo mejorar la participación en el mercado. Los beneficiarios de la calidad externa son los clientes y los socios externos de una compañía. Por lo tanto, este tipo de procedimientos requiere escuchar a los clientes y también debe permitir que se consideren las necesidades implícitas que los clientes no expresan.
Calidad interna, que corresponde al mejoramiento de la operación interna de una compañía. El propósito de la calidad interna es implementar los medios para permitir la mejor descripción posible de la organización y detectar y limitar los funcionamientos incorrectos. Los beneficiarios de la calidad interna son la administración y los empleados de la compañía. La calidad interna pasa generalmente por una etapa participativa en la que se identifican y formalizan los procesos internos.

Por consiguiente, el propósito de calidad es proporcionarle al cliente una oferta apropiada con procesos controlados y al mismo tiempo garantizar que esta mejora no se traduzca en costos adicionales. Es posible mejorar un gran número de problemas a un bajo costo. Sin embargo, cuanto más cerca se está de la perfección, más se elevan los costos.

En lo absoluto, para las compañías del sector privado en realidad no es una cuestión de satisfacer exhaustivamente las expectativas del cliente («sin defectos»), sino de satisfacerlas mejor que la competencia. En el sector público, la calidad permite demostrar que los fondos públicos se usan hábilmente para brindar un servicio que se adapte a las expectativas de los ciudadanos.

Lo opuesto a la calidad, (o un defecto de calidad), también tiene un costo. De hecho, generalmente es más costoso corregir defectos o errores que «hacerlo bien» desde el comienzo. Además, el costo de un defecto de calidad es mayor cuanto más tarde se detecta. Por ejemplo, rehacer un producto defectuoso costará, al final, más del doble del precio de producción de lo que hubiese costado el producto inicial si hubiera sido producido correctamente la primera vez. Además, la diferencia de precio será menor si el defecto se detecta durante la producción que si lo detecta el cliente (insatisfacción del cliente, procesamiento del incidente, control del cliente, costos de envío, etc.)

Es cuestión de encontrar el equilibrio correcto que elimine los defectos de calidad lo mejor posible para ganar un buen grado de satisfacción y lealtad del cliente y para generar ganancias, todo dentro de un presupuesto razonable.

Mejoras continuas

Uno de los principios básicos de la calidad es la prevención y las mejoras continuas. Esto significa que la calidad es un proyecto interminable, cuyo objetivo es detectar disfunciones tan rápido como sea posible después de que ocurran. Así, la calidad puede representarse en un ciclo de acciones correctivas y preventivas llamado «ciclo de Deming«:

Este ciclo, representado en el ciclo de Deming, se llama modelo PDCA. PDCA se refiere a las iniciales del inglés de los siguientes cuatro pasos:

Planear (plan): definir los objetivos a alcanzar y planificar cómo implementar las acciones
Hacer (do): implementar las acciones correctivas
Controlar (check): verificar que se logre el conjunto de objetivos
Actuar (act): según los resultados obtenidos en el paso anterior, tomar medidas preventivas

Procedimiento de calidad

Mejorar la calidad interna y externa permite que una compañía trabaje con sus beneficiarios en las mejores condiciones, lo que se traduce en una relación de confianza y ganancias de naturaleza tanto financiera (aumento de ganancias) como personal (clarificación de roles, necesidades y oferta, motivación del empleado).

La mejora de la calidad es un proceso que requiere la participación de toda la compañía y, en la mayoría de los casos, conduce a cambios en los hábitos de trabajo e incluso en la organización. Por lo tanto, un procedimiento de calidad es un acercamiento organizativo al progreso continuo en el área de la eliminación de defectos. Es un procedimiento participativo, lo que significa que debe participar toda la compañía, incluyendo el nivel jerárquico más alto.

Garantía de calidad

La Garantía de calidad es el compromiso de mantener un determinado nivel de calidad en función de los objetivos buscados. La garantía de calidad está delineada en un documento de estructura que formaliza las medidas para garantizar la calidad. La norma 8402-94 la define de la siguiente manera:

La serie de actividades preestablecidas y sistemáticas planteadas en la estructura del sistema de calidad que se llevan a cabo cuando es necesario probar que una entidad cumplirá con las expectativas de calidad.

El objetivo de la garantía de calidad es asegurarle al cliente la calidad de un producto o servicio de la compañía. La estructura se presenta en un manual de garantía de calidad que sintetiza la política de calidad de la compañía.

La Certificación o acreditación es el reconocimiento escrito por parte de un tercero independiente de que un servicio, producto o sistema cumple con cierto nivel de calidad. La certificación generalmente se basa en una norma (preferentemente internacional). Algunas de las principales certificaciones son:

La familia de normas ISO 9000 (ISO 9000, ISO 9001, IS0 9004, ISO 10011)
EFQM (Fundación Europea para la Gestión de la Calidad)

Durante varios años, la garantía de calidad se ha extendido a problemas de seguridad, higiene y protección del entorno. Esa es la razón por la que se crearon numerosas certificaciones específicas.

Gestión de calidad total

El concepto de gestión de calidad total (TCM) se refiere a la implementación de un plan empresarial basado en un procedimiento de calidad que involucra a todos los empleados, es decir una estrategia completa por la cual un compañía entera usa todos los recursos para satisfacer a sus beneficiarios en términos de calidad, costo y plazo. Se debe desarrollar un «espíritu de calidad» y todos deben compartirlo para que la gestión de calidad total tenga éxito.

Cuál es la función de calidad en el manejo del equipo de cómputo:

La tecnología de la computación electrónica ha modificado de manera importante la forma de trabajar de toda la humanidad. La dependencia que tenemos en la actualidad de las computadoras es evidente. Sin embargo, los sucesos han ocurrido con tal rapidez que se requiere de un análisis formal para comprobar la magnitud de esa dependencia. Una manera drástica, pero muy objetiva de ilustrarla, sería imaginar lo que podría suceder si de un momento a otro se desconectaran todas las computadoras en el mundo. Los efectos serían más graves que los causados por una guerra. De inmediato, quedaríamos sin transportes ni comunicaciones, los bancos cerrarían y no habría dinero disponible, las transacciones comerciales quedarían prácticamente anuladas, la mayoría de las empresas dejarían de prestar sus servicios y muchas otras detendrían su producción, grandes redes de suministros de energía eléctricas quedarían desactivadas, los suministros de agua dejarían de operar, millones de personas quedarían inactivas, etcétera.

De ahí la importancia de las computadoras. Y si bien no llegara a suceder dicha catástrofe, es innegable la frecuencia con que somos víctimas de los errores que se cometen en los centros de cómputo. ¿Quién no ha perdido horas esperando a que se restablezcan los servicios de algún banco a fin de cobrar un cheque?, ¿Cuántas veces no hemos acudido a aclarar un recibo de cobro emitido erróneamente? Miles de trámites han quedado pendientes por falta de información oportuna.

Por tanto, no es admisible que si la función de un centro de cómputo es simplificar las

labores administrativas, éstas en muchos casos terminen por ser más complicadas.

Administración

La administración se define como el proceso de crear, diseñar y mantener un ambiente en el que las personas al laborar o trabajar en grupos, alcancen con eficiencia metas seleccionadas.

Las personas realizan funciones administrativas de planeación, organización,

integración de personal, dirección y control.
* La administración se aplica en todo tipo de corporación.
* Es aplicable a los administradores en todos los niveles de corporación.

* La administración se ocupa del rendimiento; esto implica eficacia y eficiencia.

La administración en la Era de la Información se caracteriza por la simplicidad,

agilidad, flexibilidad, excelencia y mejora continua.

a. Énfasis en la Calidad.

Según Edwads Deming, calidad es ofrecer productos y servicios a bajo costo que

satisfagan necesidades de los clientes.
Tecnicas de calidad:
–

Benchmarking.

–

Outsourcing

–

Reducción del ciclo del trabajo.

b. Énfasis de los Recursos Intangibles.

Se caracteriza por tomar en consideración los siguientes aspectos:

–

Importa el conocimiento y la información

–

Activos intangibles es el Capital Intelectual.

–

Difícil de identificar.
Componentes del capital intelectual:
–

Capital Humano.

–

Capital Organizativo.

–

Capital Tecnológico.

–

Capital de relaciones.

Como aplicamos el concepto de calidad en la seguridad informática

Define que es un iso

es un archivo donde se almacena una copia o imagen exacta de un sistema de ficheros, normalmente un disco óptico. Se rige por el estándar ISO 9660 que le da nombre. Algunos de los usos más comunes incluyen la distribución de sistemas operativos, tales como sistemas Linux, BSD o Live CDs.

es un archivo donde se almacena una copia o imagen exacta de un sistema de ficheros, normalmente un disco compacto, un disco óptico, como un CD, un DVD…, pero también soportes USB. Una imagen Iso es la elección más común que se adopta en memorias extraibles. Como usa el protocolo ISO 9660 o el protocolo UDF que es compatible con el ISO 9660, es útil a la hora de distribuir por Internet, archivos que necesitan evitar en la transferencia la pérdida de cualquier información o la modificación de la estructura original, necesaria muchas veces para el correcto funcionamiento del programa. Aunque la ISO 9660 lo especifica como formato de sólo lectura es posible modificarlos con algunos programas.

Describe los tipos de ISO que existen en la aplicación de la calidad y donde se aplican cada uno de ellos.

En el último decenio la noción de «calidad» se ha convertido en un tema central para empresas, servicios públicos y organizaciones no lucrativas en toda Europa. Uno de los hechos más visibles de esta»moda de la calidad» ha sido, particularmente en Europa, la certificación en organizaciones de mecanismos de garantía de la calidad, utilizando las denominadas Normas ISO 9000. Esta forma de certificación se está convirtiendo fácticamente en la norma básica de la calidad para numerosos sectores industriales de Europa.

Las normas ISO 9000 se idearon originalmente para empresas de la industria de fabricación. Desde comienzos del decenio de 1990, no obstante, su aplicación se está difundiendo rápidamente a otros sectores de la economía. La evolución experimentada en los últimos años ha llevado a un reconocimiento generalizado del valor de un certificado ISO 9000 y de su función como lábel de calidad.

Por supuesto, la calidad no constituye un fenómeno nuevo dentro de la enseñanza y la formación, pero el interés por las ISO 9000 es de origen relativamente reciente. Desde comienzos de la década del 90, toda una serie de instituciones docentes de Europa han obtenido un certificado ISO 9001 o ISO 9002 (1) . Aun cuando la certificaciónISO 9000 siga siendo un fenómeno marginal en el mundo de la enseñanza y la formación, la cifra de instituciones y departamentos certificados se halla en aumento, particularmente entre los ofertores de formación profesional y formación profesional continua. Sin embargo, son muchos los profesionales del mundo docente que se preguntan si esta evolución constituye la mejor vía para perfeccionar la calidad dentro de las instituciones formativas. Para muchas personas, el valor añadido real de un proceso de certificación de este tipo sigue siendo dudoso, y ello sin mencionar los costes que implica dicho proceso.

Quienes fueron los principales fundadores del concepto calidad y cuáles fueron los fundamentos de cada uno de los ideólogos.

En el siglo XIII empezaron a existir los aprendices y los gremios, por lo que los artesanos se convirtieron tanto en instructores como en inspectores, ya que conocían a fondo su trabajo, sus productos y sus clientes, y se empeñaban en que hubiera calidad en lo que hacían, a este proceso se le denominó control de calidad del operario. El gobierno fijaba y proporcionaba normas y, en la mayor parte de los casos, un individuo podía examinar todos los productos y establecer un patrón de calidad único. Este estado de los parámetros de aplicación de la calidad podía florecer en un mundo pequeño y local, pero el crecimiento de la población mundial exigió más productos y, por consecuencia, una mayor distribución a gran escala, en la primera guerra mundial también se dio al control de la calidad del capataz.

Es así que con la ayuda de la Revolución industrial, la producción en masa de productos manufacturados se hizo posible mediante la división del trabajo y la creación de partes intercambiables; sin embargo, esto creó problemas para los que estaban acostumbrados a que sus productos fueran hechos a la medida.

El sistema industrial moderno comenzó a surgir a fines del siglo XIX en los Estados Unidos, donde Frederick Taylor fue el pionero de la Administración Científica; suprimió la planificación del trabajo como parte de las responsabilidades de los trabajadores y capataces y la puso en manos de los Ingenieros Industriales, que se les conoce como Ingenieros de Métodos y Tiempos.

En el siglo XX se desarrolló una era tecnológica que permitió que las masas obtuvieran productos hasta entonces reservados sólo para las clases privilegiadas. Fue en este siglo cuando Henry Ford introdujo en la producción de la Ford Motor Company la línea de ensamblaje en movimiento. La producción de la línea de ensamblaje dividió operaciones complejas en procedimientos sencillos, capaces de ser ejecutados por obreros no especializados, dando como resultado productos de gran tecnología a bajo costo. Parte de este proceso fue una inspección para separar los productos aceptables de los no aceptables. Fue entonces cuando la calidad era sólo la responsabilidad del departamento de fabricación.

Muy pronto se hizo evidente que la prioridad del director de la producción era cumplir con los plazos fijados para fabricación en lugar de preocuparse por la calidad. Perdería su trabajo si no cumplía con las demandas de la producción, mientras que sólo recibiría una sanción si la calidad era inferior. Eventualmente la alta dirección llegó a comprender que la calidad sufría a causa de este sistema, de modo que se creó un puesto separado para un inspector jefe.

Entre 1920 y 1940 la tecnología industrial cambió rápidamente. La Bell System y su subsidiaria manufacturera, la Western Electric, estuvieron a la cabeza en el control de la calidad instituyendo un departamento de ingeniería de inspección que se ocupara de los problemas creados por los defectos en sus productos y la falta de coordinación entre su departamentos. George Edwards y Walter A. Shewhart, como miembros de dicho departamento, fueron sus líderes. Edwards declaró: “Existe el control de la calidad cuando artículos comerciales sucesivos tienen sus características más cercanas al resto de sus compañeros y más aproximadamente a la intención del diseñador de lo que sería el caso si no se hiciera la aplicación. Para mi, cualquier procedimiento, estadístico u otro que obtenga los resultados que acabo de mencionar es control de calidad, cualquier otro que no obtenga estos resultados no los es“. Edwards acuñó la frase «seguridad en la calidad» y la defendía como parte de la responsabilidad de la administración.

En 1924 el matemático Walter A. Shewhart introdujo el Control de la Calidad Estadístico, lo cual proporcionó un método para controlar económicamente la calidad en medios de producción en masa. Shewhart se interesó en muchos aspectos del control de la calidad. Aunque su interés primordial eran los métodos estadísticos, también estaba muy consciente los principios de la ciencia de la administración y del comportamiento, siendo él la primera persona en hablar de los aspectos filosóficos de la calidad. El punto de vista de que la calidad tiene múltiples dimensiones es atribuible únicamente a Shewhart.

En 1935, E. S. Pearson desarrolló el British Standard 600 para la aceptación de muestras del material de entrada, el cual fue sucedido por el British Standard 1008, adaptación del 4l U.S. Z –1 Standard desarrollado durante la Segunda Guerra Mundial. La Segunda Guerra Mundial apresuró el paso de la tecnología de la calidad. La necesidad de mejorar la calidad del producto dio por resultado un aumento en el estudio de la tecnología del control de la calidad. Fue en este medio ambiente donde se expandieron rápidamente los conceptos básicos del control de la calidad. Muchas compañías pusieron en vigor programas de certificación del vendedor. Los profesionistas de la seguridad en la calidad desarrollaron técnicas de análisis de fracasos para solucionar problemas; los técnicos de la calidad comenzaron a involucrarse en las primeras fases del diseño del producto y se iniciaron las pruebas del comportamiento ambiental de los productos.

En 1946 se instituyó la ASQC (American SocietyforQuality Control) y su presidente electo, George Edwards, declaró en aquella oportunidad: “La calidad va a desempeñar un papel cada vez más importante junto a la competencia en el costo y precio de venta, y toda compañía que falle en obtener algún tipo de arreglo para asegurar el control efectivo de la calidad se verá forzada, a fin de cuentas, a verse frente a frente a una clase de competencia de la que no podrá salir triunfante”. En se mismo año, KenichiKoyanagi fundó la JUSE (Union of JapaneseScientists and Engineers) con Ichiro Ishikawa como su primer presiente. Una de las primeras actividades de la JUSE fue formar el Grupo de Investigación del Control de la Calidad (Quality Control ResearchGroup: QCRG) cuyos miembros principales fueron ShigeruMizuno, Kaoru Ishikawa y TetsuichiAsaka, quienes desarrollaron y dirigieron el control de la calidad japonés, incluyendo el nacimiento de los círculos de la calidad.

La calidad japonesa

Después de acabar la Segunda Guerra Mundial Japón estaba frente a la reconstrucción del país, y las fuerzas de ocupación estadounidenses decidieron apoyarlo en la reconstrucción de su economía con el fin de evitar que recuperara su capacidad bélica.

Para eso Estados Unidos envió a un grupo de expertos para ayudar en su labor. Sin embargo, antes debían ganarse la confianza de los japoneses, que los veían como meros enemigos, por lo que se lanzaban a través de la radio mensajes pro-EE.UU. Lamentablemente Japón no contaba con radios, y se propuso montar unas fábricas orientadas a su fabricación. Pero, como se contaba con mano de obra inexperta, el resultado fue la mala calidad de las radios creadas. Para sanar este problema se creó el NETL (National Electric TestingLaboratory), sin embargo poco tiempo después se reconoció que esa estrategia no era buena, y se decidió reorientar los esfuerzos a la capacitación de esta nueva generación de administradores japoneses. Esto se consiguió gracias al programa realizado por la organización llamada Unión de Científicos e Ingenieros del Japón.

Entre los temas de capacitación se incluyó el control estadístico de la calidad, este tema fue aplicado gracias a los aportes de Walter A. Shewhart. La JUSE vio en esta temática una razón de la victoria de los EE.UU en la guerra, por lo que solicitaron a la CCS que les recomendaran a expertos en este tema para poder profundizar y reforzar el tema. Debido a que Shewhart no estaba disponible, se les recomendó a un profesor de la Universidad de Columbia, que había estudiado y ampliado los temas Shewhart; este profesor era W. Edwards Deming. Ya en 1947 Deming había estado en Japón como parte de una misión de observación económica, por lo que ya lo conocían los japoneses, lo que facilitó su incorporación como instructor.

En 1950 W. Edwards Deming, un hombre dedicado a la estadística que había trabajado en la Bell System con George Edwards y Walter A. Shewhart, fue invitado a hablar ante los principales hombres de negocios del Japón, quienes estaban interesados en la reconstrucción de su país al término de la Segunda Guerra Mundial, e intentando entrar en los mercado extranjeros y cambiando la reputación del Japón de producir artículos de calidad inferior. Deming los convenció de que la calidad japonesa podría convertirse en la mejor del mundo al instituirse los métodos que él proponía.

Muchas empresas comienzan a trabajar con el concepto de <<Sistema Integral de Calidad>>, que afecta al diseño, la fabricación y la comercialización, produciéndose un fenómeno singular que afectó a la comercialización y economía industrial de muchos países, como consecuencia del despegue de la industria japonesa, aplicando los conceptos del aseguramiento de la calidad y la prevención.

Los industriales japoneses aprendieron las enseñanzas de Deming y la calidad japonesa, la productividad y su posición competitiva se mejoraron y reforzaron, para ser lo que son hoy en día. Es por ello que cada año se otorga en el Japón los muy deseados Premios Deming al individuo que muestre logros excelentes en teoría o en la aplicación del control de la calidad por estadísticas, o aquella persona que contribuya notablemente a la difusión de las técnicas del control de calidad por estadísticas, así como a su aplicación. Las compañías japonesas que han obtenido dichos premios incluyen Nissan, Toyota, Hitachi y Nipon Steel. En 1989, la Florida Power and Light Company fue la primera compañía extranjera en ganar el premio Deming.

Menciona como aplicarías los conceptos anteriores en el manejo de la seguridad de la información.

Que es el esqueleto de pescado que propuso demig

William Edwards Deming (14 de octubre de 1900 – 20 de diciembre de 1993). Estadístico

estadounidense, profesor universitario, autor de textos, consultor y difusor del concepto de calidad total.

Su nombre está asociado al desarrollo y crecimiento de Japón después de la (Segunda Guerra Mundial).

Nació en Sioux City, Iowa, en una familia muy pobre. Su padre, Pardi Tofe, un abogado luchador, perdió
una demanda judicial en Powell Wyoming lo que obligó a la familia a mudarse a dicha ciudad cuando
Deming tenía siete años. Vivieron en una casa humilde donde la preocupación por cual sería su próxima
comida era parte de la vida diaria, Deming por tanto tuvo que empezar a trabajar desde los ocho años en
un hotel local. Con sus ahorros en la mano, Deming se fue de Powell con 17 años hacia Laraman, a la
Universidad de Wyoming, donde terminó la carrera en 1921 con un B.S. en ingeniería eléctrica, en 1925
obtuvo la maestría en Física y Matemáticas en la Universidad de Colorado y en 1928 obtuvo el Doctorado
por la Universidad de Yale en Física donde fue empleado como profesor. Posteriormente trabajó para el
Departamento de Agricultura en Washington D.C. y como consejero estadístico para la Oficina de Censo
de los Estados Unidos, durante este periodo Deming descubrió el trabajo sobre control estadístico de los
procesos creado por Walter A. Shewhart que trabajaba en los Laboratorios Telefónicos Bell (Bell Labs) de
la telefónica AT&T, que fueron la base de sus ideas, ideas que pasaron desapercibidas en Estados Unidos.

En 1947 el General Mac Arthur invita al Dr. Deming a ayudar en el primer censo en Japón.

En Japón estaban prestando mucha atención a las técnicas de Shewhart, cosa que no se hacia en Estados
Unidos y como la parte de los esfuerzos de reconstrucción de Japón buscaron a un experto para enseñar el
control estadístico. En 1950 la Unión Japonesa de Científicos e Ingenieros (JUSE) invitó a Deming a
Tokio a impartir charlas sobre control estadístico de procesos (un hombre que conocía Japón). Entre junio
y agosto de 1950 Deming forma a cientos de ingenieros, directivos y estudiantes en el control estadístico
de los procesos (SPC) y los conceptos de calidad. Sus conferencias fueron copiadas, editadas e impresas
en japonés, se vendieron miles de copias. Los japoneses pretendieron pagarle los derechos de autor, sin
embargo Deming rechazó la oferta proponiéndoles emplear el dinero en crear un premio para las
empresas que demostraran un comportamiento ejemplar en la mejora de calidad. Las compañías
japonesas añadieron fondos y hoy «El Premio Deming» se considera como el número uno entre los
premios de calidad. Por dicha causa los japoneses llaman a Deming «El padre de la tercera revolución
industrial». Dicho renombre es justo ya que les demostró que cuando la calidad se persigue sin descanso,
se optimizan los recursos, se bajan los costos y se conquista el mercado yendo en contra de las teorías
económicas clásicas según las cuales las políticas económicas adoptadas por Japón eran un error.

La mayor contribución de Deming a los procesos de calidad en Japón es el control estadístico de proceso, que es un lenguaje matemático con el cual los administradores y operadores pueden entender «lo que las máquinas dicen». Las variaciones del proceso afectan el cumplimiento de la calidad prometida.

Hoy el ciclo PDCA, se denomina «ciclo Deming» en su honor, aunque por justicia se debería llamar «ciclo
Shewhart», por ser este último quien lo inventó. Posteriormente los americanos al ver el empuje de la
industria japonesa recuperan estos conceptos que les habían pasado desapercibidos en la figura del propio
Deming y su más aventajado condiscípulo, Malcolm Baldrige.

Las ideas de Deming se recogen en los Catorce Puntos y Siete Enfermedades de la Gerencia de Deming,

son los siguientes.

Los 14 puntos de Deming. [editar]

Deming ofreció catorce principios fundamentales para la gestión y transformación de la eficacia
empresarial, con el objetivo de ser competitivo, mantenerse en el negocio y dar empleo. Los puntos se
presentaron por primera vez en su libro «Out of the Crisis» («Salir de la Crisis»).

1. Crear constancia en el mejoramiento de productos y servicios, con el objetivo de ser competitivo

y mantenerse en el negocio, además proporcionar puestos de trabajo.

2. Adoptar una nueva filosofía de cooperación en la cual todos se benefician, y ponerla en práctica

enseñándola a los empleados, clientes y proveedores.

3. Desistir de la dependencia en la inspección en masa para lograr calidad. En lugar de esto,

mejorar el proceso e incluir calidad en el producto desde el comienzo.

4. Terminar con la práctica de comprar a los más bajos precios. En lugar de esto, minimizar el costo total en el largo plazo. Buscar tener un solo proveedor para cada ítem, basándose en una relación de largo plazo de lealtad y confianza.

5. Mejorar constantemente y por siempre los sistemas de producción, servicio y planeamiento de
cualquier actividad. Esto va a mejorar la calidad y la productividad, bajando los costos
constantemente.

6. Establecer entrenamiento dentro del trabajo (capacitación).

7. Establecer lideres, reconociendo sus diferentes habilidades, capacidades y aspiraciones. El
objetivo de la supervisión debería ser ayudar a la gente, máquinas y dispositivos a realizar su
trabajo.

8. Eliminar el miedo y construir confianza, de esta manera todos podrán trabajar más

eficientemente.

9. Borrar las barreras entre los departamentos. Abolir la competición y construir un sistema de

cooperación basado en el mutuo beneficio que abarque toda la organización.

10. Eliminar eslóganes, exhortaciones y metas pidiendo cero defectos o nuevos niveles de
productividad. Estas exhortaciones solo crean relaciones de rivalidad, la principal causa de la
baja calidad y la baja productividad reside en el sistema y este va más allá del poder de la fuerza
de trabajo.

11. Eliminar cuotas numéricas y la gestión por objetivos

12. Remover barreras para apreciar la mano de obra y los elementos que privan a la gente de la
alegría en su trabajo. Esto incluye eliminar las evaluaciones anuales o el sistema de méritos que
da rangos a la gente y crean competición y conflictos.

13. Instituir un programa vigoroso de educación y auto mejora

14. Poner a todos en la compañía a trabajar para llevar a cabo la transformación. La transformación

estrabajo de todos.

Para administrar una red de informacion con calidad creo que tengo que seguir el ciclo de demig

AUDITORIA INFORMATICA

La auditoría informática es un examen metódico del servicio informático, o de un sistema informático en particular, realizado de forma puntual y de modo discontinuo, a instancias de la Dirección, con la intención de ayudar a mejorar conceptos como la seguridad, la eficiencia, y la rentabilidad del servicio, o del sistema, que resultan auditados.

En esta definición hay cuatro palabras que destacan sobremanera: examen, metódico, puntual, discontinuo. Esta relevancia podría justificarse diciendo que la auditoria informática es un examen, pues debe partir de una situación dada; que este es un metódico, puesto que seguirá un plan de trabajo perfectamente sistematizado que permite llegar a conclusiones suficientemente fundamentadas; que es puntual, ya que se da un corte en el calendario para llevarla a cabo, y que es discontinua, extraña al servicio de informática, en aras de buscar la objetividad requerida, por lo que será ejecutada por personas ajenas al departamento independientes de las funciones a auditar.

El examen que comporta una auditoria informática abarca una serie de controles, verificaciones, juicios, etc., para concluir en un conjunto de recomendaciones y un plan de acción. Es la elaboración de este plan de acción lo que diferencia la auditoria informática de lo que, por lo visto hasta ahora, podría ser una auditoria de gestión. La auditoría tradicional concluye emitiendo un juicio del estado de todo aquello que se ha verificado, la auditoria informática avanza un paso más y se atreve a elaborar un plan de actuación.

Concluye este punto con un breve cuadro comparativo entre auditoria, control de gestión.

URL

http://books.google.com.mx/books?id=gh_jwmkssdYC&printsec=frontcover&dq=auditoria+informatica&hl=es&ei=2ZHlTLbYGIjAsAPEyZCxCw&sa=X&oi=book_result&ct=result&resnum=1&ved=0CC0Q6AEwAA#v=onepage&q=auditoria%20informatica&f=false

Páginas 39 a 41.

REVISIÓN DE LA DOCUMENTACIÓN DEL PLAN DE SEGURIDAD DEFINIDO POR LA EMPRESA

¿Qué ha sucedido en las empresas gracias al procesamiento Electrónico de Datos?

Los procedimientos manuales que eran realizados por seres humanos utilizando recursos visibles, tangibles y comprensibles para sus compañeros, se han ido transformando, con el tiempo, en actividades que comparten seres humanos con máquinas y que ya no son fácilmente comprensibles por otros seres humanos.

Lo que podría tranquilizarnos es que esta dificultad se presenta solo en aquellos campos de acción que han sido invadidos por el PED, a lo que podríamos preguntar: ¿Cuáles actividades han sido apoyadas por el PED? Lógicamente, la respuesta seria: ¡Prácticamente todas!

¿Quién se imagina hoy un banco sin computadores, una línea aérea sin computador, un contador sin computador? Imagine el lector distintas actividades con las que se relaciona en su diario actuar sin la ayuda de un computador.

Relacionado con la forma en que el PED se introduce cada vez más en nuestra vida cotidiana, el lector debe tomar conciencia de que hoy nos enfrentamos a tarea muy automatizadas, por ejemplo, la siguiente operación, cada día más frecuente, que se lleva a cabo en algunas cadenas de supermercados.

URL

http://books.google.com.mx/books?id=-QzheOZIQ0kC&dq=auditoria+informatica&q=la+documentaci%C3%B3n+del+plan+de+seguridad+#v=onepage&q=la%20documentaci%C3%B3n%20del%20plan%20de%20seguridad&f=false

Páginas 5 y6.

SEGURIDAD LÓGICA Y SEGURIDAD FÍSICA

Así las cosas, el auditor, por naturaleza desconfiado, puede requerir una ayuda, o más que una ayuda, una certificación de que todo aquello que esta mecanizado no tiene <<bugs>> ocultos por ningún lado. Consecuencia de ello surgen:

– La revisión de los procedimientos de control interno.

– Controles generales.

– Revisión de aplicaciones (lógica, diseño, controles programados, informes,…).

– Revisión de programas (lógica).

– Seguridad física (controles físicos, <<back-up´s>>, prevención de desastres).

Con lo que el auditor financiero podrá dar más consistencia a sus juicios y conclusiones.

En relación con la auditoria interna.

Dentro del ámbito de la propia organización y en relación con el examen que ellos mismos puedan hacerse sobre su situación informática, se puede mencionar algunas causas que motiven la auditoria informática, causas tales como:

– Conocer

http://books.google.com.mx/books?id=gh_jwmkssdYC&dq=auditoria+informatica&q=seguridad+l%C3%B3gica+y+seguridad+f%C3%ADsica.#v=snippet&q=seguridad%20l%C3%B3gica%20y%20seguridad%20f%C3%ADsica.&f=false

Pagina 44.

Comentarios

leonardo david vilchis arias

Filed under: leonardo david

noviembre 5, 2010

View full article »

Yeimi Pacheco Alejo.

Filed under: Uncategorized — 1 comentario

octubre 20, 2010

Hola, como les va????, por cierto estan reprobados!!!!!!

Aplicar estándares de protección de la información.

Determinar riesgos de seguridad informática con base en las características del equipo y las necesidades del usuario.

Actividad

Clasifica en equipos de trabajo los riesgos informáticos a que está expuesta una empresa y realiza una breve descripción de cada uno de ellos, considerando:

Los riesgos lógicos y que parámetros los caracteriza:

Una empresa está expuesta a los riesgos lógicos, cuando hacker roba la información más importante de una empresa, cuando la computadora adquiere un virus e infecta los archivos de la empresa.

riesgos lógicos: fraude informático, espionaje, daño por virus, ataques de intrusión o denegación de servicios,…

Códigos maliciosos:

Es un conjunto de programas que tienen como un fin dañar a la computadora, pueden ser sentencias incluso pueden ser macros y códigos que se ejecutan directamente en una página web.

Estos pueden expenderse por la computadora en una red, puede eliminar archivos, puede formatear el disco duro.

Spam:

También llamado correo basura a los mensajes solicitados con el remitente desconocido, puede ser de tipo publicitario, enviados en grandes cantidades perjudican en varias maneras al receptor.

Spam también pueden ser virus sueltos en la red y paginas filtradas, que se activa mediante el ingreso a las páginas de internet.

El nombre de Spam tiene sus orígenes en los estados unidos de américa, llamada hormel`s spiced ham fue alimento para los soldados soviéticos y británicos en la segunda guerra mundial desde 1957 fue comercializado en latas que ahorran al consumidor el uso de abrelatas, más adelante empezó hacer burla de lacarne y comenzó a gritar spam en diverso anuncios se trasladó al correo electrónico no solicitado.

Piratería:

La piratería informática es la distribución o reducción ilegal del software esto quiere decir que copean el software y lo instalan en computadoras o venden la información la propagan, es un delito que es castigado por la ley.

La piratería se presenta de diversas formas. Estas son algunas de las formas de piratería más habituales:

Fuga de información:

La mayor parte de las empresas pierden información valiosa por el extravío de los dispositivos electrónicos y en menor porcentaje por robo.

De acuerdo a estudios de mercado, 63% de las empresas públicas y privadas pierden anualmente archivos de información valiosa, pero solo 23% es por robo. De la pérdida de información 57% se debe al extravío de equipos portátiles, como computadoras, celulares, agendas electrónicas, o dispositivos como discos compactos y memorias USB.

Las personas en general utilizan sus computadoras portátiles en lugares públicos sin considerar que las actividades que realizan en ellas, pueden estar siendo observadas por alguna persona que no debe tener acceso a dicha información. Tener mecanismos de destrucción controlada de información una vez que los dispositivos van a reasignarse, también es un elemento de protección.

Ingeniería social:

En el campo de la inseguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

Intrusos informáticos:

También llamados hacker estos pueden robar información y la adaptan a sus beneficios se dan el crédito cuando otros desarrollaron el software.

Otro tipo de intrusos son los phishing que pueden obtener información de cuentas, información importante para utilizarse para un fin malicioso.

Los riesgos físicos y los parámetros que los caracterizan:

Las empresas pueden estar en riesgos físicos cuando se ocasione un incendio y dañe a la computadora, inundaciones y dañe la computadora, sabotajes cuando un intruso robe la información dentro de la empresa, vandalismo si alguien roba un máquina y los usuarios no hallan asegurado, accesos indebidos o no deseados.

Genera una tabla de riesgos con todos los parámetros anteriores:

A continuación se muestra una tabla de ejemplos sobre los riesgos y que impacto tienen.

Riesgo	Probabilidad	Impacto	Tipo de riesgo
Caída de red	Media	Alto	Lógico
Inadecuado controles de acceso	Alta	Bajo	Físico
Caída de servicios de producción	Media	Bajo	Lógico
Incendio	Baja	Bajo	Físico
Extracción y destrucción de información confidencial	Baja	Alto	Lógico
Robo	Media	Alto	Físico
Uso inadecuado de las instalaciones	Alta	Media	Lógico
Desastres naturales	Baja	Alto	Físico
Ataques de virus informáticos	Alto	Alto	Lógico
Fuga de información	Media	Alto	Lógico
Pérdida de información	Baja	Medio	Lógico
Descontrol del personal	Media	Bajo	Lógico
Spam	Alta	Medio	Lógico
Piratería	media	Alta	Físico, lógico
Códigos maliciosos	Alta	Alta	Lógico
Intrusos informáticos	media	alta	Físico, lógico

Cuestionario:

¿Cuál es tu nombre?

Leonardo David vilchis arias

¿Qué papel desempeñas dentro de la empresa?

Jefe de departamento de redes

¿Cuál es tu aria de trabajo?

Sistemas

¿Cuáles son tus herramientas de trabajo?

Computadoras

¿Tienes especialidad?

¿Cuánto gana?

17,500

¿Cómo es tu relación con tus compañeros de trabajo?

Es buena

¿Además de este empleo realizas otra actividad?

¿Qué horario de trabajo tienes?

De2:00 a 21:00 horas

¿te conviene venir de tu casa al trabajo?

Si, no me queda muy lejos

¿Tienes oficina propia?

¿Puedes viajar?

¿Tienes una familia que dependa de ti?

¿Tienes antecedentes penales ?

No, soy bueno

¿Cómo sientes el ambiente de trabajo?

Un poco pesado

¿Dominas otro idioma?

Si, el ingles

¿Tienes casa propia?

¿Cuántos años tienes?

¿Cuánto tiempo tienes trabajando dentro de la empresa?

Un año

¿Tienes alguna adicción?

¿Tienes alguna contraseña que te permita acceder a los documentos de la empresa?

Si soy socio

¿Con que tipo de equipo cuenta tu empresa?

Con equipo muy actualizado para realizar las actividades

¿Tienes seguro de vida?

¿La seguridad de tu equipo va por niveles o es fija?

Por niveles no cualquiera puede entrar

¿Cuántos tipos de sistemas operativos dominas aparte de Windows?

Linux y solaris.

México DF. a 11 de noviembre del 2010.

Practica calidad

Objetivo:

El alumno conocerá, manejara y aplicara los conceptos de calidad aplicados al manejo de la seguridad informática.

DESARROLLO:

1.-Investiga el concepto de calidad.

2.-Cual es la función de la calidad en el manejo del equipo de cómputo.

3.-Como aplicamos en la seguridad informática el concepto de calidad.

4.-Define que es un ISO.

5.-Describe los tipos de ISO que existen en la aplicación de la calidad y donde se aplican cada uno de ellos.

6.-Investiga quienes fueron los principales fundadores del concepto calidad y cuáles fueron los fundamentos de cada uno de los ideólogos.

7.-Mencina como aplicarías los conceptos anteriores en el manejo de la seguridad de la información.

8.-Investiga cuales son los pasos a seguir para el manejo de la información dentro de una empresa.

9.-Describe el concepto de esqueleto de pescado propuesto por Deming.

10.-Para administrar una red de información con calidad que pasos tienes tú que seguir.

Concept calidad, y que tipo de calidad que existen.

Introducción a la calidad

La Calidad se puede definir como la capacidad de lograr objetivos de operación buscados. La norma ISO 8402-94 define la calidad como:

El conjunto de características de una entidad que le otorgan la capacidad de satisfacer necesidades expresas e implícitas.

La norma ISO 9000:2000 la define como:

La capacidad de un conjunto de características intrínsecas para satisfacer requisitos.

En la práctica, hay dos tipos de calidad:

Calidad externa, que corresponde a la satisfacción de los clientes. El logro de la calidad externa requiere proporcionar productos o servicios que satisfagan las expectativas del cliente para establecer lealtad con el cliente y de ese modo mejorar la participación en el mercado. Los beneficiarios de la calidad externa son los clientes y los socios externos de una compañía. Por lo tanto, este tipo de procedimientos requiere escuchar a los clientes y también debe permitir que se consideren las necesidades implícitas que los clientes no expresan.
Calidad interna, que corresponde al mejoramiento de la operación interna de una compañía. El propósito de la calidad interna es implementar los medios para permitir la mejor descripción posible de la organización y detectar y limitar los funcionamientos incorrectos. Los beneficiarios de la calidad interna son la administración y los empleados de la compañía. La calidad interna pasa generalmente por una etapa participativa en la que se identifican y formalizan los procesos internos.

Mejoras continuas

Este ciclo, representado en el ciclo de Deming, se llama modelo PDCA. PDCA se refiere a las iniciales del inglés de los siguientes cuatro pasos:

Planear (plan): definir los objetivos a alcanzar y planificar cómo implementar las acciones
Hacer (do): implementar las acciones correctivas
Controlar (check): verificar que se logre el conjunto de objetivos
Actuar (act): según los resultados obtenidos en el paso anterior, tomar medidas preventivas

Procedimiento de calidad

Garantía de calidad

La familia de normas ISO 9000 (ISO 9000, ISO 9001, IS0 9004, ISO 10011)
EFQM (Fundación Europea para la Gestión de la Calidad)

Gestión de calidad total

Cuál es la función de calidad en el manejo del equipo de cómputo:

Por tanto, no es admisible que si la función de un centro de cómputo es simplificar las

labores administrativas, éstas en muchos casos terminen por ser más complicadas.

Administración

La administración se define como el proceso de crear, diseñar y mantener un ambiente en el que las personas al laborar o trabajar en grupos, alcancen con eficiencia metas seleccionadas.

Las personas realizan funciones administrativas de planeación, organización,

integración de personal, dirección y control.
* La administración se aplica en todo tipo de corporación.
* Es aplicable a los administradores en todos los niveles de corporación.

* La administración se ocupa del rendimiento; esto implica eficacia y eficiencia.

La administración en la Era de la Información se caracteriza por la simplicidad,

agilidad, flexibilidad, excelencia y mejora continua.

a. Énfasis en la Calidad.

Según Edwads Deming, calidad es ofrecer productos y servicios a bajo costo que

satisfagan necesidades de los clientes.
Tecnicas de calidad:
–

Benchmarking.

–

Outsourcing

–

Reducción del ciclo del trabajo.

b. Énfasis de los Recursos Intangibles.

Se caracteriza por tomar en consideración los siguientes aspectos:

–

Importa el conocimiento y la información

–

Activos intangibles es el Capital Intelectual.

–

Difícil de identificar.
Componentes del capital intelectual:
–

Capital Humano.

–

Capital Organizativo.

–

Capital Tecnológico.

–

Capital de relaciones.

Como aplicamos el concepto de calidad en la seguridad informática

Define que es un iso

Describe los tipos de ISO que existen en la aplicación de la calidad y donde se aplican cada uno de ellos.

Quienes fueron los principales fundadores del concepto calidad y cuáles fueron los fundamentos de cada uno de los ideólogos.

[editar] La calidad japonesa

Menciona como aplicarías los conceptos anteriores en el manejo de la seguridad de la información.

Que es el esqueleto de pescado que propuso demig

William Edwards Deming (14 de octubre de 1900 – 20 de diciembre de 1993). Estadístico

estadounidense, profesor universitario, autor de textos, consultor y difusor del concepto de calidad total.

Su nombre está asociado al desarrollo y crecimiento de Japón después de la (Segunda Guerra Mundial).

En 1947 el General Mac Arthur invita al Dr. Deming a ayudar en el primer censo en Japón.

Las ideas de Deming se recogen en los Catorce Puntos y Siete Enfermedades de la Gerencia de Deming,

son los siguientes.

Los 14 puntos de Deming. [editar]

1. Crear constancia en el mejoramiento de productos y servicios, con el objetivo de ser competitivo

y mantenerse en el negocio, además proporcionar puestos de trabajo.

2. Adoptar una nueva filosofía de cooperación en la cual todos se benefician, y ponerla en práctica

enseñándola a los empleados, clientes y proveedores.

3. Desistir de la dependencia en la inspección en masa para lograr calidad. En lugar de esto,

mejorar el proceso e incluir calidad en el producto desde el comienzo.

6. Establecer entrenamiento dentro del trabajo (capacitación).

8. Eliminar el miedo y construir confianza, de esta manera todos podrán trabajar más

eficientemente.

9. Borrar las barreras entre los departamentos. Abolir la competición y construir un sistema de

cooperación basado en el mutuo beneficio que abarque toda la organización.

11. Eliminar cuotas numéricas y la gestión por objetivos

13. Instituir un programa vigoroso de educación y auto mejora

14. Poner a todos en la compañía a trabajar para llevar a cabo la transformación. La transformación

estrabajo de todos.

Para administrar una red de informacion con calidad creo que tengo que seguir el ciclo de demig

AUDITORIA INFORMATICA

Concluye este punto con un breve cuadro comparativo entre auditoria, control de gestión.

URL

Páginas 39 a 41.

REVISIÓN DE LA DOCUMENTACIÓN DEL PLAN DE SEGURIDAD DEFINIDO POR LA EMPRESA

¿Qué ha sucedido en las empresas gracias al procesamiento Electrónico de Datos?

URL

http://books.google.com.mx/books?id=-QzheOZIQ0kC&dq=auditoria+informatica&q=la+documentaci%C3%B3n+del+plan+de+seguridad+#v=onepage&q=la%20documentaci%C3%B3n%20del%20plan%20de%20seguridad&f=false

Páginas 5 y6.

SEGURIDAD LÓGICA Y SEGURIDAD FÍSICA

– La revisión de los procedimientos de control interno.

– Controles generales.

– Revisión de aplicaciones (lógica, diseño, controles programados, informes,…).

– Revisión de programas (lógica).

– Seguridad física (controles físicos, <<back-up´s>>, prevención de desastres).

Con lo que el auditor financiero podrá dar más consistencia a sus juicios y conclusiones.

En relación con la auditoria interna.

– Conocer

Pagina 44.

Comentarios

ACTIVIDAD DE LA PRACTICA 3

Filed under: Uncategorized — Deja un comentario

septiembre 9, 2010

Aunque se desarrolló durante los años 1980, ITIL no fue ampliamente adoptada hasta mediados de los años 1990. Esta mayor adopción y conocimiento ha llevado a varios estándares, incluyendo ISO/IEC 20000, que es una norma internacional cubriendo los elementos de gestión de servicios de TI de ITIL. ITIL se considera a menudo junto con otros marcos de trabajo de mejores prácticas como la Information Services Procurement Library (ISPL, ‘Biblioteca de adquisición de servicios de información’), la Application Services Library (ASL, ‘Biblioteca de servicios de aplicativos’), el método de desarrollo de sistemas dinámicos (DSDM, Dynamic Systems Development Method), el Modelo de Capacidad y Madurez (CMM/CMMI) y a menudo se relaciona con la gobernanza de tecnologías de la información mediante COBIT (Control Objectives for Information and related Technology).

El concepto de gestión de servicios de TI, aunque relacionado con ITIL, no es idéntico: ITIL contiene una sección específicamente titulada «Gestión de Servicios de TI» (la combinación de los volúmenes de Servicio de Soporte y Prestación de Servicios, que son un ejemplo específico de un marco ITSM). Sin embargo es importante señalar que existen otros marcos parecidos. La Gestión de Servicio ITIL está actualmente integrado en el estándar ISO 20000 (anterior BS 15000).

ITIL se construye en torno a una vista basada en proceso-modelo del control y gestión de las operaciones a menudo atribuida a W. Edwards Deming. Las recomendaciones de ITIL fueron desarrolladas en los años 1980 por la Central Computer and Telecommunications Agency (CCTA) del gobierno británico como respuesta a la creciente dependencia de las tecnologías de la información y al reconocimiento de que sin prácticas estándar, los contratos de las agencias estatales y del sector privado creaban independientemente sus propias prácticas de gestión de TI y duplicaban esfuerzos dentro de sus proyectos TIC, lo que resultaba en errores comunes y mayores costes.

ITIL fue publicado como un conjunto de libros, cada uno dedicado a un área específica dentro de la Gestión de TI. Los nombres ITIL e IT Infrastructure Library (‘Biblioteca de infraestructura de TI’) son marcas registradas de la Office of Government Commerce (‘Oficina de comercio gubernamental’, OGC), que es una división del Ministerio de Hacienda del Reino Unido.

En abril de 2001 la CCTA fue integrada en la OGC, desapareciendo como organización separada.^[1]

En diciembre de 2005, la OGC emitió un aviso de una actualización a ITIL,^[2] conocida comúnmente como ITIL v3, que estuvo planificada para ser publicada a finales de 2006; habiendo sido realizada en junio de 2007. Se esperaba que la publicación de ITIL versión 3 incluya cinco libros principales, concretamente: Diseño de Servicios de TI, Introducción de los Servicios de TI, Operación de los Servicios de TI, Mejora de los Servicios de TI y Estrategias de los Servicios de TI, consolidando buena parte de las prácticas actuales de la versión 2 en torno al Ciclo de Vida de los Servicios.

Uno de los principales beneficios propugnado por los defensores de ITIL dentro de la comunidad de TI es que proporciona un vocabulario común, consistente en un glosario de términos precisamente definidos y ampliamente aceptados. Un nuevo glosario ampliado ha sido desarrollado como entregable clave de ITIL versión 3.

COBIT

El modelo COBIT para auditoría y control de sistemas de información

La evaluación de los requerimientos del negocio, los recursos y procesos IT, son puntos bastante importantes para el buen funcionamiento de una compañía y para el aseguramiento de su supervivencia en el mercado.

El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso.

Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association).

La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el recurso humano, instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.

El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles específicos de IT desde una perspectiva de negocios.

“La adecuada implementación de un modelo COBIT en una organización, provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK.

COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.

COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.

El conjunto de lineamientos y estándares internacionales conocidos como COBIT, define un marco de referencia que clasifica los procesos de las unidades de tecnología de información de las organizaciones en cuatro “dominios” principales, a saber:

– Planificación y organización
– Adquisición e implantación
– Soporte y Servicios
– Monitoreo

Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Estos dominios y objetivos de control facilitan que la generación y procesamiento de la información cumplan con las características de efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad.

Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de información, tales como: datos, aplicaciones, plataformas tecnológicas, instalaciones y recurso humano.

“Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un proceso de reingeniería en aras de reducir los índices de incertidumbre sobre vulnerabilidades y riesgos de los recursos IT y consecuentemente, sobre la posibilidad de evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK.

ISM3

La publicación del ISM3 (Information Security Management Maturity Model) ofrece un nuevo enfoque de los sistemas de gestión de seguridad de la información (ISM). ISM3 nace de la observación del contraste existente entre el número de organizaciones certificadas ISO9000 (unas 350,000), y las certificadas BS7799-2:2002 (unos cientos en todo el mundo). ISM3 pretende cubrir la necesidad de un estándar simple y aplicable de calidad para sistemas de gestión de la seguridad de la información. ISM3 proporciona un marco para ISM que puede utilizarse tanto por pequeñas organizaciones que realizan sus primeros esfuerzos, como a un nivel alto de sofisticación por grandes organizaciones como parte de sus procesos de seguridad de la información…

Al igual que otros estándares del ISECOM, ISM3 se proporciona con una licencia de “código libre”, tiene una curva de aprendizaje suave, y puede utilizarse para fortalecer sistemas ISM en organizaciones que utilicen estándares como COBIT, ITIL, CMMI y ISO17799. Está estructurado en niveles de madurez, de modo que cada organización puede elegir un nivel adecuado para su negocio, y cubrir ese objetivo en varias etapas.

En lugar de depender exclusivamente de métodos caros de análisis de riesgos, que suponen una barrera a la implantación de sistemas de ISM, ISM3 sigue un punto de vista cualitativo, empezando por analizar los requerimientos de seguridad del negocio. Permite a la empresa aprovechar la infraestructura actual, fortaleciéndola mediante un sistema de calidad, y alcanzado niveles de madurez certificables según el sistema de ISM evoluciona.

Utiliza un modelo de gestión para diferenciar las tareas de seguridad operativa que previenen y mitigan incidentes del tareas estratégicas y tácticas que identifican los activos a proteger, las medidas de seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un proceso de certificación que permite a una organización autoevaluar su madurez, o bien obtener una certificación de un auditor independiente.

Algunas características significativas de ISM3 son:

Métricas de Seguridad de la Información – «Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar» – ISM3 v1.20 hace de la seguridad un proceso medible mediante métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.
Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.
Basado el Procesos – ISM3 v1.20 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.
Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa.
Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.
Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.

BS 1779

Debido a la necesidad de securizar la información que poseen las organizaciones era precisa la existencia de alguna normativa o estándar que englobase todos los aspectos a tener en consideración por parte de las organizaciones para protegerse eficientemente frente a todos los probables incidentes que pudiesen afectarla, ante esta disyuntiva apareció el BS 7799, o estándar para la gestión de la seguridad de la información, un estándar desarrollado por el British Standard Institute en 1999 en el que se engloban todos los aspectos relacionados con la gestión de la seguridad de la información dentro de la organización. Esta normativa británica acabó desembocando en la actual ISO/IEC 17799:2000 – Code of practice information security management.

En un principio se consideraba por parte de las empresas que tenían que protegerse de lo externo, de los peligros de Internet, pero con el paso del tiempo se están percatando de que no sólo existen este tipo de amenazas sino que también hay peligros dentro de la organización y todos éstos deberían ser contemplados a la hora de securizarse. La aparición de esta normativa de carácter internacional ha supuesto una buena guía para las empresas que pretenden mantener de forma segura sus activos.

La ISO/IEC 17799:2000 considera la organización como una totalidad y tiene en consideración todos los posibles aspectos que se pueden ver afectados ante los posibles incidentes que puedan producirse. Esta norma se estructura en 10 dominios en los que cada uno de ellos hace referencia a un aspecto de la seguridad de la organización:

Política de seguridad
Aspectos organizativos para la seguridad
Clasificación y control de activos
Seguridad del personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de continuidad del negocio
Conformidad legal

En resumen esta norma pretende aportar las bases para tener en consideración todos y cada uno de los aspectos que puede suponer un incidente en las actividades de negocio de la organización.

Esta norma es aplicable a cualquier empresa, sea cual sea el tamaño, la actividad de negocio o el volumen del mismo, esto es lo que se denomina el principio de proporcionalidad de la norma, es decir que todos los aspectos que aparecen en la normativa deben ser contemplados y tenidos en cuenta por todas las organizaciones a la hora de proteger sus activos, y la diferencia radicará en que una gran organización tendrá que utilizar más recursos para proteger activos similares a los que puede poseer una pequeña organización. De la misma forma, dos organizaciones que tengan actividades de negocio muy diferentes, no dedicarán los mismos esfuerzos a proteger los mismos activos/informaciones. En pocas palabras, esta norma debe tenerse como guía de los aspectos que deben tener controlados y no quiere decir que todos los aspectos que en ella aparecen tienen que ser implementados con los últimos avances, eso dependerá de la naturaleza de la propia organización.

Como hemos comentado la ISO/IEC 17799:2000 es una guía de buenas prácticas, lo que quiere decir que no especifica como se deben proteger los aspectos que aparecen indicados en ella, ya que estas decisiones dependerán de las características de la organización. Es por ello que en la actualidad no es posible que las organizaciones se puedan certificar contra este estándar, ya que no posee las especificaciones para ello.

Por el contrario, la precursora de esta norma, el BS 7799 sí que posee estas dos partes, una primera que representa el código de buenas prácticas y una segunda que los las especificaciones para la gestión de la seguridad de los sistemas de información, y es contra esta segunda parte contra la que las organizaciones que lo deseen pueden certificarse. La ISO (Internacional Organization for Standardization) en la actualidad está trabajando para confeccionar esta segunda parte del ISO/IEC 17799 con el objetivo de que las organizaciones puedan certificarse contra esta norma de carácter internacional.

Así mismo esta normativa internacional ha servido a su vez como precursora para otras de carácter nacional y en el caso de España, en noviembre de 2002 ya surgió la normativa UNE-ISO/IEC 17799 Código de buenas prácticas para la Gestión de la Seguridad de la Información elaborada por AENOR y que a su vez está desarrollando la segunda parte de esta normativa para que las empresas de ámbito nacional puedan certificarse contra ella.

Como conclusiones se puede decir que la normativa ISO/IEC 17799:2000 debe ser utilizada como un índice de los puntos que pueden provocar algún tipo de incidente de seguridad en una organización para que éstas se puedan proteger de los mismos, sin olvidarse aquellos que puedan parecer más sencillos de controlar hasta llegar a los que pueden suponer un mayor dispendio de recursos a las organizaciones.

¿QUÉ ES LA SERIE ISO 27000?

Como las normas internacionales sobre seguridad de la información, ISO 27001 e ISO 27002 (también conocida como ISO 17799), por su propia naturaleza, de gran complejidad. But whether you wish to pursue certification, achieve compliance, or simply position your organization against them, the first question usually is: where do you start? Pero si desea buscar la certificación, lograr el cumplimiento, o simplemente la posición de su organización en contra de ellos, la primera pregunta suele ser: ¿por dónde empezar?

THE ISO27000 TOOLKIT LA GUÍA ISO27000

The answer to this question surely is The ISO27000 Toolkit . La respuesta a esta pregunta sin duda es La Caja de Herramientas ISO27000. This is a series of materials and documents brought together specifically to help you achieve these objectives, and support both ISO27001 and ISO27002 (ISO17799). Esta es una serie de materiales y documentos reunidos específicamente para ayudar a alcanzar estos objetivos, y el apoyo tanto ISO27001 y ISO27002 (ISO17799).

It comprises the following essential components: Está formado por los siguientes componentes esenciales:

	Both parts of the standard: ISO 27002 (formerly ISO 17799) and ISO 27001 Ambas partes de la norma: ISO 27002 (anteriormente ISO 17799) e ISO 27001
	A management presentation Una presentación de gestión
	A complete set of ISO 27002 compliant information security policies Un juego completo de la norma ISO 27002 de seguridad compatibles con las políticas de información
	A Business Continuity Kit (Ref: section 12) Un kit de Continuidad del Negocio (Ref: artículo 12)
	A jargon busting glossary of information security and IT terms Un glosario de la jerga que revienta de seguridad de la información y los términos de TI
	A BIA questionnaire Un cuestionario BIA
	The certification roadmap La hoja de ruta de certificación
	The essential audit kit (Ref: section 12) for a network system El kit de auditoría esenciales (Ref: artículo 12) para un sistema de red

THE ESSENTIAL STARTER KIT El Starter Kit ESENCIALES

The ISO 27000 Toolkit will get you off to an excellent start in understanding the two ISO 27000 standards, and addressing the key issues. La ISO 27000 Toolkit le baje a un excelente comienzo en la comprensión de la norma ISO 27000 dos normas, y abordar las cuestiones clave. Further, the support resources and materials included in the kit should prove to be useful for many years to come. Además, los recursos de apoyo y los materiales incluidos en el kit deben ser útil durante muchos años por venir.

All the items in the kit have been designed and created from the standpoint of helping with the ISO 27001 and ISO 27002 compliance initiative. Indeed, their quality is such, that some are sold stand alone, as independent security products. Todos los elementos del kit han sido diseñadas y creadas desde la perspectiva de ayudar a la norma ISO 27001 y ISO 27002 iniciativa de cumplimiento. De hecho, su calidad es tal, que algunos se venden independiente, como productos de seguridad independiente. However, purchase within the toolkit delivers significant and substantial savings. Sin embargo, la compra dentro de la caja de herramientas proporciona un ahorro significativo y sustancial.

Each item within the toolkit is described more fully on its own page. Cada elemento de la guía se describe con más detalle en su propia página. To view, simply select from the menu on the left hand side. Para ver, sólo tiene que seleccionar en el menú de la izquierda. For more information, please feel free to contact us Para obtener más información, por favor no dude en contactar con nosotros

PURCHASE & DOWNLOAD COMPRA y DESCARGA

To purchase the product and download the full toolkit for a special price of just $995, please visit our secure ISO27000 purchase page . Para adquirir el producto y descargar la guía completa a un precio especial de sólo US $ 995, por favor visite nuestra página de compra segura ISO27000 .

Información de seguridad frente a la seguridad informática

Q: “The titles of the ISO27k standards mention ‘Information Technology — Security Techniques’. Does this mean they only apply to IT?” Q: «Los títulos de las normas mencionar ISO27k ‘Tecnologías de la Información – Técnicas de Seguridad». ¿Significa esto que sólo se aplican a ella? «

A: No, most certainly not! The formal titles simply reflect the name of the joint ISO + IEC committee that oversees their production, namely SC27 “Information Technology — Security Techniques”, itself a subcommittee of JTC1 “Information Technology”. R: No los títulos, la mayoría de ninguna manera! El formales reflejan simplemente el nombre de la articulación + IEC comité de la ISO que supervisa su producción, a saber, SC27 «Tecnologías de la Información – Técnicas de Seguridad», en sí un subcomité del JTC1 «Tecnologías de la Información».

The scope of the ISO27k standards naturally includes many aspects of IT but does not stop there. The introduction to ISO/IEC 27002 states explicitly: “Information can exist in many forms. It can be printed or written on paper, stored electronically, transmitted by post of using electronic means, shown on films, or spoken in conversation. Whatever form information takes, or means by which it is shared or stored, it should always be appropriately protected.” El ámbito de aplicación de las normas ISO27k incluye, naturalmente, muchos de sus aspectos pero no se detiene allí. En la introducción de la norma ISO / IEC 27002 establece expresamente: «La información puede existir en muchas formas. Puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por después de emplear medios electrónicos, que se muestra en las películas, o se habla en la conversación. Cualquiera que sea la forma toma la información, o medio por el que se comparte o almacenados, siempre debe estar bien protegidos «.

Not all an organization’s information assets belongs to or are managed within the IT function. IT typically owns and manages the shared IT infrastructure (the main corporate IT and network systems) but acts as a custodian for most corporate information content which belongs to other business units, and for other content belonging to customers and business partners. There are important implications in that information owners are accountable for ensuring that their information assets are adequately protected, just like other corporate assets. While information asset owners generally delegate key responsibilities for information security to an information security management function and/or IT function, they remain accountable and must ensure that information security is adequately funded and supported to achieve the necessary level of protection. información No todos los de la organización los activos pertenecen o son gestionados dentro de la función de TI. TI normalmente posee y gestiona la infraestructura informática compartida (la empresa principal y de los sistemas de red), sino que actúa como custodio de la mayoría de los contenidos de información corporativa que pertenece a otras unidades de negocio , y para otros contenidos pertenecen a los clientes y socios comerciales. Hay implicaciones importantes en la información que los propietarios son responsables de garantizar que sus activos de información están adecuadamente protegidos, al igual que otros activos de la empresa. Si bien los propietarios de activos de información general, delegar responsabilidades clave para la seguridad de la información a una función de gestión de seguridad de la información y / o la función de TI, que sean responsables y deben garantizar que la seguridad de la información está adecuadamente financiado y apoyado para alcanzar el nivel necesario de protección.

Implementation tip : think of IT as custodians of the subset of all information assets which exist as computer data and systems. In most cases they are not the asset owners as such, and furthermore they have little involvement in other information assets such as paperwork and knowledge. It helps to focus first on critical business processes rather than the IT systems which often support or enable them. punta de Aplicación: Piense en ello como custodios del subconjunto de todos los activos de información existentes como los datos informáticos y sistemas. En la mayoría de los casos no son los propietarios de activos como tal, y, además, tienen poca participación en los activos de otra información, como documentos y conocimientos . Ayuda a centrarse primero en los procesos críticos de negocio en lugar de los sistemas informáticos que a menudo apoyan o que puedan.

Q: “When creating an ISMS, is it an absolute necessity to include members from all aspects of the business (business owners, finance, legal, HR, etc .)? I don’t see the ISMS as being IT Security driven. I see it as being driven by the business with IT Security input. Am I correct?” Q: «Al crear un SGSI, es una absoluta necesidad de incluir a miembros de todos los aspectos de la empresa (los dueños de negocios, finanzas, legal, recursos humanos, etc.)? No veo el SGSI como la seguridad informática impulsadas. I lo ven como siendo impulsado por el negocio con TI de entrada de seguridad. Estoy en lo correcto? «

A : ISO27k is most definitely about information security management systems . IT security is of course a large part these days, given that so much information is communicated, stored and processed on computers, but non-computerized information assets (files, paperwork, printouts, knowledge) are still valuable corporate assets that deserve protection just as much as computer data, if not more so in the case of many forms of proprietary knowledge. What’s more, the average IT department does not own and hence lacks full and total control of all the computer data, systems and/or networks in the entire organization, so limiting the scope of the ISMS to IT would not necessarily protect all the data to the same degree. R: ISO27k es definitivamente acerca de la seguridad los sistemas de gestión de la información. Seguridad de TI es, por supuesto, una gran parte en estos días, dado que mucha información para que se comunique, almacenada y procesada en computadoras, pero no está informatizado activos de información (archivos, documentos, impresos, conocimiento) siguen siendo valiosos activos de la empresa que merecen protección, tanto como los datos informáticos, si no más en el caso de muchas formas de conocimiento de su propiedad. Lo que es más, el promedio departamento de TI, no posee y por lo tanto carece de un control pleno y total de todos los los datos informáticos, sistemas y / o redes en toda la organización, por lo tanto limitar el alcance del SGSI de TI no necesariamente protege todos los datos en el mismo grado.

ISO/IEC 27001 is a deceptively simple and elegant standard. Designing and implementing a compliant and worthwhile ISMS is not trivial for several reasons: ISO / IEC 27001 es una norma sencilla y elegante engañosamente. Diseño e implementación de un SGSI y vale la pena cumple no es trivial, por varias razones:

Information security is inherently complex and difficult to do well, while perfect security is practically unattainable. Whereas hackers, fraudsters and information thieves need only find a small chink in our defences, we must defend all points simultaneously, both around the perimeter and within. Most organizations have a plethora of technical platforms, applications and network connections, plus a raft of non-IT information assets to protect. We all face a range of internal and external threats, including the mundane but ubiquitous errors, accidents, equipment failures, bugs etc . seguridad de la información es de por sí complejo y difícil de hacerlo bien, mientras que la seguridad perfecta es prácticamente inalcanzable. Considerando que los piratas informáticos, estafadores y ladrones de información sólo necesitan encontrar una grieta pequeña en nuestra defensa, tenemos que defender todos los puntos de forma simultánea, tanto en el perímetro y dentro de la mayoría. las organizaciones tienen una gran cantidad de plataformas técnicas, aplicaciones y conexiones de red, además de una serie de no-activos de información de TI a proteger. Todos nos enfrentamos a una serie de amenazas internas y externas, incluyendo los errores, pero omnipresente mundano, accidentes, fallas de equipos, insectos, etc .
The need for information security mirrors the use of and dependence on information, and therefore extends across the enterprise and beyond. It is not only necessary to involve representatives of the entire organization but also business partners, particularly where the organization outsources critical information processes or relies on IT and telecomms services from third parties and hence has a direct interest in their security arrangements. Customers, owners, regulators and other stakeholders share similar concerns, leading to substantial governance and compliance obligations. La necesidad de seguridad de la información refleja el uso y dependencia de la información, y por lo tanto se extiende en toda la empresa y más allá. No sólo es necesaria la participación de representantes de toda la organización, sino también socios comerciales, en particular cuando la organización externaliza procesos o la información crítica se basa de TI y servicios Telecomms de terceros y por lo tanto tiene un interés directo en sus organizaciones de seguridad. Los clientes, los propietarios, los reguladores y otras partes interesadas comparten preocupaciones similares, llevando a la gobernanza sustancial y obligaciones.
Information security threats and vulnerabilities are constantly changing. As with the capital markets, this dynamism creates both risks and opportunities for the organization, especially in competitive environments (which includes national security and government departments by the way!). Agile, security-aware organizations respond to both, but positioning information security as a business enabler is a hard sell to old-fashioned managers with outdated views. amenazas y vulnerabilidades de seguridad de la información están cambiando constantemente. Al igual que con los mercados de capitales, este dinamismo crea a la vez riesgos y oportunidades para la organización, especialmente en ambientes competitivos (que incluye la seguridad nacional y los departamentos gubernamentales por cierto!). ágil, consciente de la seguridad organizaciones responder a ambos, pero la seguridad de información de posicionamiento como un habilitador del negocio es difícil de vender a los directores de la época antigua con puntos de vista anticuados.

It is possible to restrict the scope and apply the ISMS narrowly, perhaps to just IT Department or the data centre. Although this probably loses a significant proportion of the benefits of an enterprise-wide ISMS, it also reduces the costs and typically speeds implementation. Just be careful that you will need to clarify security issues and probably apply additional controls at the scope boundary, meaning additional hidden costs ( eg . explicit security clauses in SLAs and contracts between IT and The Rest). It’s sub-optimal overall but can be a useful tactic to get your ISMS started and build some experience. Es posible limitar el alcance y aplicar el SGSI restrictiva, tal vez solo departamento de TI o el centro de datos. Aunque esto probablemente pierde una proporción significativa de los beneficios de un SGSI en toda la empresa, sino que también reduce los costes y por lo general las velocidades de ejecución. Sólo tenga cuidado que usted tendrá que aclarar las cuestiones de seguridad y, probablemente, aplicar controles adicionales en la frontera alcance, el significado adicional de costes ocultos (por ejemplo. seguridad cláusulas explícitas en los SLA y los contratos entre la TI y el resto). Es inferior al óptimo global, pero se puede una táctica útil para obtener su SGSI en marcha y construir algo de experiencia.

Implementation tip : the organization’s senior management should focus on identifying suitable «information owners» – generally quite senior managers throughout the business – who they will hold personally accountable for adequately protecting ‘their’ assets on behalf of the organization and its stakeholders. The owners, in turn, will call on IT, information security, HR, risk, compliance, legal and/or third parties to provide the protection they require, and to help them clarify and specify their security requirements in the first place through some process of information security risk assessment. The responsibility for security cascades naturally through the organization but accountability rests firmly at the top («the buck stops here»). This is a useful concept because those at the top generally have the budgets and influence to make security happen. punta de aplicación: la alta dirección la organización debe centrarse en la identificación adecuada «dueños de la información» – por lo general bastante altos directivos en toda la empresa – que van a hacer personalmente responsables de la protección adecuada de «sus» activos en nombre de la organización y sus grupos de interés. Los propietarios, a su vez, la palabra de TI, seguridad de la información, recursos humanos, de riesgo, cumplimiento de normas legales y / o de terceros para proporcionar la protección necesaria, y para ayudarles a clarificar y precisar sus requisitos de seguridad, en primer lugar a través de algún proceso de seguridad de la información evaluación de riesgos. La responsabilidad de las cascadas de seguridad naturalmente a través de la organización, pero la responsabilidad recae con firmeza en la parte superior («la pelota se detiene aquí»). Este es un concepto útil, porque los de arriba suelen tener los presupuestos y su influencia para hacer de la seguridad suceder.

: ISO / IEC 27000 , ISO / IEC 27001 , ISO / IEC 27002 , ISO / IEC 27005 , ISO / IEC 27006 y otras normas publicadas se pueden comprar directamente de la ISO o desde el nivel nacional los organismos de normalización y organizaciones comerciales. Vaya en busca de las mejores ofertas, por ejemplo, utilizando esta búsqueda de Google .

If money is tight, it is worth checking the prices for localized/national versions of the standards. ISO sells the standards directly eg . ISO/IEC 27002 costs ~200 Swiss dollars as a PDF or hardcopy. Several national standards bodies release translated versions of the standards in their local languages but all of them go to great lengths to ensure that the translations remain true to the original. Si el dinero es escaso, vale la pena revisar los precios de los localizados / versiones nacionales de las normas. ISO vende directamente las normas por ejemplo. ISO / IEC 27002 ~ 200 dólares los costos de Suiza como un PDF o en papel. Varios organismos nacionales de normalización de liberación de versiones traducidas las normas en sus idiomas locales, pero todos ellos hacen todo lo posible para garantizar que las traducciones siguen siendo fieles al original.

By the way, it is normally worth searching on the full formal names of the standards including the “/IEC” bit, but perhaps not the date since country-specific translations of the standards are often issued later than the original versions (avoid superseded versions though!). Por cierto, normalmente vale la pena buscar en los nombres completos de las normas formales, incluida la «/ IEC» poco, pero tal vez no desde la fecha de traducciones específicas para cada país de las normas se suelen publicar a más tardar las versiones originales (evitar sustituida versiones sin embargo!).

Most if not all of the issued ISO27k standards can be purchased in electronic softcopy and printed hardcopy formats. Hardcopies are easier to read on the train or discuss in meetings. Softcopies are ideal for online searching for specific controls and for cutting and pasting into your own policy documents etc . La mayoría, si no todas las normas emitidas ISO27k se pueden comprar en softcopy formato electrónico e impreso en papel. Copias son más fáciles de leer en el tren o discutir en las reuniones. Copias electrónicas son ideales para la búsqueda en línea para los controles específicos y para cortar y pegar en tu propia documentos de política, etc. (subject to the copyright restrictions). In addition to the usual PDF downloads, standards bodies may license online (intranet) access to the standards, limited by the number of concurrent users – this may be suitable for organizations who implement the standards and want to give their employees instant access to the standards for reference. (Sujeto a las restricciones de derechos de autor). Además de las habituales descargas de PDF, los organismos de normalización podrán conceder licencias en línea (intranet) el acceso a las normas, limitado por el número de usuarios simultáneos – esto puede ser adecuado para las organizaciones que apliquen las normas y quieren dar a sus empleados acceso instantáneo a las normas de referencia.

Implementation tip : Aplicación de punta: ANSI sells downloadable PDFs of ISO/IEC 27001 , ISO/IEC 27002 and ISO/IEC 27006 for just US$30 each (bargain!). ANSI vende PDF descargable de la norma ISO / IEC 27001 , ISO / IEC 27002 y ISO / IEC 27006 por sólo 30 dólares EE.UU. cada negocio (!).

Q: “I want to become an ISO27k consultant. I’m looking for books or courses that teach ISO27k. Is there an exam? Q: «Quiero ser un consultor ISO27k. Estoy buscando libros o cursos que enseñen ISO27k. ¿Hay un examen? … … ” «

A: The best books on the ISO27k standards are the standards themselves – in other words, you should buy and read the standards ( see above ). Being standards, they are quite formal in style but readable and useful. If you are going to implement them, write policies based upon them, consult around them etc . R: La mejor libro sobre las normas ISO27k son las propias normas – en otras palabras, usted debe comprar y leer las normas ( véase más arriba ). Siendo las normas, son muy formales en estilo, pero de fácil lectura y útil. Si usted va a poner en práctica ellos, escribir las políticas basadas en ellos, consulte a su alrededor etc. you will inevitably have to become very familiar with them so buy your copies and start reading! que, inevitablemente, tendrá que familiarizarse con ellos para comprar sus copias y empezar a leer!

The three main standards are essential: Los tres principales normas son esenciales:

ISO/IEC 27000 introduces and gives an overview of the whole set of ISO27k standards, and provides a glossary defining various information security terms specifically as they are used in the context of the standards. ISO / IEC 27000 presenta y ofrece una visión general de todo el conjunto de normas ISO27k, y proporciona un glosario que define varios términos seguridad de la información específica que se utilicen en el contexto de las normas.
ISO/IEC 27001 is the formal certification standard, the ‘Specification for Information Security Management Systems’. It is especially useful if you intend to become a accredited ISMS certification auditor – the usual way of doing that is to go through a training course run by one of the information security management system accredited audit and certification bodies such as the BSI, or various training and consultancy companies. They are generally called “ISO/IEC 27001 Lead Auditor” courses. ISO / IEC 27001 es la norma de certificación formal, la «Especificación para Sistemas de Gestión de Seguridad de la Información». Es especialmente útil si tiene intención de convertirse en una certificación de auditores acreditados SGSI – la forma habitual de hacerlo es pasar por un curso de formación impartido por un sistema de información de la gestión de la seguridad acreditados organismos de auditoría y certificación, como las partidas del balance, o de formación y diversas empresas de consultoría. En general son llamados «ISO / IEC 27001 Lead Auditor» cursos.
ISO/IEC 27002 is the ‘Code of Practice’, a practical standard with tons of advice for those designing and implementing an information security management system. The best way to learn ISO/IEC 27002 is to use it, which means going all the way through an implementation from planning to operations, auditing and maintenance. If you have no prior experience in information security, you should try to find an experienced mentor or guide. Professional organizations such as ISSA , ISF and ISACA can help. Once you have made a start on your implementation, please join the free ISO27k Forum to consult with your peers. ISO / IEC 27002 es el «Código de buenas prácticas ‘, un estándar práctico con toneladas de consejos para aquellos diseñar e implementar un sistema de gestión de seguridad de la información. La mejor manera de aprender la norma ISO / IEC 27002 es utilizarlo, lo que significa ir todo el camino a través de una aplicación desde la planificación de las operaciones, auditoría y mantenimiento. Si no tiene experiencia previa en seguridad de la información, usted debe tratar de encontrar un mentor o guía experimentado. Las organizaciones profesionales tales como la AISS , ISF y ISACA puede ayudar. Una vez que haya hecho una de inicio de su implementación, por favor regístrate en el Tratado de Libre Foro ISO27k de consultar con sus compañeros.

You should also be well aware of the remaining issued ISO27k standards ( eg . ISO/IEC 27005 ) and have some familiarity with other similar/related standards, methods, laws etc . También debe estar bien consciente de las restantes normas emitidas ISO27k (por ejemplo. ISO / IEC 27005 ) y tienen cierta familiaridad con otros similares o estándares relacionados, métodos, leyes, etc. (such as PCI DSS, C OBI T and various privacy laws). (Como PCI DSS, OBI T C y las leyes de privacidad distintas).

As to becoming a consultant, I advise you to start by building a solid technical understanding of IT, risk and control concepts. Advice for people who want to become IT auditors in the IT Audit FAQ is useful for those planning to become “ISMS Lead Auditors” and is also pretty relevant to becoming an information security management specialist since the two fields are very closely related. Another excellent source is www.CCcure.org , especially if you are considering becoming CISSP, SSCP or CISM qualified in information security management. En cuanto a convertirse en un consultor, yo le aconsejo que empezar por construir un sólido conocimiento técnico de TI, riesgo y conceptos de control. Consejos para las personas que quieren convertirse en auditores de la Auditoría TI FAQ es útil para aquellos que planean convertirse en «Cuentas de plomo SGSI «y es también muy relevante para convertirse en un especialista en gestión de seguridad de la información desde que los dos campos están íntimamente relacionados. Otro recurso importante es www.CCcure.org , especialmente si usted está pensando en convertirse en CISSP, SSCP o CISM cualificados en gestión de la seguridad de la información.

[There is more advice in the next Q&A .] [No hay más consejos en la próxima Q & A ].

Implementation tip : further resources are outlined on the books and links pages and don’t forget to join the ISO27k Forum – the Forum archive is a valuable resource worth browsing or searching (it’s a Google group so the search function actually works!), and members can always seek fresh answers though live dialogue. punta de Aplicación: más recursos se describen en el libro y enlaces páginas y no se olvide a unirse al Foro ISO27k – el archivo del foro es un recurso valioso vale la navegación o la búsqueda (es un grupo de Google por lo que la función de búsqueda realmente funciona!), y miembros siempre pueden buscar nuevas respuestas a través del diálogo directo.

¿QUÉ ES LA SERIE ISO 20000?

ISO / IEC 20000 es la primera norma internacional para la Gestión de Servicios TI . It was developed in 2005, by ISO/IEC JTC1 SC7. Fue desarrollado en 2005, por la norma ISO / IEC JTC1 SC7. It is based on and intended to supersede the earlier, BS 15000. Se basa en, y sustituirán a los anteriores, BS 15000.

Formally: ISO/IEC 20000-1 (‘part 1’) «promotes the adoption of an integrated process approach to effectively deliver managed services to meet the business and customer requirements». Formalmente: ISO / IEC 20000-1 («parte 1») «promueve la adopción de un enfoque de procesos integrados para ofrecer servicios gestionados con eficacia para cumplir los requisitos de negocio y el cliente». It comprises ten sections: Se compone de diez secciones:

Scope Alcance
Terms & Definitions Términos y Definiciones
Planning and Implementing Service Management Planificación y Gestión de ejecución de servicios
Requirements for a Management System Requisitos para un Sistema de Gestión
Planning & Implementing New or Changed Services Planificación y la implementación de servicios nuevos o modificados
Service Delivery Processes Procesos de prestación de servicios
Relationship Processes Relación con Procesos
Control Processes Control de Procesos
Resolution Processes Resolución de Procesos
Release Process. Proceso de lanzamiento.

ISO/IEC 20000-2 (‘part 2’) is a ‘code of practice’, and describes the best practices for service management within the scope of ISO/IEC 20000-1. ISO / IEC 20000-2 (‘parte 2’) es un «código de práctica», y describe las mejores prácticas para la gestión de servicios dentro del ámbito de aplicación de la norma ISO / IEC 20000-1. It comprises the same sections as ‘part 1’ but excludes the ‘Requirements for a Management system’ as no requirements are imposed by ‘part 2’. Cuenta con las mismas secciones como «parte 1», pero excluye a los «Requisitos para un sistema de gestión» ya que no se imponen requisitos de ‘parte 2’.

ISO/IEC 20000, like its BS 15000 predecessor, was originally developed to reflect best practice guidance contained within the ITIL ( Information Technology Infrastructure Library ) framework, although it equally supports other IT Service Management frameworks and approaches including Microsoft Operations Framework and components of ISACA ‘s COBIT framework. ISO / IEC 20000, al igual que su predecesora BS 15000, fue desarrollado originalmente para reflejar las mejores prácticas de orientación que figuran en el ITIL ( Information Technology Infrastructure Library ) Marco, aunque también soporta otros Gestión de Servicios TI marcos y enfoques, incluyendo Microsoft Operations Framework y los componentes de ISACA ‘s COBIT marco. It comprises two parts: a specification for IT Service Management and a code of practice for service management. Se compone de dos partes: una especificación para la Gestión de Servicios TI y un código de conducta para la gestión de servicios. The differentiation between ISO/IEC 20000 and BS 15000 has been addressed by Jenny Dugmore ^{[ 1 ]} ^{[ 2 ]} . La diferenciación entre la ISO / IEC 20000 y BS 15000 ha sido dirigida por Jenny Dugmore

ISO 20000 – la norma de Gestión de Servicios

You can achieve ISO 20000 certification more easily when you use the information, standards, books and tools from this site. Puede obtener la certificación ISO 20000 de certificación más fácil cuando se utiliza la información, normas, libros y herramientas de este sitio.

Buy and download the standard: ISO/IEC 20000 Comprar y descargar la norma: ISO / IEC 20000

Order the Achieving ISO 20000 Series of Books Solicite la ISO 20000 El logro de la Serie de Libros

Browse our library of ISO 20000 books and tools Consulte nuestra biblioteca de la norma ISO 20000 libros y herramientas

Book ISO 20000 Training (Implementing ISO 20000/ISO 20000 Consultant) Libro ISO 20000 Capacitación (de aplicación 20000/ISO ISO 20000 Consultor)

Deploy The IT Service Management Toolkit, based on ITIL and ISO 20000 Implementar El Kit de herramientas de Gestión de Servicios TI, basado en ITIL e ISO 20000

ISO/IEC 20000 (‘ISO20k’) is the international IT Service Management standard that enables IT organizations (whether in-house, outsourced or external) to ensure that their IT service management processes are aligned both with the needs of the business and with international best practice. ISO / IEC 20000 (‘ISO20k’) es la organización internacional Gestión de Servicios TI estándar que permite a las organizaciones (ya sea en internos, externos o externo) para garantizar que sus procesos de gestión de servicios TI están alineados con las necesidades tanto de la empresa y con las organizaciones internacionales las mejores prácticas. It is based on, and replaces, BS15000, which has now been withdrawn. Se basa en, y sustituye, BS15000, que ya ha sido retirada.

This site gives you access to a wide range of information, ISO20k books , the Achieving ISO20k library , and other tools related to ISO 20000. Este sitio le da acceso a una amplia gama de información, libros ISO20k , la colección de ISO20k logro , y otras herramientas relacionadas con la norma ISO 20000.

The implementation of ISO 20000 should ensure a proactive approach that delivers high levels of customer service and meets their business needs. La aplicación de la norma ISO 20000 deben garantizar un enfoque proactivo que ofrece altos niveles de servicio al cliente y satisfacer sus necesidades de negocio.

The ISO/IEC 20000:2005 IT service management standard La norma ISO / IEC 20000:2005 de servicios de TI estándar de gestión

ISO/IEC 20000:2005 was jointly published by ISO (International Organization for Standardization) and IEC (International Electrotechnical Commission), ISO/IEC 20000 helps organizations benchmark how they deliver managed services, measure service levels and assess their performance. ISO / IEC 20000:2005 fue publicado conjuntamente por la ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), ISO / IEC 20000 ayuda a las organizaciones de referencia la forma en que proporcionará servicios gestionados, los niveles de servicio medir y evaluar su desempeño. It is broadly aligned with, and draws strongly on, ITIL ^® . Download the free Briefing Paper and FAQs on ITIL, ITSM and ISO 20000 . Es ampliamente alineados con y toma en gran medida de, ITIL ^®. Descargar el Documento Informativo y Preguntas Frecuentes en ITIL, ITSM e ISO 20000 .

ISO 20000, which has two parts both with the general title Information technology – Service management , enables IT service providers to identify how to enhance the quality of service they deliver to their customers, both internal and external. ISO 20000, que tiene dos partes, tanto con la tecnología título de información general – Servicio de Gestión de TI permite a los proveedores de servicios para identificar la forma de mejorar la calidad del servicio que prestan a sus clientes, tanto internos como externos.

Part 1: Specification (ISO/IEC 20000-1:2005) provides requirements for IT service management and is relevant to those responsible for initiating, implementing or maintaining IT service management in their organization. Parte 1: Especificaciones (ISO / IEC 20.000-1:2005) establece los requisitos para la gestión de servicios y es pertinente a los responsables de iniciar, implementar o mantener la Gestión de Servicios TI en su organización.
Part 2: Code of practice (ISO/IEC 20000-2:2005) represents an industry consensus on guidance to auditors and assistance to service providers planning service improvements or to be audited against ISO/IEC 20000-1:2005. Parte 2: Código de buenas prácticas (ISO / IEC 20000-2:2005) representa un consenso de la industria sobre la orientación a los auditores y asistencia a los proveedores de servicios de planificación de mejoras de servicios o someterse a auditorías según la norma ISO / IEC 20.000-1:2005.

ISO 20000 uses the process-based approach of other management system standards such ISO 27001:2005, ISO 9001:2000 and ISO 14001:2004, including the Plan-Do-Check-Act (PDCA) cycle and requirement for continual improvement. ISO 20000 utiliza el enfoque basado en procesos de otras normas de gestión del sistema, ISO 27001:2005, ISO 9001:2000 e ISO 14001:2004, incluido el Plan-Do-Check-Act (PDCA) y el requisito del ciclo de mejora continua.

Organizations can have their IT service management systems independently certified as conforming to the requirements of ISO/IEC 20000-1:2005. Las organizaciones pueden tener sus sistemas de gestión de servicios de forma independiente certificada conforme a los requisitos de la norma ISO / IEC 20.000-1:2005.

ISO 20000 Books and Tools ISO 20000 Libros y Herramientas

There is a growing range of available books and tools designed to help organizations that wish to tackle ISO 20000. Hay una gama cada vez mayor de libros disponibles y herramientas diseñadas para ayudar a las organizaciones que desean hacer frente a la norma ISO 20000. The most useful, at the moment, is Achieving ISO 20000 , the series of ISO 20000 management guides authored by the writers of the IT Service Management standard. La más útil, en este momento, es lograr la norma ISO 20000 , la serie de guías de gestión ISO 20000 Autor: los escritores de la Gestión de TI estándar de servicio.

The Pocket Guide to ISO 20000 , the itSMF Pocket Guide to Achieving ISO20k Certification , and the Manager’s Guide to Service Management are all very useful texts for IT practitioners and project managers looking to implement an ISO 20000 management system. Guidance on integrating ISO 20000 with ISO 27001 (the information security management standard) and other management systems (such as ISO 9001) will be available soon. La Guía de bolsillo con la norma ISO 20000 , el itSMF Guía de bolsillo para lograr ISO20k certificación , y la Guía del Administrador de Gestión de Servicios son útiles textos muy de IT profesionales y gestores de proyectos que buscan implementar una norma ISO 20000 sistema de gestión. Orientación sobre la integración de la norma ISO 20000 con ISO 27.001 (el estándar de seguridad de la información de gestión) y la gestión de otros sistemas (como la ISO 9001) estará disponible en breve.

ISO 20000 Certification scheme ISO 20000 Sistema de Certificación

Organizations can be externally audited against the requirements of ISO/IEC 20000-1:2005. Certification Bodies that have been accredited for ISO 20000 can offer this service. Las organizaciones pueden ser auditados externamente respecto a los requisitos de la norma ISO / IEC 20.000-1:2005. Organismos de Certificación que han sido acreditados para la ISO 20000 puede ofrecer este servicio.

There is also an accreditation scheme for ISO 20000 training providers and consultants, and accredited qualifications for both auditors and consultants. También hay un sistema de acreditación de la ISO 20000 proveedores de formación y consultores, y acreditados cualificaciones tanto para los auditores y consultores. More details are available here . Más detalles están disponibles aquí .

ISO 20000 scope Ámbito de aplicación la norma ISO 20000

ISO 20000 itself is not clear on scoping. ISO 20000 en sí misma no es clara sobre el alcance. It says, simply, that it defines ‘the requirements for a service provider to deliver managed services of an acceptable quality for its customers.’ Dice, simplemente, que lo define «los requisitos para un proveedor de servicios para ofrecer servicios gestionados de una calidad aceptable para sus clientes.» This statement is so broad that it might appear that virtually any organization that delivers managed services to customers would be eligible for ISO 20000 certification. Esta afirmación es tan amplia que podría parecer que casi cualquier organización que ofrece servicios gestionados a los clientes podrían optar a la certificación ISO 20.000.

It is necessary to turn to the additional, published guidance on ISO 20000 scoping to clarify the requirements. Es necesario recurrir a la orientación adicional, publicada el ISO 20000 de alcance para aclarar los requisitos. Clause 1 of these guidelines says: “in order for a Service Provider organization to achieve certification under the ISO/IEC 20000 scheme it must be able to demonstrate that it has ‘ management control ‘ of all the processes defined within the ISO/IEC 20000 standard. Cláusula 1 de estas directrices ha dicho: «para que un proveedor de servicio de la organización para lograr la certificación bajo la norma ISO / IEC 20000 régimen, debe ser capaz de demostrar que tiene el« control de gestión «de todos los procesos definidos en la norma ISO / IEC 20000 . For this purpose, ‘management control’ of a process consists of: Para tal fin el control de la gestión «de un proceso consiste en:

· Knowledge and control of inputs; · El conocimiento y control de los insumos;
· Knowledge, use and interpretation of outputs; · El conocimiento, uso e interpretación de resultados;
· Definition and measurement of metrics; · Definición y medición de indicadores;
· Demonstration of objective evidence of accountability for process functionality in conformance to the ISO/IEC 20000 standard; and · Demostración de pruebas objetivas de la responsabilidad para la funcionalidad de proceso en conformidad con la norma ISO / IEC 20000, y
· Definition, measurement and review of process improvements.” · La definición, medición y revisión de las mejoras del proceso. »

The ISO/IEC 20000 scoping guidelines then go on to provide a number of worked examples that help clarify what ‘ management control of a process ‘ consists of, and the circumstances under which a service provider might, or might not, be eligible for certification under the scheme. La norma ISO / IEC 20000 directrices de alcance luego pasar a ofrecer una serie de ejemplos prácticos que ayudan a aclarar lo que el control de gestión de un proceso ‘se compone de, y las circunstancias en que un proveedor de servicio puede, o no, ser elegible para la certificación bajo del régimen.

ISO 20000 and ITIL ISO 20000 e ITIL

There is an important and close relationship between ISO 20000 and ITIL, the IT Infrastructure Library. Existe una relación importante y estrecha entre ISO 20000 e ITIL, la IT Infrastructure Library. You can read all about ITIL, and the relationship between ITIL and ISO 20000 in the web’s largest library of ITIL and IT Service Management books, tools, training and learning resources . Usted puede leer todo acerca de ITIL, y la relación entre ITIL e ISO 20000 en la colección más grande de la web de ITIL y Gestión de TI Los libros de servicios, herramientas, capacitación y recursos de aprendizaje .

Comentarios

PRACTICA No. 3

Filed under: Uncategorized — Deja un comentario

Practica 3

Aplicar estándares de protección de la informática. Elabora el plan de seguridad en cómputo acorde a los riesgos determinados y estándares de protección.

Actividad 3; Mejores prácticas para protección informática.

Instrucciones:

Para realizar las mejores prácticas y seguir los estándares dentro de la protección informática debemos investigar los siguientes términos.

a) Itil

b) Eii

c) Cobit

d) Ism3

e) Bs17799

f) Serie iso27000

g) Iso20000

Realizar la búsqueda de información en internet correspondiente a cada objetivo, enfoque, alcance y características principales del estándar asignado.

Elabora una síntesis de la información encontrado, recordando que la tienes que leer y decidir qué información es relevante, eliminando aquella que se repite o que no aporta nada a lo que se pretende transmitir.

Comparte la información obtenida con los otros equipos y realiza un análisis comparativo.

Con lo anterior genera un plan inicial de seguridad, en el cual define que se va a proteger y contra que, el personal responsable y las actividades que realizan en el proceso de actividades que realizan en el proceso de seguridad, para la ejecución del plano.

Comentarios

ACTIVIDAD No.2

Filed under: Uncategorized — Deja un comentario

septiembre 2, 2010

Manejo de auditorias

La contabilidad tiene como misión la recogida, clasificación, resumen y comunicación de las transacciones económicas y financieras, y de ciertas situaciones cuantificables en tanto afectan a la empresa.

La auditoría, en cambio, no se preocupa de registrar, resumir, presentar o comunicar; su objetivo fundamental es revisar la forma en la cual las transacciones y situaciones económico-financieras que afectan a la empresa ha sido medidas y comunicadas. Asimismo, es tarea de la auditoría determinar la adecuación y fiabilidad de los sistemas de información y de las políticas y procedimientos operativos existentes en las divisiones o departamentos de la empresa.

La auditoría utiliza la contabilidad como el vehículo más idóneo para realizar la revisión de la empresa. Sin embargo, la visión de la auditoría debe dar la visión de la empresa en su conjunto. Por lo que sacar el máximo provecho de la información real y existente es uno de los objetivos prioritarios de esta materia. Así pues, el criterio contable o financiero para la evaluación del potencial de una empresa es insuficiente.

La auditoría está orientada a presentar un juicio completo de la empresa, lo que abarcaría, además del aspecto contable y financiero, la forma de dirigir la empresa, la capacidad para crear y lanzar nuevos productos, así como la implantación actual y futura en los mercados.

La ejecución adecuada de una buena política de créditos es fundamental para la administración exitosa de las cuentas por cobrar

Para conservar los clientes y atraer nueva clientela, la mayoría de las empresas encuentran que es necesario ofrecer crédito. Las condiciones de crédito pueden variar entre campos industriales diferentes, pero las empresas dentro del mismo campo industrial generalmente ofrecen condiciones de crédito similares.

Las ventas a crédito, que dan como resultado las cuentas por cobrar, normalmente incluyen condiciones de crédito que estipulan el pago en un numero determinado de días. Aunque todas las cuentas por cobrar no se cobran dentro el periodo de crédito, la mayoría de ellas se convierten en efectivo en un plazo inferior a un año; en consecuencia, las cuentas por cobrar se consideran como activos circulantes de la empresa.

Restricciones de ususarios

Toma el mando de tu equipo compartido con ayuda de las restricciones de SteadyState

Protege tu equipo compartido personalizando las acciones que pueden realizar los usuarios. Windows SteadyState te permite controlar qué programas, características, unidades de disco y sitios web están disponibles para cada usuario. Para el usuario inexperto, el equipo resultará más coherente y menos complejo. En el caso de un usuario que no es de confianza, puedes iniciar características de seguridad mejoradas en el equipo.

Las restricciones del menú Inicio te permiten quitar elementos del menú Inicio. Esto significa que puedes deshabilitar el acceso de los usuarios a elementos como los siguientes:

Apagar
Panel de control
Símbolo del sistema
Explorador de Windows

Las restricciones de unidades determinan qué unidades resultan visibles para el usuario en Mi PC. Puedes optar por ocultar todas las unidades, mostrar todas las unidades o seleccionar unidades que no deseas que el usuario vea. Entre éstas se encuentran las impresoras y los dispositivos de almacenamiento extraíbles.

Las restricciones de programas te permiten impedir que un usuario ejecute un programa determinado, como una herramienta del sistema; para ello, sólo necesitas agregar ese programa a la lista de bloqueados.

Las restricciones de características pueden evitar que los usuarios tengan acceso a atributos de programas que podrían dañar o saturar el equipo. Por ejemplo, puedes impedir que los usuarios agreguen elementos a la Galería multimedia, creen macros de Microsoft Office, usen Visual Basic o guarden favoritos de Internet Explorer.

Las restricciones de Internet te permiten establecer la página de inicio de Internet Explorer e impedir el acceso a los sitios de Internet que no figuren específicamente como permitidos.

Directiva de restricción de software

La directiva de restricción de software proporciona a los administradores un mecanismo controlado por directivas que permite identificar el software y controlar su capacidad de ejecución en el equipo local. Estas directivas protegen a los equipos Windows XP Professional del entorno de los conflictos conocidos y salvaguardan a los equipos de los virus malintencionados y los programas troyanos

La estructura de este módulo es distinta a la de los demás de esta guía debido a la naturaleza de la directiva de restricción de software. En lugar de establecer las opciones de configuración para Directiva de grupo según las recomendaciones de los módulos anteriores, el administrador define en primer lugar el conjunto de aplicaciones que permite que se ejecuten en los equipos cliente del entorno y, a continuación, determina las restricciones que la directiva aplicará a los clientes.

Inicialmente, la directiva de restricción de software está formada por el nivel de seguridad predeterminado para reglas y configuraciones sin restricciones o no permitidas definidas para un objeto de directiva de grupo.

Las directivas de restricción de software se pueden utilizar para realizar lo siguiente:

•	Controlar el tipo de software que se puede ejecutar en los clientes del entorno.
•	Restringir el acceso de los usuarios a determinados archivos en equipos multiusuario.
•	Decidir quiénes pueden agregar editores de confianza a los clientes.
•	Definir si las directivas afectarán a todos los usuarios o a un subgrupo de ellos en los equipos cliente.
•	Evitar que se ejecuten archivos ejecutables en el equipo local, unidad organizativa, sitio o dominio.

FIREWALL

Un firewall es un dispositivo que funciona como cortafuegos entre redes, permitiendo o denegando las transmisiones de una red a la otra. Un uso típico es situarlo entre una red local y la red Internet, como dispositivo de seguridad para evitar que los intrusos puedan acceder a información confidencial.

Un firewall es simplemente un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso. Para permitir o denegar una comunicación el firewall examina el tipo de servicio al que corresponde, como pueden ser el web, el correo o el IRC. Dependiendo del servicio el firewall decide si lo permite o no. Además, el firewall examina si la comunicación es entrante o saliente y dependiendo de su dirección puede permitirla o no.

De este modo un firewall puede permitir desde una red local hacia Internet servicios de web, correo y ftp, pero no a IRC que puede ser innecesario para nuestro trabajo. También podemos configurar los accesos que se hagan desde Internet hacia la red local y podemos denegarlos todos o permitir algunos servicios como el de la web, (si es que poseemos un servidor web y queremos que accesible desde Internet). Dependiendo del firewall que tengamos también podremos permitir algunos accesos a la red local desde Internet si el usuario se ha autentificado como usuario de la red local.

Un firewall puede ser un dispositivo software o hardware, es decir, un aparatito que se conecta entre la red y el cable de la conexión a Internet, o bien un programa que se instala en la máquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con softwares específicos que lo único que hacen es monitorizar las comunicaciones entre redes.

ANTIVIRUS

Un antivirus tiene tres principales funciones y componentes:

VACUNA es un programa que instalado residente en la memoria, actúa como «filtro» de los programas que son ejecutados, abiertos para ser leídos o copiados, en tiempo real.

DETECTOR, que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los códigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rápida desarman su estructura.

· ELIMINADOR es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas afectadas.

· La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.

Tipos de virus

Tipos de Virus Informáticos

Todos los virus tienen en común una característica, y es que crean efectos perniciosos. A continuación te presentamos la clasificación de los virus informáticos, basada en el daño que causan y efectos que provocan.

Caballo de Troya:

Es un programa dañino que se oculta en otro programa legítimo, y que produce sus efectos perniciosos al ejecutarse este último. En este caso, no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo.

Gusano o Worm:

Es un programa cuya única finalidad es la de ir consumiendo la memoria del sistema, se copia así mismo sucesivamente, hasta que desborda la RAM, siendo ésta su única acción maligna.

Virus de macros:

Un macro es una secuencia de órdenes de teclado y mouse asignadas a una sola tecla, símbolo o comando. Son muy útiles cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas que los contienen, haciéndose pasar por una macro y actuaran hasta que el archivo se abra o utilice.

Virus de sobre escritura:

Sobre escriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.

Virus de Programa:

Comúnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV, .BIN, .DLL, y .SYS., los dos primeros son atacados más frecuentemente por que se utilizan mas.

Virus de Boot:

Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y el sector de arranque maestro (Máster Boot Record) de los discos duros; también pueden infectar las tablas de particiones de los discos.

Virus Residentes:

Se colocan automáticamente en la memoria de la computadora y desde ella esperan la ejecución de algún programa o la utilización de algún archivo.

Virus de enlace o directorio:

Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los archivos existentes, y como consecuencia no es posible localizarlos y trabajar con ellos.

Virus mutantes o polimórficos:

Son virus que mutan, es decir cambian ciertas partes de su código fuente haciendo uso de procesos de encriptación y de la misma tecnología que utilizan los antivirus. Debido a estas mutaciones, cada generación de virus es diferente a la versión anterior, dificultando así su detección y eliminación.

Virus falso o Hoax:

Los denominados virus falsos en realidad no son virus, sino cadenas de mensajes distribuidas a través del correo electrónico y las redes. Estos mensajes normalmente informan acerca de peligros de infección de virus, los cuales mayormente son falsos y cuyo único objetivo es sobrecargar el flujo de información a través de las redes y el correo electrónico de todo el mundo.

Virus Múltiples:

Son virus que infectan archivos ejecutables y sectores de booteo simultáneamente, combinando en ellos la acción de los virus de programa y de los virus de sector de arranque.

ANTISPYWARE

Un programa espía, traducción del inglés spyware, es un programa, dentro de la categoría malware, que se instala furtivamente en un ordenador para recopilar información sobre las actividades realizadas en éste. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en organismos oficiales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante. Dado que el spyware usa normalmente la conexión de una computadora a Internet para transmitir información, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a la red

Entre la información usualmente recabada por este software se encuentran: los mensajes, contactos y la clave del correo electrónico; datos sobre la conexión a Internet, como la dirección IP, el DNS, el teléfono y el país; direcciones web visitadas, tiempo durante el cual el usuario se mantiene en dichas web y número de veces que el usuario visita cada web; software que se encuentra instalado; descargas realizadas; y cualquier tipo de información intercambiada, como por ejemplo en formularios, con sitios web, incluyendo números de tarjeta de crédito y cuentas de banco, contraseñas, etc.

Los programas espía pueden ser instalados en un ordenador mediante un virus, un troyano que se distribuye por correo electrónico, como el programa Magic Lantern desarrollado por el FBI, o bien puede estar oculto en la instalación de un programa aparentemente inocuo. Algunos programas descargados de sitios no confiables pueden tener instaladores con spyware y otro tipo de malware.

Principales síntomas de infección

Cambio de la página de inicio, error en búsqueda del navegador web.
Aparición de ventanas «pop-ups», incluso sin estar conectados y sin tener el navegador abierto, la mayoría huye un nuevo producto).
Barras de búsquedas de sitios como la de Alexa, Hotbar, My Web Search, FunWeb, etc.… que no se pueden eliminar.
Creación de carpetas tanto en el directorio raíz, como en «Archivos de programas», «Documents and Settings» y «WINDOWS».
Modificación de valores de registro.
La navegación por la red se hace cada día más lenta, y con más problemas.
Aumento notable en el tiempo que se ejecuta en ese momento, alterando el registro con el fin de que el spyware se active a cada inicio. Al hacer click en un vínculo el usuario retorna de nuevo a la misma página que el software espía hace aparecer.
Botones que aparecen en la barra de herramientas del navegador y no se pueden infección no propio del sistema, así como un enlace web para descargar un supuesto antispyware.
Al acceder a determinados sitios sobre el escritorio se oculta o bloquea tanto el panel de control como los iconos de programas.
Denegación de servicios de correo y mensajería instantánea.

PERMISOS EN CARPETAS Y DOCUMENTOS COMPARTIDOS

Windows XP, al igual que Windows 2000, te permite asignar permisos a las carpetas de tal forma que puedes hacer que una carpeta o archivo solo este pueda ser visto por determinados usuarios, o que no se pueda borrar, modificar, entre otras cosas.

La función que hace posible esto es la función Seguridad, que por defecto viene desactivada, por lo que deberemos de activarla.

Para ello entramos en el explorador de archivos, y presionamos sobre el menú Herramientas, opciones de carpeta.

En la ventana que nos sale, pulsamos sobre la pestaña Ver, y bajamos el desplegable hasta que veamos una opción que se llama Utilizar uso compartido simple de archivos (recomendado), lo único que hay que hacer es deshabilitarla, y aceptar.

Ahora si pulsamos con el botón derecho en un archivo o carpeta y pulsamos sobre propiedades, nos aparecerá visible la opción Seguridad, que es la que nos va a permitir establecer los permisos.

Una vez que nos situamos en esta ventana, podremos indicar que tipo de permiso queremos asignar a ese archivo o carpeta, y que usuarios disponen de esos privilegios.

ACTUALIZACIONES DE SISTEMA OPERATIVO Y APLICACIONES

Las actualizaciones contribuyen a proteger su PC de virus, gusanos y otras amenazas a medida que se van detectando. La función Actualizaciones automáticas de Windows® XP permite descargar automáticamente las últimas actualizaciones críticas relacionadas con problemas de seguridad. En este paso, le mostraremos cómo activar la función Actualizaciones automáticas para descargar futuras actualizaciones. También le informaremos de cómo puede poner su PC al día instalando actualizaciones de software publicadas anteriormente.

En Windows XP, hay dos formas de activar la función Actualizaciones automáticas:

· Podemos hacerlo por usted utilizando nuestra herramienta en línea rápida.

· Puede hacerlo manualmente siguiendo los pasos que se describen a continuación

ACTUALIZACIONES DEL SISTEMA

Las actualizaciones de software pueden incluir actualizaciones de seguridad, así como funciones y ajustes nuevos o revisados y otros elementos, que modificarán el sistema operativo actual. Es recomendable que su sistema utilice siempre la versión del software del sistema más reciente.

A continuación, se enumeran dos modos para efectuar actualizaciones:

Actualizar mediante Internet.
Actualizar mediante un soporte de almacenamiento.

Avisos

No apague el sistema ni extraiga el soporte durante una actualización. Si se cancela una actualización antes de completarse, es posible que el software del sistema se dañe y que éste necesite ser reparado o sustituido.
Durante una actualización, el botón de encendido de la parte frontal del sistema y el botón PS del mando inalámbrico no están activos.
En función del contenido, es posible que no pueda jugar sin antes actualizar el software del sistema.

· Actualizar mediante Internet

· Permite descargar los datos de la actualización directamente en el sistema desde Internet. Las actualizaciones más recientes se descargan automáticamente.

Seleccione (Ajustes) > (Actualización del sistema).

Seleccione [Actualizar mediante Internet].
Descargue los datos de la última actualización de Internet. Siga las instrucciones en pantalla para completar la operación.

Actualizar mediante un soporte de almacenamiento

Permite utilizar los datos de la actualización guardados en un disco, Memory Stick u otro soporte. Descargue los datos de la actualización desde un sitio Web mediante un ordenador. Para obtener más información, visite el sitio Web de SCE de su región.

Notas

Es posible que los datos de la actualización también se encuentren en algunos discos de juegos, software de vídeo de discos BD disponibles en el mercado y otros tipos de discos. Al reproducir un disco que contenga datos de la actualización, aparecerá una pantalla que le guiará por dicho proceso. Siga las instrucciones en pantalla para llevar a cabo la actualización.
Para poder utilizar los soportes de almacenamiento con determinados modelos de sistema PS3™, necesitará un adaptador USB apropiado (no incluido).

RESPALDOS DE INFORMACIÓN

El respaldo de información es un proceso muy importante que debe de tener cada usuario de computadora, sea un equipo portátil o un equipo de escritorio. El contar con respaldos permite al usuario en algún momento dado recuperar información que haya sido dañada por virus, fallas en el equipo o por accidentes.

Tips para respaldar archivos

Realice un respaldo mínimo una vez al semestre.

Los respaldos no deben de ser guardados en la misma computadora donde se realiza el respaldo, ya que tiene el riesgo de perderse en el mismo momento en que se dañe la información original, se recomienda guardar los respaldos en CD’s, DVD’s, cintas magnéticas o en otra computadora.

Respalde únicamente sus archivos personales como documentos de Word, Excel, PowerPoint, etc., NO respalde los programas instalados ya que cuando sea recuperado el respaldo éstos no funcionarán, los programas con los que contaba su computadora es relativamente fácil volver a instalarlos, no así sus documentos personales que una vez borrados es imposible recuperarlos sin un respaldo.

Organice sus respaldos de tal forma que sea fácil identificar cuando se realizó, por ejemplo si respalda en CD’s colóqueles una marca en donde indique la fecha en que se realizó y una breve descripción de lo que contiene.

Cómo organizar mi información

Es recomendable para todos los usuarios de computadora, que cuenten con su información organizada de tal forma que sea fácil encontrar la información de los archivos que el equipo contiene.

Cada usuario tiene su forma particular de organizar su información; al llevar a cabo este hábito de mantener organizada la información de una buena manera, le será mucho más fácil identificar la ubicación de la información relevante que desea respaldar.

¿Si no tengo quemador qué puedo hacer?

Si usted no cuenta con quemador para poder respaldar su información, le recomendamos ver la posibilidad de adquirir alguno ya que es una herramienta muy necesaria para mantener los respaldos y así guardar la información relevante, o bien puede pedirle a algún compañero que cuenten con quemador que le haga el favor de respaldarle su información.

Comentarios

PRACTICA No. 2

Filed under: Uncategorized — Deja un comentario

Unidad de aprendizaje 1.

Aplica estándares de protección de la información determina los riesgos de seguridad informática con base en las características del equipo y las necesidades del usuario:

ACTIVIDAD 1:

IDENTIFICANDO LOS RIESGOS DE SEGURIDAD.

A) Clasifica en equipo de trabajo los riesgos informáticos en las que está compuesta una empresa y realice una breve descripción de cada uno de ellos considerando:

I) Los riesgos lógicos y que parámetros los caracteriza.

II) Códigos maliciosos.

III) Spam.

IV) Piraterías.

V) Fuga de información .

VI) Ingeniería social.

VII) Intrusos informáticos .

B) Genera una tabla de riesgos y compárala con las demás de tus compañeros para hacer un análisis comparativo y generar una tabla común.

ACTIVIDAD 2:

LEVANTAMIENTO DE INFORMACIÓN EMPRESARIAL CON FINES DE PROTECCIÓN INFORMATICA .

A) Determina el grado de riesgos en una empresa considerando:

I) Procesos principales de la empresa.

II) Políticas aplicadas en:

• Manejo de cuentas.

• Manejo de auditorías.

• Restricciones a usuarios.

• Restricción de software.

• Firewall.

• Antivirus

• Antispyware

• Permisos en carpetas y documentos compartidos.

• Actualizaciones de sistemas operativo y aplicaciones.

• Respaldos de información.

Comentarios

ANTIVIRUS Y CLASIFICACION DE VIRUS

Filed under: Uncategorized — Deja un comentario

agosto 26, 2010

Es un programa creado para prevenir o evitar la activación de los virus, así como su propagación y contagio. Cuenta además con rutinas de detención, eliminación y reconstrucción de los archivos y las áreas infectadas del sistema.
Un antivirus tiene tres principales funciones y componentes:
• VACUNA es un programa que instalado residente en la memoria, actúa como «filtro» de los programas que son ejecutados, abiertos para ser leídos o copiados, en tiempo real.
• DETECTOR, que es el programa que examina todos los archivos existentes en el disco o a los que se les indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los códigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rápida desarman su estructura.
• ELIMINADOR es el programa que una vez desactivada la estructura del virus procede a eliminarlo e inmediatamente después a reparar o reconstruir los archivos y áreas afectadas.
•
•
• La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus informático de una entidad infectada.
Tipos de virus
Tipos de Vírus Informáticos
Todos los virus tiene en comun una caracteristica, y es que crean efectos perniciosos. A continuación te presentamos la clasificacion de los virus informaticos, basada en el daño que causan y efectos que provocan.
Caballo de Troya:
Es un programa dañino que se oculta en otro programa legítimo, y que produce sus efectos perniciosos al ejecutarse este ultimo. En este caso, no es capaz de infectar otros archivos o soportes, y sólo se ejecuta una vez, aunque es suficiente, en la mayoría de las ocasiones, para causar su efecto destructivo.
Gusano o Worm:
Es un programa cuya única finalidad es la de ir consumiendo la memoria del sistema, se copia asi mismo sucesivamente, hasta que desborda la RAM, siendo ésta su única acción maligna.
Virus de macros:
Un macro es una secuencia de oredenes de teclado y mouse asignadas a una sola tecla, símbolo o comando. Son muy utiles cuando este grupo de instrucciones se necesitan repetidamente. Los virus de macros afectan a archivos y plantillas que los contienen, haciendose pasar por una macro y actuaran hasta que el archivo se abra o utilice.
Virus de sobreescritura:
Sobreescriben en el interior de los archivos atacados, haciendo que se pierda el contenido de los mismos.
Virus de Programa:
Comúnmente infectan archivos con extensiones .EXE, .COM, .OVL, .DRV, .BIN, .DLL, y .SYS., los dos primeros son atacados más frecuentemente por que se utilizan mas.
Virus de Boot:
Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y el sector de arranque maestro (Master Boot Record) de los discos duros; también pueden infectar las tablas de particiones de los discos.
Virus Residentes:
Se colocan automáticamente en la memoria de la computadora y desde ella esperan la ejecución de algún programa o la utilización de algún archivo.
Virus de enlace o directorio:
Modifican las direcciones que permiten, a nivel interno, acceder a cada uno de los archivos existentes, y como consecuencia no es posible localizarlos y trabajar con ellos.
Virus mutantes o polimórficos:
Son virus que mutan, es decir cambian ciertas partes de su código fuente haciendo uso de procesos de encriptación y de la misma tecnología que utilizan los antivirus. Debido a estas mutaciones, cada generación de virus es diferente a la versión anterior, dificultando así su detección y eliminación.
Virus falso o Hoax:
Los denominados virus falsos en realidad no son virus, sino cadenas de mensajes distribuídas a través del correo electrónico y las redes. Estos mensajes normalmente informan acerca de peligros de infección de virus, los cuales mayormente son falsos y cuyo único objetivo es sobrecargar el flujo de información a través de las redes y el correo electrónico de todo el mundo.
Virus Múltiples:
Son virus que infectan archivos ejecutables y sectores de booteo simultáneamente, combinando en ellos la acción de los virus de programa y de los virus de sector de arranque.

Comentarios

ACTIVIDAD No.1

Filed under: Uncategorized — 1 comentario

agosto 16, 2010

Actividad 1

Seguridad Informática

La información, uno de los principales activos de las organizaciones, requiere de sistemas de protección adecuados ante cualquier amenza que pueda poner en peligro la continuidad del negocio, no solo en lo referente a la Ley Orgánica sobre Protección de Datos de carácter personal.

En la actualidad, las empresas se enfrentan cada vez más con riesgos e inseguridades procedentes de una amplia variedad de fuentes:

riesgos físicos: incendios, inundaciones, sabotajes, vandalismos, accesos indebidos e indeseados,…
riesgos lógicos: fraude informático, espionaje, daño por virus, ataques de intrusión o denegación de servicios,…

Ante estas circunstancias es imprescindible que las empresas evalúen los riesgos asociados y establezcan las estrategias y controles adecuados que aseguren una permanente protección y salvaguarda de la información.

Una gestión eficaz de la seguridad de la información permite garantizar:

su confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información.
su integridad, asegurando que la información y sus métodos de proceso son exactos y completos.
su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran

La disponibilidad, integridad y confidencialidad de la información son aspectos esenciales para que la organización mantenga su nivel de competitividad, rentabilidad, cumplimiento de la legalidad e imagen comercial.

Riesgos

El área de Tecnologías de Información fue analizada mediante entrevista al Ing. Omar Hash Pereyda, Director de Soporte Técnico, quien permitió dar un recorrido a las instalaciones, asimismo, proporcionó la normatividad autorizada con la que se cuenta, se realizó un análisis del área y basándonos en la experiencia de trabajo en diferentes áreas de TI en la actualidad en el área de sistemas de la H. Cámara de Diputados se detectaron los siguientes riesgos:

Tabla 2.4. Lógicos

Riesgo	Probabilidad	Impacto
Caída de la red	Media	Alto
Caída de servicios de producción	Media	Bajo
Extracción, modificación y destrucción de información confidencial	Baja	Alto
Uso inadecuado de las instalaciones	Alta	Media
Ataques de virus informáticos	Alta	Alto
Fuga de información	Media	Alto
Inadecuados controles de acceso lógicos	Baja	Alto
Pérdida de información	Baja	Medio
Falta de disponibilidad de aplicaciones críticas	Baja	Alto
Descontrol del personal	Medio	Bajo

Tabla 2.5. Físicos

Riesgo	Probabilidad	Impacto
Inadecuados controles de acceso físico	Alta	Bajo
Vulnerabilidad	Media	Alto
Incendio	Baja	Bajo
Robo	Media	Alto
Desastres naturales	Baja	Alto

Teniendo en cuenta que una de las principales causas de los problemas dentro del área de sistemas, es la inadecuada administración de riesgos informáticos, se debe hacer una buena administración de riesgos, basándose en los siguientes aspectos:

· La evaluación de los riesgos inherentes a los procesos informáticos.

· La evaluación de las amenazas ó causas de los riesgos.

· Los controles utilizados para minimizar las amenazas a riesgos.

· La asignación de responsables a los procesos informáticos.

· La evaluación de los elementos del análisis de riesgos.

o La Evaluación de Riesgos es la cuantificación de la probabilidad de ocurrencia y del impacto potencial de diferentes fuentes de riesgo.

o El Análisis de Riesgos es el proceso de:

§ identificación de fuentes de riesgo,

§ evaluación cuantitativa y cualitativa del riesgo,

§ administración del riesgo,

§ comunicación a las partes interesadas de la evaluación hecha y las decisiones tomadas.

o Hay dos componentes que explican nuestra incapacidad para predecir en forma precisa un evento futuro:

o Riesgo : es un efecto aleatorio propio del sistema bajo análisis. Se puede reducir alterando el sistema.

o Incertidumbre es el nivel de ignorancia del evaluador acerca de los parámetros que caracterizan el sistema a modelar. Se puede reducir a veces con mediciones adicionales o mayor estudio, o consulta a expertos.

o La Variabilidad Total es la combinación de riesgo e incertidumbre.

o Tanto el riesgo como la incertidumbre se describen mediante distribuciones de probabilidad.

o Por lo tanto, una distribucion de probabilidad puede reflejar en parte el carácter estocástico del sistema analizado y en parte la incertidumbre acerca del comportamiento de la variable.

o Los resultados que se obtengan de un modelo de este tipo reflejaran la variabilidad total: el efecto conjunto de riesgo e incertidumbre.

4. Distribución de Probabilidad

o Una distribución de probabilidad describe el rango de valores que puede tomar una variable aleatoria y la probabilidad asignada a cada valor o rango de valores.

5. Probabilidad: Frecuentista y Subjetiva

o Para eventos repetibles y medibles, la probabilidad representa la frecuencia relativa de ocurrencia de un evento.

o Para eventos que no son repetibles o mensurables, la probabilidad es la expresión del grado de creencia que tiene un individuo acerca de la ocurrencia de un evento incierto. Desde este punto de vista, las probabilidades son en última instancia subjetivas por naturaleza, y es posible que dos personas asignen diferente probabilidad de ocurrencia a un mismo evento.

o Separar el riesgo de la incertidumbre permite entender qué pasos podrían tomarse que sean más efectivos para reducir la variabilidad total.

o Si una proporción importante de la variabilidad total se debe a incertidumbre, entonces nuestra estimación acerca del futuro podría mejorarse recopilando mejor información.

o Si una proporción importante de la variabilidad total se debiera a riesgo, la única manera de reducir la variabilidad total es modificando el sistema analizado.

7. Administración del Riesgo

o Negociar las variables negociables

o Aumentar el compromiso

o Buscar más información

o Tomar precauciones adicionales

o Compartir el riesgo

o Transferir el riesgo

o Formular planes de contingencia

o No tomar medidas, asumir el riesgo

o Cancelar el proyecto

o Administración de portfolio

8. Presentación de modelos

o Un modelo es una herramienta de análisis y de comunicación. Como tal, debe ser entendido no solo por quien lo diseñó sino también por terceros.

o 1. Presentar claramente la estructura lógica y los supuestos empleados.

o 2. Incluír solamente las estadísticas indispensables.

o 3. Usar gráficos para transmitir conceptos.

o 4. Los resultados obtenidos deben responder a los interrogantes planteados.

o 5. No incluír en el informe más información que la necesaria. Derivar los datos de apoyo a los Anexos.

9. Simulación MonteCarlo

o 1. Diseñar el modelo lógico de decisión

o 2. Especificar distribuciones de probabilidad para las variables aleatorias relevantes.

o 3. Incluír posibles dependencias entre variables.

o 4. Muestrear valores de las variables aleatorias

o 5. Calcular el resultado del modelo según los valores del muestreo (iteración) y registrar el resultado

o 6. Repetir el proceso hasta tener una muestra estadísticamente representativa

o 7. Obtener la distribución de frecuencias del resultado de las iteraciones

o 8. Calcular media, desvío y curva de percentiles acumulados

10. Ley de los Grandes Números (desigualdad de Tschebycheff)

o Cuanto mayor sea el tamaño de la muestra, mayor será el ajuste entre la distribución muestral y la distribución teórica sobre la que se basa la muestra.

11. Teorema Central del Límite (TCL)

o La media muestral de un conjunto de n variables muestreadas en forma independiente a partir de una misma distribución f(x) se ajusta a una distribución aprox. Normal con los siguientes parámetros:

o x = Normal ( mu, sigma / n 1/2 )

o En otras palabras, la distribución del promedio de un conjunto de variables aleatorias depende tanto de la cantidad de variables aleatorias promediadas como de la incertidumbre aportada por cada variable.

12. Teorema Central del Límite (cont.)

o La suma de n variables aleatorias independientes da como resultado una distribución aproximadamente Normal, sin importar la forma de la distribución de las variables sumadas (siempre y cuando no haya una variable cuya contribución a la variabilidad total sea dominante).

o El producto de n variables aleatorias independientes da como resultado una distribución aproximadamente Lognormal, independientemente de la forma de la distribución de las variables intervinientes.

13. Generación de valores muestrales

o Las computadoras son capaces de generar números aleatorios entre 0 y 1.

o Los algoritmos para generar números aleatorios comienzan con cualquier valor entre 0 y 1. Todos los números aleatorios que se generen a continuación dependerán de este valor inicial ( semilla ).

14. Generación de valores muestrales

o La función de Distribución Acumulada F(x) de una variable aleatoria indica la probabilidad p que la variable X tome un valor menor o igual que x .

o F(x) = p (X<=x)

o A toda Función de Probabilidad Acumulada F(x) le corresponde una Función Inversa

o G (F(x)) = x

o La Función Inversa indica los valores de x asociados a distintos valores de F(x)

15. Generación de valores muestrales

o Para generar un valor muestral a partir de una distribución de probabilidad:

§ 1. Se genera un número aleatorio entre 0 y 1 a partir de una distribución Uniforme

§ 2. El valor obtenido se usa para alimentar la ecuación correspondiente a la Función Inversa de la distribución de probabilidad muestreada, de modo de generar un valor x para la variable aleatoria.

16. Métodos de Muestreo: MonteCarlo

o El muestreo MonteCarlo es totalmente aleatorio.

o Esto implica que si el número de iteraciones no es lo suficientemente elevado, es posible que se sobremuestreen algunos segmentos de la distribución que se quiere replicar y se submuestreen otros segmentos.

17. Métodos de muestreo: Hipercubo Latino

o Es un método de muestreo estratificado sin reemplazo (muestreo con memoria).

§ 1. Se segmenta la distribución de probabilidad acumulada F(x) en n intervalos (donde n es el número de iteraciones a realizar)

§ 2. Se genera un número aleatorio que corresponderá a un determinado segmento de F(x) .

§ 3. Se genera un segundo número aleatorio para determinar el punto preciso del muestreo dentro de ese intervalo F(x) .

18. Métodos de muestreo: Hipercubo Latino

§ 4. Se calcula el valor de x correspondiente a la Función Inversa G (F(x)) .

§ 5. Se repite el proceso en la segunda iteración, pero descartando el segmento ya muestreado.

§ 6. Se repite el proceso hasta completar el número de iteraciones de la muestra.

19. Intervalo de confianza para el resultado esperado

o Para un tamaño de muestra n > 30 el intervalo del resultado esperado es:

§ IC 100*(1-alfa) = x +/- t (alfa/2,n-1)*s/(n) 1/2

§ t(alfa,n) es el valor de x tal que P(t>x)=alfa

§ x – t *s/(n) 1/2 < x < x + t *s/(n) 1/2

20. Tamaño de muestra necesario para lograr estimaciones dentro de tolerancia

o Si la estimación del valor esperado debe tener una precisión representada por una tolerancia de desvío D en valor absoluto un porcentaje 100*(1-alfa) de las veces, entonces el tamaño de la muestra n necesario es:

§ n = (z alfa/2 ) 2 * (sigma) 2 / (D) 2

o z alfa = P (z>z alfa ) = alfa

21. Distribuciones de Probabilidad

o Fuentes de información para cuantificar la incertidumbre en variables aleatorias:

§ 1. Series de datos

§ 2. Opinión de expertos

o Cuando se procura caracterizar a una variable aleatoria a partir de los datos disponibles se parte del supuesto que los datos observados son una muestra aleatoria de una distribución de probabilidad que trataremos de identificar.

22. Distribuciones de Probabilidad

o Discretas

o Una variable aleatoria representada mediante una distribución discreta de probabilidad puede tomar un valor de entre un conjunto de valores, cada uno de los cuales tiene asignada una determinada probabilidad de ocurrencia.

o Ejemplos: Binomial, Geométrica, Poisson, Discreta.

23. Distribuciones de Probabilidad

o Continuas

o Una variable aleatoria representada mediante una distribución continua de probabilidad puede tomar cualquier valor dentro de un rango determinado.

o Ejemplos: Normal, Lognormal, Uniforme, Triangular, Histograma

24. Distribuciones de Probabilidad

o No Limitadas

o La variable aleatoria puede tomar valores entre +infinito y -infinito.

o Ejemplos: Normal, Logística

o Limitadas

o Los valores de la variable aleatoria quedan confinados entre dos valores extremos.

o Ejemplos: Binomial, Beta, Uniforme, Triangular, Histograma

o Parcialmente Limitadas

o Los valores de la variable aleatoria quedan limitados en uno de los extremos de la distribución.

o Ejemplos: Poisson, Exponencial

25. Distribuciones de Probabilidad

o Paramétricas

o La distribución de probabilidad se ajusta a la descripción matemática de un proceso aleatorio que cumple con determinados supuestos teóricos.

o Los parámetros que definen la distribución en general no guardan relación intuitiva con la forma de la distribución.

o Ejemplos: Normal, Lognormal, Exponencial, Beta.

26. Distribuciones de Probabilidad

o Paramétricas (cont.)

o Son de aplicación cuando:

§ 1. la teoría sobre la que se fundamenta una determinada distribución es aplicable al problema.

§ 2. se acepta que esa distribución da un buen ajuste de la variable aleatoria aunque no haya una teoría para explicarlo.

§ 3. la distribución se ajusta aproximadamente a la opinión del experto y no se requiere mucha precisión.

27. Distribuciones de Probabilidad

o No Paramétricas

o Los parámetros que se usan para definir estas distribuciones describen la forma de la distribución.

o No se apoyan en una teoría que describa el proceso de generación de valores aleatorios.

o Ejemplos: Triangular, Histograma, General, Uniforme, Acumulada

28. Distribuciones de Probabilidad

o No Paramétricas (cont.)

o Estas distribuciones en general son más útiles cuando se busca recabar la opinión subjetiva de expertos, con las siguientes excepciones:

o 1. el experto puede estar muy familiarizado con los parámetros que definen una distribución paramétrica.

o 2. a veces los parámetros de una distribución paramétrica son intuitivos (p.ej. Binomial)

29. Distribuciones de Probabilidad

o Subjetivas

o El uso de estas distribuciones de probabilidad es la única alternativa para describir una variable aleatoria cuando:

o 1. No hay una base de antecedentes.

o 2. Los datos del pasado no son relevantes.

o 3. Los datos son escasos y no cubren todo el rango de posibles valores.

o 4. Es demasiado caro generar datos.

o 5. Generar valores llevaría demasiado tiempo

30. Distribuciones de Probabilidad

o Subjetivas (cont.)

o En las estimaciones subjetivas hay dos fuentes de incertidumbre:

§ Variabilidad asociada a la variable aleatoria en sí .

§ Incertidumbre asociada a la falta de conocimiento sobre el comportamiento de la variable.

o La distribución subjetiva especificada agrega ambas fuentes de incertidumbre

31. Distribuciones de probabilidad a partir de Opinión de expertos

o Una técnica básica para obtener distribuciones subjetivas consiste en desagregar el problema en las variables que lo componen:

o pone en evidencia la estructura lógica del problema de decisión

o las variables del problema son algo más tangible de estimar que el resultado.

o la desagregación facilita el reconocimiento de dependencias entre componentes del problema.

32. Distribuciones a partir de Opinión de expertos

o Desagregación (cont.)

o el análisis de riesgo es menos dependiente de las estimaciones hechas para cada componente

o la estimación de la distribución del resultado del modelo a partir de la agregación de los componentes será más precisa que lo que podría haber sido de tratar de estimarla directamente

o la agregación tendrá en cuenta los efectos del TCL en forma automática.

33. Uniforme

o Todos los valores dentro del rango factible tienen la misma densidad de probabilidad.

o Parámetros : Uniform ( min , max )

o Aplicaciones: U(0,1) se usa en la generación de los valores de todas las demás distribuciones de probabilidad en el muestreo aleatorio.

o Es una aproximación muy cruda para usar como estimación de la incertidumbre percibida de un parámetro

34. Triangular

o Aplicaciones: estimar subjetivamente la distribución de la variable aleatoria cuando todo lo que puede precisarse de la misma es el valor mínimo, el valor más probable y el valor máximo.

o Parámetros: Triang ( min, +prob, max )

35. Triangular (cont.)

o Sus propiedades estadísticas se derivan de su forma, no de una teoría subyacente.

o Es de definición intuitiva y de gran flexibilidad en cuanto a geometrías posibles.

o La forma de la distribución usualmente lleva a sobreestimar la densidad de las colas y a subestimar la densidad en el “tronco” de la distribución.

o Se pueden definir el valor mínimo y el valor máximo como umbrales de ocurrencia práctica. En vez de tomarlos como valores absolutos, se los toma como percentiles, dejando “abiertas las colas”.

36. Histograma

o Aplicaciones: representar la forma de la distribución de una serie de datos o la opinión de un experto acerca de la forma de la distribución de una variable.

o Parámetros: Histogram (min, max, {p i }

o Todos los intervalos de la distribución tienen el mismo “ancho”.

37. General

o Aplicaciones: reflejar la opinión de expertos. Es la más flexible de las distribuciones continuas. Es un histograma “estilizado”.

o Parámetros: General (min, max, {x i } , {p i }

o Es posible, aunque no es recomendable, especificar intervalos de distinto “ancho”.

38. Acumulada

o Aplicaciones: recabar opinión de expertos.

o Parámetros: Cumulative ({x i} ,{P i },min,max)

o Puede ser de utilidad cuando se procura estimar una variable cuyo rango cubre varios órdenes de magnitud.

o Desventajas: insensibilidad de la escala de probabilidades. Es más facil representar la variabilidad que se quiere reflejar cuando se trabaja con distribuciones de frecuencia relativa.

39. BetaPert

o Es una versión de la distribución Beta que usa los mismos supuestos acerca de la media de una variable aleatoria que las redes PERT.

o Parámetros: BetaPert (a,b,c)

40. BetaPert (cont.)

o 1. La media de una distribución BetaPert es cuatro veces más sensible al valor medio que a los valores extremos.

o 2. El desvío standard de una distribución BetaPert es menos sensible a los valores extremos que la distribución Triangular.

§ El desvío standard de una distribución BetaPert es sistemáticamente menor que el de una Triangular, particularmente cuando las distribuciones son sesgadas.

41. Discreta

o Aplicaciones:

o 1. Describir una variable aleatoria que puede tomar uno de entre un conjunto de valores discretos.

o 2. Describir probabilidades condicionales para distintos estados de la naturaleza, donde cada estado de la naturaleza tiene una probabilidad de ocurrencia p.

o 3. Armar distribuciones de probabilidad compuestas a partir de la opinión de dos o más expertos, donde a la opinión de cada experto se le otorga una ponderación p .

o Parámetros: Discrete ({x i },{p i }

42. Obtención de distribuciones de probabilidad a partir de opiniones diferentes

o Definir una distribución Discreta donde {x i } representa la opinión de los expertos y {p i } es la ponderación asignada a cada opinión.

o Enfoques incorrectos:

o Tomar la opinión más conservadora (no se usa toda la información disponibles, se genera una distribución sesgada)

o Promediar los valores de las opiniones: se subestima la variabilidad (recordar TCL)

43. Series de datos: Selección de Distribuciones

o 1. ¿Se trata de una variable discreta o continua?

o 2. ¿Es realmente necesario ajustar los datos a una distribución de probabilidad teórica?

o 3. ¿Hay correspondencia entre el rango teórico de la variable y la distribución a ajustar?

44. Distribuciones empíricas: variables Discretas

o 1. Si la cantidad de datos no es muy elevada, la frecuencia de datos para cada valor de x puede ser usada directamente para definir una distribución Discreta.

o 2. Si hay muchos datos, es más fácil ordenar los datos en forma de histograma y definir entonces una distribución Acumulada con parámetros {x i } , {F(x i )} , min , max

o Se puede reintroducir el caracter discreto de la variable incluyendo la distribución Acumulada dentro de una función ROUND (redondeo)

45. Distribuciones empíricas: variables Continuas

o 1. Se plotea la frecuencia acumulada de los datos observados.

o 2. Se hace un ranking de los datos en orden ascendente.

o 3. Se estima un mínimo y un máximo en forma subjetiva.

o 4. Se calcula la probabilidad acumulada para cada valor de x según la fórmula:

§ F(x i ) = i / ( n +1)

§ i = rango del dato observado

§ n = cantidad de datos observados

o {x i } , {F(x i )} , min , max serán parámetros que se usen para definir una distribución Acumulada

46. Procesos estocásticos

o Un proceso estocástico es un sistema de eventos que se pueden contar, en el que los eventos ocurren de acuerdo a un proceso aleatorio bien definido.

47. Distribuciones de probabilidad para Procesos Discretos

o Un Proceso Discreto se caracteriza por una probabilidad p de ocurrencia de un evento discreto en cada prueba.

o Una vez que se tiene una estimación de p , se pueden estimar:

o 1. Distribución de la cantidad s de ocurrencia de un evento en n pruebas: Binomial (n,p)

o 2. Distribución de la cantidad de pruebas hasta que ocurra un evento por primera vez : 1 + Geométrica (p)

o 3. Distribución de la cantidad de pruebas hasta que ocurran s eventos: s + Negbin (s,p)

48. Distribuciones de probabilidad para Procesos Discretos

o Para que las distribuciones de probabilidad mencionadas sean de aplicación se debe cumplir el supuesto que el sistema a estudiar tiene las características de un Proceso Binomial.

o Proceso Binomial : la probabilidad de ocurrencia de un evento es constante e independiente de la cantidad o proximidad en el tiempo de eventos ya ocurridos.

49. Beta

o Aplicaciones: estimar la probabilidad de ocurrencia p de un evento, a partir de la observación de s eventos en n pruebas.

o Parámetros: Beta (alfa1,alfa2)

o alfa 1 : s+1 alfa2: n-s+1

o La distribución Beta puede tomar muchas formas, según los valores de alfa1 y alfa2 .

o A medida que aumenta n , se gana precisión en la estimación de p (la distribución de p se comprime)

50.

o Dada la gran variedad de formas que puede asumir según los valores asignados a los parámetros, la distribución Beta también se usa para describir datos empíricos.

o Si los valores de ambos parámetros son iguales, Beta es simétrica.

o Si alfa1 es menor que alfa2, la distribución está sesgada hacia la derecha.

o Si alfa1 es mayor que alfa2, la distribución está sesgada hacia la izquierda

51. Binomial

o Aplicaciones: estimar la distribución de la cantidad s de ocurrencias de un evento en n pruebas, cuando hay una probabilidad p de ocurrencia del evento en cada prueba.

o Parámetros: Binomial (n,p)

o Para n >30 o cuando p es alta, la distribución Binomial puede ser aproximada por una distribución Normal (( np ),( npq ) 1/2 ).

52. Condiciones subyacentes a una distribución Binomial

o En cada prueba sólo hay dos resultados posibles

o Las pruebas son independientes (lo que ocurre en la primera prueba no afecta a la segunda, y sucesivamente).

o La probabilidad de ocurrencia del evento se mantiene constante a través de las pruebas (no hay un proceso de aprendizaje)

53. Geométrica

o Aplicaciones: estimar la cantidad n de pruebas necesarias hasta la ocurrencia del primer evento, cuando la probabilidad p de ocurrencia de un evento se mantiene constante en el tiempo.

o Parámetros: n = 1 + Geometric (p)

o La distribución Geométrica es análoga a la distribución Exponencial: Geométrica se aplica a variables discretas, Exponencial se aplica a variables continuas.

54. Condiciones subyacentes de una distribución Geométrica

o La cantidad de eventos no está prefijada.

o Se continúa con las pruebas hasta lograr el primer éxito.

o La probabilidad de éxito p es constante a través de las pruebas.

55. Binomial Negativa

o Aplicaciones: estimar la distribución de la cantidad n de pruebas hasta que ocurran s eventos, cuando la probabilidad p de ocurrencia de un evento es constante en el tiempo.

o Parámetros: n = s + Negbin (s,p)

o s es el parámetro que le da la forma a la distribución.

56. Condiciones subyacentes de una distribución Binomial Negativa

o La cantidad de pruebas no está prefijada.

o Se continúa con las pruebas hasta que se observa la cantidad de eventos (s) buscada.

o La probabilidad de éxito p es constante de prueba a prueba.

57. Distribución Hipergeométrica

o Al igual que la distribución Binomial, esta distribución describe la cantidad de ocurrencias de un evento en una cantidad de pruebas.

o La diferencia con la distribución Binomial es que a medida que se avanza con las pruebas cambia la probabilidad de ocurrencia del evento: pruebas sin reemplazo.

58. Condiciones subyacentes de una distribución Hipergeométrica

o La cantidad total de elementos de una población es finita.

o La muestra representa una porción de la población.

o La probabilidad de ocurrencia del evento en la población es conocida y cambia ligeramente luego de cada prueba.

59. Distribuciones de probabilidad para Procesos Continuos

o Un Proceso Continuo se caracteriza por un Intervalo Medio de Tiempo entre Eventos ( beta ).

o Una vez que se tiene una estimación de beta , se puede estimar también:

o 1. Distribución de la cantidad de eventos por unidad de tiempo: Poisson (lambda)

o 2.Distribución de Tiempo hasta la ocurrencia del próximo evento: Exponencial ( beta )

o 3. Distribución de Tiempo hasta que ocurran n eventos: Gamma ( n, beta )

60. Distribuciones de probabilidad para Procesos Continuos (cont.)

o Para que estas distribuciones sean aplicables se debe cumplir el supuesto que el sistema estudiado tiene las características de un Proceso tipo Poisson.

o Proceso tipo Poisson : la probabilidad de ocurrencia de un evento por unidad de exposición es constante e independiente de la cantidad o proximidad de eventos ocurridos.

o La unidad de exposición puede ser cualquier variable continua (tiempo, distancia, etc)

61. Estimación del Intervalo Medio de Tiempo entre Eventos ( beta )

o beta es el intervalo de exposición promedio entre n eventos observados.

o El verdadero valor de beta puede ser estimado a partir de n eventos observados valiéndose del TCL:

o beta = Normal ( t,sigma/(n-1) 1/2 )

§ t = promedio de los n-1 intervalos contiguos

§ sigma = desvío standard de los t i intervalos.

o La precisión de la estimación de beta aumenta a medida que aumenta n.

62. Poisson

o Aplicaciones: estimar la cantidad N de ocurrencias de un evento en un intervalo de tiempo T cuando el tiempo medio entre eventos sucesivos ( beta ) se ajusta a un proceso tipo Poisson.

o Parámetros: N = Poisson ( lambda * t )

o lambda = 1 / beta

o Lambda se puede interpretar como la cantidad promedio de ocurrencias del evento por unidad de exposición.

63. Condiciones subyacentes a una distribución Poisson

o La cantidad de eventos por unidad de exposición no está limitada a un valor discreto.

o Los eventos son independientes entre sí (el número de eventos en un intervalo de exposición no afecta al número de eventos en otro intervalo de exposición).

o La cantidad promedio de eventos se mantiene constante de intervalo a intervalo.

64. Exponencial

o Aplicaciones: estimar la distribución del (tiempo) entre ocurrencias sucesivas de un evento que tiene una probabilidad de ocurrencia p constante por unidad de (tiempo).

o Parámetros: Expon ( beta )

o Si la probabilidad p de ocurrencia del evento es constante a través del tiempo, la estimación del tiempo que medie hasta la ocurrencia del próximo evento es independiente del tiempo que haya transcurrido desde la última ocurrencia.

65. Gamma

o Aplicaciones: estimar la distribución del tiempo requerido para la ocurrencia de alfa eventos, cuando los eventos se ajustan a un Proceso tipo Poisson con tiempo medio de ocurrencia entre eventos beta .

o Esta distribución se usa bastante en meteorología, seguros y teoría de colas.

o Parámetros: Gamma ( alfa, beta )

66. Condiciones subyacentes de una distribución Gamma

o La cantidad de posibles ocurrencias de un evento en cualquier unidad de medida no está limitada a valores discretos.

o La ocurrencia de los eventos es independiente entre sí.

o La cantidad promedio de ocurrencias del evento se mantiene constante entre intervalos sucesivos.

67. Patrones lógicos comunes a Procesos Discretos y Continuos

o En un Proceso Binomial, el parámetro descriptivo clave es p , probabilidad de ocurrencia del evento en cada prueba, que se asume constante para todas las pruebas

o En un proceso Poisson, el parámetro descriptivo clave es lambda (cantidad media de eventos que ocurren por unidad de exposición) que se asume es constante sobre el período total de exposición.

68. Weibull

o La distribución Weibull (alfa ,beta ) asume que la probabilidad p de ocurrencia del evento cambia con el transcurso del tiempo.

§ alfa = 1 probabilidad constante (Exponencial)

§ alfa > 1 probabilidad creciente

§ alfa < 1 probabilidad decreciente.

§ alfa es el parámetro de forma, beta es el parámetro de ubicación.

§ El parámetro beta permite representar una distribución exponencial con valor mínimo distinto de 0.

69. Normal

o Aplicaciones: una variedad de situaciones, como se desprende del Teorema Central del Límite.

o Es útil en finanzas pues la suma o diferencia de distribuciones Normales resulta también en una distribución Normal con parámetros que pueden ser determinados a partir del TCL.

o Parámetros: Normal ( mu,sigma )

70. Estimación subjetiva de los parámetros de una Normal

o Media: Valor más probable

o Desvío: el intervalo +/- 2*sigma contiene el 95% de los valores, por lo tanto:

o Sigma: (máximo – más probable) / 2

o La distribución Normal se extiende de -inf a + inf, aunque si CV<1/3 la probabilidad de que ocurra un valor negativo es menor que 0.14%.

71. Lognormal

o Aplicaciones: modelizar variables que son el producto de una cantidad de otras variables aleatorias que ocurren naturalmente.

o Generalmente brinda una buena representación de variables que se extienden de 0 a +inf y que tienen un sesgo positivo.

o Parámetros: Lognormal ( mu,sigma )

o Se usan como parámetros la media aritmética y el desvío standard de los datos disponibles.

72. Condiciones subyacentes de una distribución Lognormal

o La variable aleatoria puede tomar valores que aumentan sin límites pero no puede tomar valores negativos.

o La variable aleatoria tiene un sesgo positivo (modo < media) con la mayor parte de los valores cerca del límite inferior.

o El logaritmo natural de la variable se ajusta a una distribución Normal.

73. Pareto

o Aplicaciones: modelar cualquier variable que tenga un valor mínimo (que también es el más probable) para la cual la densidad de probabilidad decrece geométricamente hacia cero.

o Parámetros : Pareto ( tita , a )

§ a = valor mínimo y modal

74. Valor Extremo (Gumbel)

o Se usa para describir valores extremos de una variable en un período de tiempo (caudales, precipitaciones, fuerza de rotura de materiales, etc).

o Parámetros : modo, parámetro de escala.

o Los datos usados para ajustar los parámetros de la distribución pueden provenir de una submuestra de tamaño 2 x (n) 1/2 que incluya los valores de un extremo de la muestra.

75. Ajuste de los datos a una distribución teórica

o Los parámetros de la distribución que permitan lograr el mejor ajuste a los datos se determinan usualmente mediante alguno de los siguientes dos métodos:

o 1. Estimadores de Máxima Verosimilitud : maximizan la probabilidad que la distribución definida con estos parámetros sea capaz de generar los datos observados.

o 2. Minimización de las diferencias absolutas entre los valores de probabilidad acumulada observados y los derivados de la distribucón teórica (usando programas de optimización)

76. Indicadores de Bondad de Ajuste

o Los indicadores estadísticos de Bondad de Ajuste más usados son 3:

o 1. Para distribuciones discretas y continuas, tanto numéricas como no numéricas: Chi cuadrado . Es el indicador menos potente.

o 2. Para distribuciones continuas: Kolmogorov-Smirnov (K-S). No es muy sensible para detectar discrepancias en las colas de la distribución.

o 3. Anderson-Darling (versión sofisticada de K-S), pone más énfasis en las colas.

77. Indicadores de Bondad de Ajuste

o Cuanto menor sea el valor de cada indicador, mayor será el ajuste aparente entre la distribución teórica y los datos observados.

o Los valores standard de K-S y A-D son de uso limitado para comparar valores críticos cuando hay menos de 30 observaciones. Esto se puede corregir usando K-S y A-D modificados.

o Hay muchas distribuciones que tienen formas similares y que pueden ser capaces de generar los datos observados .

78. Dependencia y Correlación

o Una relación de Dependencia ocurre cuando el valor muestreado de una variable (independiente) tiene una relación estadística que determina aproximadamente el valor que va a ser generado para la otra variable (dependiente).

o La diferencia principal entre Dependencia y Correlación es que la primera presupone una relación causal, mientras que la segunda no (puede haber un factor externo que afecta a ambas variables).

79. Correlación Lineal (Pearson)

o El coeficiente r da una medida de la covarianza entre dos conjuntos de datos.

o r puede tomar valores desde -1 a +1

o Al dividir por los desvíos standard de cada conjunto de datos se logra un índice de covarianza que no depende de las unidades de medida en que están expresados los datos.

o Supuestos: la relación entre variables es de tipo lineal.

80. Correlación por orden de rango (Spearman)

o Es un método no paramétrico para cuantificar la relación entre variables.

o r puede tomar valores desde -1 a +1

o Ventajas:

§ 1. Las variables se correlacionan de acuerdo al rango de valores generados en cada distribución. Esto significa que todas las distribuciones correlacionadas preservan su forma original.

§ 2. Como no depende de supuestos acerca de la relación matemática de las variables a correlacionar, puede ser aplicable a cualquier tipo de relación entre distribuciones (lineal, no lineal).

81.

o El coeficiente de correlación de Pearson mide la intensidad de la relación lineal entre variables.

o Si dos variables aleatorias no tienen la misma distribución de probabilidad, es improbable que se relacionen en forma lineal, por lo que el coeficiente de correlación tendrá poco significado.

o Si se toman los valores según rangos y no según valores absolutos, el coeficiente de correlación así calculado tiene sentido incluso para variables con diferentes distribuciones.

82. Desventajas de correlacionar variables mediante el coeficiente Spearman

o 1. Es difícil estimar el coeficiente de correlación entre dos distribuciones de formas diferentes.

o 2. El mismo coeficiente de correlación puede resultar en diferentes gráficos de puntos para diferentes distribuciones correlacionadas. Esto puede ser aún más marcado si las distribuciones a correlacionar son diferentes.

83. Recomendaciones respecto al uso de coeficientes de correlación de Spearman

o 1. Usar estos coeficientes para correlacionar variables que tengan un impacto menor sobre los resultados del modelo.

o 2. Tratar de restringir su uso a correlacionar distribuciones de geometría similar.

o 3. Si se correlacionan distribuciones de geometría diferente, antes de aceptar el coeficiente observar el gráfico de puntos resultante.

o 4. Evitar correlacionar distribuciones cuando no haya una razón lógica que permita suponer una correlación.

84. Matrices de Correlación

o Permiten correlacionar varias distribuciones de probabilidad mediante coeficientes de Spearman.

o Como la fórmula de los coeficientes de correlación por orden de rango es simétrica, los elementos de la matriz son simétricos alrededor de la diagonal.

o Tiene que haber una cierta lógica en los coeficientes ingresados (p.ej. condición transitiva)

85. Efectos de la correlación sobre los resultados del modelo

o El efecto es función de:

o Relación entre las variables correlacionadas y el resultado.

o Forma de las distribuciones correlacionadas.

86. Efecto de la correlación sobre el resultado de la Suma de dos variables correlacionadas (modelos aditivos)

o El valor esperado del resultado no se ve afectado por la presencia de correlación.

o El desvío standard del resultado aumenta a medida que aumenta r ( si las variables correlacionadas “tiran” el resultado para el mismo lado ) .

87. Efecto de la correlación sobre el resultado del producto de dos variables correlacionadas (modelos multiplicativos)

o El valor esperado del resultado aumenta a medida que aumenta r (toda la distribución se desplaza hacia la derecha a medida que aumenta r ).

o No se pueden hacer generalizaciones respecto al desvío standard, aunque en general aumenta a medida que aumenta r .

88. Coeficientes de correlación a partir de la opinión de expertos

o 1. Determinar la lógica de la relación entre las variables a correlacionar

o 2. Determinar cuál es la variable independiente

o 3. Definir la distribución de la variable independiente

o 4. Seleccionar varios valores de la variable independiente (incluyendo mínimo, máximo y al menos otros dos puntos relevantes)

89. Coeficientes de correlación a partir de la opinión de expertos (cont.)

o 5. Preguntar al experto por algunos valores de interés de la variable dependiente (mínimos, máximos, más probable) que estima se corresponderían con cada valor de la variable independiente.

o 6. Plotear estos valores y encontrar las ecuaciones que unan cada conjunto de valores.

o 7. Usar estas ecuaciones en una distribución Triangular o BetaPert para definir la variable dependiente.

90. Determinación de la contribución relativa de cada variable a la variabilidad del resultado

o Los coeficientes de correlación entre el resultado y las variables dan una idea de la influencia de cada variable, pero no cuantifican esta influencia.

91.

o Si el modelo es aditivo , la contribución relativa de cada variable a la variabilidad total puede estimarse de la siguiente manera:

§ 1. Calcular el coeficiente de correlación entre cada variable y el resultado.

§ 2. Calcular la suma de estas correlaciones.

§ 3. Dividir cada coeficiente por la suma. Las fracciones resultantes representan aproximadamente la contribución relativa de cada variable a la variabilidad total.

92.

o Cuando el modelo no es aditivo y/o las variables no son independientes:

§ 1. Correr una simulación inicial, con todas las variables especificadas.

§ 2. Correr luego varias simulaciones, en cada una de las cuales se “congela” una variable en su valor esperado.

§ 3. Anotar el desvío standard del resultado de cada simulación.

§ 4. Calcular la reducción en la variabilidad del resultado para cada simulación en la cual se haya “congelado” una variable.

§ 5. Normalizar dividiendo el valor absoluto de la reducción por la suma de todas las reducciones. Las fracciones resultantes darán una estimación de la contribución porcentual de cada variable a la variabilidad total.

Códigos maliciosos

(malicious code, vandals). En seguridad informática, código malicioso es un término que hace referencia a cualquier conjunto de códigos, especialmente sentencias de programación, que tiene un fin malicioso. Esta definición incluye tanto programas malignos compilados, como macros y códigos que se ejecutan directamente, como los que suelen emplearse en las páginas web (scripts).

Los códigos maliciosos pueden tener múltiples objetivos como:
* Extenderse por la computadora, otras computadoras en una red o por internet.
* Robar información y claves.
* Eliminar archivos e incluso formatear el disco duro.
* Mostrar publicidad invasiva.

Mínimos cambios en un código malicioso, pueden hacer que ya no sea reconocido como malicioso por un programa antivirus; es por esta razón que existen tantas variantes de los virus, los gusanos y otros malwares. Además, los antivirus todavía no tienen la suficiente «inteligencia» como para detectar códigos maliciosos nuevos.

Spam

De Wikipedia, la enciclopedia libre

Saltar a navegación, búsqueda

Para la gestión del spam en Wikipedia, véase Wikipedia:Spam.

Para el alimento en lata, véase Spam (alimento).

Se llama spam, correo basura o sms basura a los mensajes no solicitados, no deseados o de remitente desconocido, habitualmente de tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor. La acción de enviar dichos mensajes se denomina spamming.

Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico.

Otras tecnologías de internet que han sido objeto de correo basura incluyen grupos de noticias, usenet, motores de búsqueda, wikis, foros, blogs, también a través de popups y todo tipo de imágenes y textos en la web.

El correo basura también puede tener como objetivo los teléfonos móviles (a través de mensajes de texto) y los sistemas de mensajería instantánea como por ejemplo Outlook, Lotus Notes, etc.

También se llama spam a los virus sueltos en la red y páginas filtradas (casino, sorteos, premios, viajes y pornografía), se activa mediante el ingreso a páginas de comunidades o grupos o acceder a links en diversas páginas.

Una carpeta KMail llena de correos no deseados recibidos en un corto período.

Historia

El correo basura mediante el servicio de correo electrónico nació el 5 de marzo de 1994. Este día una firma de abogados, Canter and Siegel, publica en Usenet un mensaje de anuncio de su firma legal; el día después de la publicación, facturó cerca de 10.000 dólares por casos de sus amigos y lectores de la red. Desde ese entonces, el marketing mediante correo electrónico ha crecido a niveles impensados desde su creación.

Aunque existen otras versiones de su origen lo datan el 3 de mayo de 1978, 393 empleados de ARPANET, el predecesor de Internet gestionado por el gobierno estadounidense, recibían con sorpresa un correo de la compañía de ordenadores DEC invitándoles al lanzamiento de un nuevo producto.^[^1]

El correo basura por medio del fax (spam-fax), es otra de las categorías de esta técnica de marketing directo, y consiste en enviar faxes masivos y no solicitados a través de sistemas electrónicos automatizados hacia miles de personas o empresas cuya información ha sido cargada en bases de datos segmentadas según diferentes variables.

Historia del término

Lata de SPAM.

El origen de la palabra spam tiene raíces estadounidenses:

La empresa charcutera estadounidense Hormel Foods lanzó en 1937 una carne en lata originalmente llamada Hormel’s Spiced Ham. El Spam fue el alimento de los soldados soviéticos y británicos en la Segunda Guerra Mundial, y desde 1957 fue comercializado en latas que ahorraban al consumidor el uso del abrelatas.

Más adelante, el grupo británico Monty Python empezó a hacer burla de la carne en lata. Su costumbre de gritar la palabra spam en diversos anuncios publicitarios se trasladó al correo electrónico no solicitado, también llamado correo basura.

Spam en diferentes medios

Spam en los blogs

Es una técnica de spam relativamente nueva, con el auge de los blogs. Consiste en dejar un comentario en una entrada, que por lo general no tiene nada que ver con la misma sino que tiene links a sitios comerciales, o promociona algún producto. Existen diferentes plugins para CMS’s para detectar y bloquear el spam, por ejemplo el Akismet,^[^2] un plug-in para WordPress.

Spam en el correo electrónico

El spam supone actualmente la mayor parte de los mensajes electrónicos intercambiados en Internet, siendo utilizado para anunciar productos y servicios de dudosa calidad. Rolex, eBay y viagra son los asuntos de los mensajes que compiten por el primer lugar en las clasificaciones de spam.^[^3] ^[^4] ^[^5] ^[^6] ^[^7]

Usualmente los mensajes indican como remitente del correo una dirección falsa. Por esta razón, no sirve de nada contestar a los mensajes de spam: las respuestas serán recibidas por usuarios que nada tienen que ver con ellos. Por ahora, el servicio de correo electrónico no puede identificar los mensajes de forma que se pueda discriminar la verdadera dirección de correo electrónico del remitente, de una falsa. Esta situación que puede resultar chocante en un primer momento, es semejante por ejemplo a la que ocurre con el correo postal ordinario: nada impide poner en una carta o postal una dirección de remitente aleatoria: el correo llegará en cualquier caso. No obstante, hay tecnologías desarrolladas en esta dirección: por ejemplo el remitente puede firmar sus mensajes mediante criptografía de clave pública.

Los filtros automáticos antispam analizan el contenido de los mensajes buscando, por ejemplo, palabras como rolex, viagra, y sex que son las más usuales en los mensajes de spam. No se recomienda utilizar estas palabras en la correspondencia por correo electrónico: el mensaje podría ser calificado como spam por los sistemas automáticos antispam.^{[cita requerida]}

Spam en foros

El spam en un foro de internet se produce cuando un usuario publica comentarios que contienen enlaces o algún tipo de referencia hacia alguna página web o foro similar, de igual contenido, o incluso ajeno al mismo, así como cualquier otro objetivo típico de publicidad, con el objetivo de atraer más usuarios y visitantes al mismo.

Últimamente se están abriendo hilos especiales dedicados al spam, para que los usuarios que quieran postear no ralenticen los demás hilos. Estos hilos dedicados al spam han cobrado verdadera importancia y resultan muy usados, tanto es asi, que algunos foros despues de tenerlos largo tiempo decidieron eliminarlos debido al hecho de que en muchas ocasiones estos subforos o temas eran muchos más usados que el resto de partes del foro principal, es decir, mientras que en Spam se posteaban mas de 50 mensajes diarios, en algunos casos, en el resto de apartados apenas se lograban 2 o 3 posteos.

Usualmente se confunde el término de spam, y se usa en casos en los que un usuario no hace ningún tipo de publicidad, este tipo de mensaje no es spam, ya que no busca lucrarse o atraer la atención de un usuario a un producto.

Spam en las redes sociales

Es una nueva forma de spam que consiste en enviar publicidad, ofertas de empleo, publicidad directamente a los usuarios de redes sociales profesionales sin que éstos lo hayan solicitado o en los foros de la red social.

Dos ejemplos de spam corporativo en este sector son el envío de invitaciones no solicitadas a los contactos de usuarios de Facebook, y la «respuesta automática» con publicidad que aleatoriamente se hace desde MSN Hotmail cuando alguien envía un mensaje a un buzón de dicha corporación.

que se carga al receptor el coste de los mensajes.

Spam en redes de IRC

Tan antiguo como el propio protocolo de IRC, el spam en redes de chat toma auge a raíz de la masificación de dicho medio de comunicación. Los mensajes de spam en redes de IRC tiene un coste irrisorio y por lo tanto son objetivo principal de redes de distribución de contenidos. Los mensajes más habituales suelen tener por objetivo la visita de otros canales de chat, la visita de webs y la difusión en general de contenidos de pago. Recientemente se constata la aparición de una nueva modalidad de spam que busca que el usuario perceptor de la publicidad use la telefonía móvil para contratar servicios de elevado coste. Esta practica esta penada por la Ley. En muchas ocasiones esta actividad es realizada por robots bajo seudónimos atractivos para llamar la atención del usuario. Son habituales los nombres como ‘joven_guapa’ o ‘soltera_busca’.

Técnicas de correo basura

Obtención de direcciones de correo

Direcciones de correo electrónico de un usuario de los Proyectos Wikimedia. Está en forma de imagen con ruido para protegerse de los spam-bots.

Los spammers (individuos o empresas que envían spam) utilizan diversas técnicas para conseguir las largas listas de direcciones de correo que necesitan para su actividad, generalmente a través de robots o programas automáticos que recorren internet en busca de direcciones. Algunas de las principales fuentes de direcciones para luego enviar el spam son:

Las propias páginas web, que con frecuencia contienen la dirección de su creador, o de sus visitantes (en foros, blogs, etc.).^[^8]
Los grupos de noticias de usenet, cuyos mensajes suelen incluir la dirección del remitente.
Listas de correo: les basta con apuntarse e ir anotando las direcciones de sus usuarios.
Correos electrónicos con chistes, cadenas, etc. que los usuarios de internet suelen reenviar sin ocultar las direcciones, y que pueden llegar a acumular docenas de direcciones en el cuerpo del mensaje, pudiendo ser capturadas por un troyano o, más raramente, por un usuario malicioso.
Páginas en las que se solicita tu dirección de correo (o la de «tus amigos» para enviarles la página en un correo) para acceder a un determinado servicio o descarga.^[^8]
Compra de bases de datos de direcciones de correo a empresas o particulares (ilegal en la mayor parte de los países).^[^8]
Entrada ilegal en servidores.
Por ensayo y error: se generan aleatoriamente direcciones, y se comprueba luego si han llegado los mensajes. Un método habitual es hacer una lista de dominios, y agregarles «prefijos» habituales. Por ejemplo, para el dominio wikipedia.org, probar info@wikipedia.org, webmaster@wikipedia.org, staff@wikipedia.org, etc.^[^8]

Envío de los mensajes

Ciclo del SPAM
(1): Sitio web de Spammers
(2): Spammer
(3): Spamware
(4): ordenadores infectados
(5): Virus o troyanos
(6): Servidores de correo
(7): Usuarios
(8): Tráfico Web.

Una vez que tienen una gran cantidad de direcciones de correo válidas (en el sentido de que existen), los spammers utilizan programas que recorren la lista enviando el mismo mensaje a todas las direcciones. Esto supone un costo mínimo para ellos, pero perjudica al receptor (pérdidas económicas y de tiempo) y en general a Internet, por consumirse gran parte del ancho de banda en mensajes basura.

Verificación de la recepción

Además, es frecuente que el spammer controle qué direcciones funcionan y cuáles no por medio de web bugs o pequeñas imágenes o similares contenidas en el código HTML del mensaje. De esta forma, cada vez que alguien lee el mensaje, su ordenador solicita la imagen al servidor del spammer, que registra automáticamente el hecho. Son una forma más de spyware. Otro sistema es el de prometer en los mensajes que enviando un mail a una dirección se dejará de recibirlos: cuando alguien contesta, significa no sólo que lo ha abierto, sino que lo ha leído. Si recibe un correo no solicitado debe borrarlo sin leerlo.

Troyanos y ordenadores zombis

Recientemente, han empezado a utilizar una técnica mucho más perniciosa: la creación de virus troyanos que se expanden masivamente por ordenadores no protegidos (sin cortafuegos). Así, los ordenadores infectados son utilizados por el spammer como «ordenadores zombis», que envían spam a sus órdenes, pudiendo incluso rastrear los discos duros o correos nuevos (sobre todo cadenas) en busca de más direcciones. Esto puede causar perjuicios al usuario que ignora haber sido infectado (que no tiene por qué notar nada extraño), al ser identificado como spammer por los servidores a los que envía spam sin saberlo, lo que puede conducir a que no se le deje acceder a determinadas páginas o servicios.Así,con la potencia de cálculo de todos los ordenadores infectados,pueden mandar el spam fácilmente sin que se enteren los propios usuarios,y pueden incluso mandar un virus al ordenador de una empresa importante.

Actualmente, el 40% de los mensajes de spam se envían de esta forma.

Servidores de correo mal configurados

Los servidores de correo mal configurados son aprovechados también por los spammer. En concreto los que están configurados como Open Relay. Estos no necesitan un usuario y contraseña para que sean utilizados para el envío de correos electrónicos. Existen diferentes bases de datos públicas que almacenan los ordenadores que conectados directamente a Internet permiten su utilización por los spammers. El más conocido es la Open Relay DataBase.

Medidas para evitar spam

Artículo principal: Antispam

A pesar que no existen técnicas infalibles para protegerse del spam, los expertos en seguridad informática recomiendan una serie de acciones para reducir la cantidad de correo electrónico no deseado:

Usar una imagen para la dirección de correo electrónico.
En vez de poner el enlace a tu cuenta, usa una redirección (puede ser temporal o por un número de usos), y bórrala cuando recibas excesivo spam.
Modificar la dirección para evitar el rastreo automático.

En los grupos de noticias y listas de correo:

No poner el remitente verdadero en los post enviados.
Si el archivo de mensajes a la lista es visible desde web, cambiar las direcciones de remite por una imagen, ocultarlas, o escribirlas de forma que sea difícil reconocerla como tal para un programa.
Para evitar spam en una lista:
- El foro puede estar moderado, para evitar mensajes inadecuados.
- Rechazar correos de usuarios no suscritos a la lista.

Proyectos y servicios contra el correo basura

Cartel anti SPAM.

SPF: Tecnología creada para verificar que los remitentes de los mensajes de correo son quienes dicen ser.
DomainKeys: Otra tecnología que sirve para lo mismo que SPF y que además asegura que los emails no han sido modificados.
SenderID:^[^9] Tecnología de Microsoft que pretende competir con SPF, incluso utilizando esas mismas siglas para una tecnología que en la práctica es distinta.^[^10] En realidad SenderID utiliza consultas DNS parecidas a SPF sólo como primer paso de su proceso,^[^11] que involucra también filtros antispam basados en contenido. SenderID ha sido adoptado por hotmail.^[^12] En la práctica esto obliga a adoptar esta tecnología o verse excluido de esas direcciones,^[^13] que suponen unos 260 millones de usuarios en todo el mundo.^[^14] No obstante, los resultados de su tecnología, y/o otras medidas paralelas adoptadas, están causando serios problemas en dominios enteros en todo el mundo.^[^15] ^[^16]
Proyectos como el proyecto Harvester y el emailharvest recopilan IPs de spammers para bloquearlas mediante una trampa. Ponen direcciones email que indican la dirección del spammer y cuando él envía un email a esa dirección se sabe desde qué dirección fue capturada, con lo que puede filtrar al spammer.
Redirecciones temporales.

Legislación

En España el correo electrónico no solicitado está terminantemente prohibido por la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), publicada en el BOE del 12 de julio de 2002.

Aparte, a los poseedores de bases de datos de correos electrónicos se les puede aplicar la Ley Orgánica de Protección de Datos (LOPD) en el supuesto que los destinatarios del spam sean personas físicas.

De hecho, las sentencias en España referidas al correo electrónico no solicitado están relacionadas con esta ley; sin embargo, dicha ley no hace mención de la palabra «Spam», sino al nombre «comunicaciones comerciales enviadas por medios electrónicos».

En Estados Unidos se promulgó la ley CAN-SPAM, que ha sido prácticamente inefectiva.

España

En España es posible la denuncia del SPAM ante la Agencia Española de Protección de Datos que es la competente para perseguirlo, en caso que el spam sea de origen español.

Esta practica está sancionada en el artículo 21 de la Ley 34/2002, de 11 de Julio de Servicios de la Sociedad de Información y Comercio Electrónico (LSSI) que dispone:

Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

El régimen sancionador de la LSSI clasifica las infracciones por SPAM en:

Infracciones graves:

… c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

Infracciones leves:

… d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.

Y finalmente dispone las sanciones siguientes:

Artículo 39. Sanciones.

1. Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:

b) Por la comisión de infracciones graves, multa de 30.001 hasta 150.000 euros.

c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Artículo 45. Prescripción, respecto a la prescripción de las infracciones:

Las infracciones muy graves prescribirán a los tres años, las graves a los dos años y las leves a los seis meses, las sanciones impuestas por faltas muy graves prescribirán a los tres años, las impuestas por faltas graves a los dos años y las impuestas por faltas leves al año.

Piratería

¿Qué es la piratería informática?

Al contrario de lo que ocurre con otras cosas que adquiere, las fuentes y las aplicaciones de software que compra no le pertenecen. En lugar de eso, se convierte en un usuario con licencia: adquiere el derecho a utilizar el software en un único equipo, aunque no puede instalar copias en otros equipos ni pasárselo a los compañeros. La piratería informática es la distribución o reproducción ilegal de las fuentes o aplicaciones de software de Adobe para su utilización comercial o particular. Sea deliberada o no, la piratería informática es ilegal y está castigada por la ley.

La piratería se presenta de diversas formas. Estas son algunas de las formas de piratería más habituales:

Duplicado de usuario con licencia para usuarios sin licencia

Cuando se copia software sin haber adquirido la cantidad adecuada de licencias, se infringen las leyes de copyright. Todas estas actividades son formas de piratería informática:

Hacer una copia de un programa para un amigo.
Una empresa que oculta el número real de equipos en los que se utiliza un programa.
Incluir copias de las fuentes de Adobe al enviar archivos.

Más información sobre el uso ilegal de fuentes de Adobe.

Distribución ilegal a través de Internet

Tenga cuidado cuando compre software a través de Internet. Muchos distribuidores con tienda virtual en Internet o que venden a través de sitios de subastas distribuyen copias de software de forma ilegal a sabiendas. Según las estimaciones, hasta un 90% del software que se vende a través de sitios de subastas en Internet es pirata o de dudosa legitimidad. Por eso, si el precio parece demasiado bueno para ser cierto, probablemente el producto sea falso.

Algunos sitios web prometen posibles descargas gratuitas. Dichos sitios distribuyen software de forma ilegal. Además, no existe ninguna garantía de que el software sea seguro o de que vaya a funcionar de forma adecuada cuando se instale. La única posibilidad legal de descargar el software de Adobe de forma gratuita es cuando se lanzan ofertas especiales de prueba. Normalmente, estas ofertas solo se encuentran en Adobe.com/la. Dichas ofertas permiten la utilización del software únicamente durante un periodo limitado.

Para que sus adquisiciones le aporten la protección y la funcionalidad completa del software legal, se recomienda que compre solo en Distribuidor autorizado de Adobe*. Para obtener más información acerca de la piratería informática a través de Internet, descargue este estudio de Software & Information Industry Association*.

Utilización ilegal de Adobe Acrobat en red

Adobe Acrobat es una herramienta útil que ayuda a los empleados a comunicarse de forma eficaz y segura dentro de la empresa. Dada la necesidad de compartir los archivos de Acrobat con una amplia red de empleados y socios, existen algunas condiciones específicas en los acuerdos de licencias que deben tenerse en cuenta. Consulte Preguntas frecuentes sobre las licencias de Adobe para obtener más información.

Distribución de versiones educativas especiales a clientes sin autorización

Adobe crea versiones especiales de su software para satisfacer las necesidades del mercado educativo. Dichas versiones llevan etiquetas bien visibles para evitar confusiones con otros sectores del mercado. Está prohibido copiar dichas versiones especiales para su distribución en otros mercados. Para saber si es apto para precios del mercado educativo, entre en Adobe en la educación.

Distribución de fuentes o software de Adobe falsos

Tenga cuidado cuando compre software a través de Internet. Muchos distribuidores con tienda virtual en Internet o que venden a través de sitios de subastas distribuyen copias de software de forma ilegal a sabiendas. Según las estimaciones de la Software & Information Industry Association, hasta un 90% del software que se vende a través de sitios de subastas en Internet es pirata o de dudosa legitimidad. Por eso, si el precio parece demasiado bueno para ser cierto, probablemente el producto sea falso.

Algunos distribuidores tratan de modificar el software o las fuentes de Adobe para venderlo de forma ilegal con otro nombre de producto, lo que resulta en problemas de calidad y de transferencia de archivos. Compre únicamente productos de Adobe auténticos.

Fuga de información

La mayor parte de las empresas pierden información valiosa por el extravío de los dispositivos electrónicos y en menor porcentaje por robo.

Generalmente hablamos que los problemas que se generan en la seguridad informática pasan por el concepto de cultura de seguridad. No obstante, se hace muy poco para lograrla y en muchas ocasiones se ha dicho que la creación de un programa de concienciación sobre la importancia de la información y su protección en las organizaciones contribuiría a la sinergia de reforzar el eslabón más débil de la cadena, que es el usuario final.

Así, un plan de cultura organizacional dirigido a la seguridad informática debe ser completo, esto es, que incluya políticas sobre aspectos de seguridad, reuniones con grupos objetivo, una metodología adecuada, y sobre todo, estar apoyada por la alta dirección.

Cuando se da vida al programa de cultura, tenemos que entender que este escenario es dinámico y por lo tanto está en construcción permanente, lo que significa que sus definiciones y documentos debemos usarlas todos los días, pues no se trata de elaborar un texto para archivarlo y dejarlo llenar de polvo en un escritorio de la organización. Adicionalmente, se hace necesaria la creación de indicadores que nos permitan medir (lo que no se mide, no se puede mejorar) la eficiencia del programa e identificar las variaciones para de esa manera aplicar los correctivos y mejoras necesarios que lleven al funcionamiento óptimo del programa.

Muy seguramente en el camino nos encontraremos con algunos obstáculos que hay que sortear y que son de carácter general en cualquier organización que quiera implementar un plan de cultura para la seguridad. Algunos de los obstáculos pueden ser:

• No reconocer que la seguridad es tarea de todos
• La llegada de una nueva tecnología
• La falta de seguimiento adecuado al programa
• No recibir apoyo de la alta dirección
• Empleados reacios a cambiar paradigmas

Teniendo en cuenta lo antes dicho, debemos encontrar el equilibrio que nos permita definir qué clase de metodología se necesita en nuestras organizaciones. Generalmente las metodologías utilizadas constan de cinco grandes ítems: análisis, diseño, desarrollo, implementación y una evaluación y mantenimiento. También por supuesto, se hace necesario que las campañas de culturización sean de forma completa y no simplemente con carteles que vemos pegados en paredes de la empresa, pues por sí solos no consiguen nada.

Es interesante comprender que por muy robustos sistemas de seguridad que se posean, es inútil si el usuario no forma parte del programa de cultura de seguridad y si no se desarrolla una métrica para evaluar el avance del mismo, que permita precisar si realmente se está cumpliendo o no con los objetivos del programa.

Ingeniería social

Ingeniería social (seguridad informática)

En el campo de la inseguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema «los usuarios son el eslabón débil». En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas «cadenas», llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos.

Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema esta solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de «crear una cuenta», «reactivar una configuración», u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato.

Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos «íntimas» de alguna persona famosa o algún programa «gratis» (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

La ingeniería social también se aplica al acto de manipulación cara a cara para obtener acceso a los sistemas computacionales.

La principal defensa contra la ingeniería social es educar y entrenar a los usuarios en el uso de políticas de seguridad y asegurarse de que estas sean seguidas.

Uno de los ingenieros sociales más famosos de los últimos tiempos es Kevin Mitnick. Según su opinión, la ingeniería social se basa en estos cuatro principios:

Todos queremos ayudar.
El primer movimiento es siempre de confianza hacia el otro.
No nos gusta decir No.
A todos nos gusta que nos alaben.

Intrusos informaticos

Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

Existen tres tipos de sistemas de detección de intrusos los cuáles son:

· HIDS (HostIDS): un IDS vigilando un único ordenador y por tanto su interfaz corre en modo no promiscuo. La ventaja es que la carga de procesado es mucho menor.

· NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red.

· DIDS (DistributedIDS): sistema basado en la arquitectura cliente–servidor compuesto por una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información de posibles ataques en una unidad central que puede almacenar o recuperar los datos de una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas reglas de control especializándose para cada segmento de red. Es la estructura habitual en redes privadas virtuales (VPN).

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Los IDS suelen disponer de una base de datos de «firmas» de ataques conocidos.

Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

Sistemas pasivos y sistemas reactivos

En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. En un sistema reactivo, el IDS responde a la actividad sospechosa reprogramando el cortafuegos para que bloquee tráfico que proviene de la red del atacante.

Implementación

Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez los registros de firmas y las bases de datos con los posibles ataques necesitan gran cantidad de memoria, aspecto a tener en cuenta.

En redes es necesario considerar el lugar de colocación del IDS. Si la red está segmentada con hub (capa 1 del modelo OSI) no hay problema en analizar todo el tráfico de la red realizando una conexión a cualquier puerto. En cambio, si se utiliza un switch (capa 2 del modelo OSI), es necesario conectar el IDS a un puerto SPAN (Switch Port Analiser) para poder analizar todo el tráfico de esta red.

Soluciones de Seguridad

La seguridad es un tema muy importante para cualquier empresa, este o no conectada a una red pública. No solamente es importante, sino que también puede llegar a ser compleja.
Los niveles de seguridad que se pueden implementar son muchos y dependerá del usuario hasta donde quiera llegar.

La seguridad informática y de datos dista mucho de simplemente tener un Firewall. Se aborda un proceso de seguridad recomendado a utilizar (al menos) las siguientes herramientas.

· Un firewall o combinación de ellos.

· Proxies.

· Un sistema de detección de intrusos o IDS.

· Sistemas de actualización automática de software.

· Sistemas de control de la integridad de los servidores, paquetes, etc.

· Un sistema de administración y control para monitorear la seguridad.

Kernel de Linux

Cuando se configura un firewall en Linux, esta configuración no se realiza en una aplicación que corre en el equipo, sino en el mismo núcleo del sistema operativo.
La estabilidad y robustez que caracterizan a Linux la obtiene de su núcleo, este es uno de los pedazos de software mejor programados que existen, por lo tanto utilizando un Linux como firewall se obtienen muchos beneficios.

· Velocidad – el núcleo es el que tiene mayor prioridad de procesamiento entre todos los procesos

· Mantenimiento de software hecho por miles de programadores – el núcleo de Linux lo mantienen muchas personas, por lo que las actualizaciones del mismo (potenciales agujeros de seguridad o «puertas traseras») son arregladas y publicadas con gran velocidad.

· Estabilidad – no es una aplicación ejecutandose en forma paralela

· Pocos requerimientos de hardware.

Comentarios

Latest Entries »

Información de seguridad frente a la seguridad informática

ISO 20000 – la norma de Gestión de Servicios

You can achieve ISO 20000 certification more easily when you use the information, standards, books and tools from this site. Puede obtener la certificación ISO 20000 de certificación más fácil cuando se utiliza la información, normas, libros y herramientas de este sitio.

The ISO/IEC 20000:2005 IT service management standard La norma ISO / IEC 20000:2005 de servicios de TI estándar de gestión

ISO 20000 Books and Tools ISO 20000 Libros y Herramientas

ISO 20000 Certification scheme ISO 20000 Sistema de Certificación

ISO 20000 scope Ámbito de aplicación la norma ISO 20000

ISO 20000 and ITIL ISO 20000 e ITIL

Avisos

Notas

Spam

Historia

Historia del término

Spam en diferentes medios

Spam en los blogs

Spam en el correo electrónico

Spam en foros

Spam en las redes sociales

Spam en redes de IRC

Técnicas de correo basura

Obtención de direcciones de correo

Envío de los mensajes

Verificación de la recepción

Troyanos y ordenadores zombis

Servidores de correo mal configurados

Medidas para evitar spam

Proyectos y servicios contra el correo basura

Legislación

España

¿Qué es la piratería informática?

Duplicado de usuario con licencia para usuarios sin licencia

Distribución ilegal a través de Internet

Utilización ilegal de Adobe Acrobat en red

Distribución de versiones educativas especiales a clientes sin autorización

Distribución de fuentes o software de Adobe falsos

Ingeniería social (seguridad informática)

Recent entries

Browse popular tags

Meta

Friends & links

Páginas

Archivos mensuales