Академический Документы
Профессиональный Документы
Культура Документы
SISTEMAS DE INFORMACIÓN
Contenido
ÍNDICE.................................................................................................................................................. 2
Monitorización: ........................................................................................................................... 9
FORMAS DE ATAQUE..................................................................................................................... 11
Estándares de Seguridad ............................................................................................................... 12
Factores principales que afectan las decisiones de diseño de los procesos ................................. 19
Pruebas de Aceptación:................................................................................................................. 23
Planificación .................................................................................................................................. 24
REFERENCIAS ..................................................................................................................................... 25
ADMINISTRACIÓN DE PROYECTOS
¿Qué es un proyecto?
Un proyecto es un esfuerzo complejo, no rutinario, limitado por el tiempo, el
presupuesto, los recursos y las especificaciones de desempeño y que se diseña
para cumplir las necesidades del cliente.
Este es un modelo genérico de ciclo de vida que puede ser utilizado como
referencia, especialmente cuando se quiere comunicar la evolución del proyecto a
personas poco habituadas a este tipo de gestión.
En la práctica no existe una única organización de fases ideal que se pueda aplicar
a todos los tipos de proyectos. Aunque existan modelos habituales en algunas
industrias, los proyectos pueden presentar variaciones muy significativas. Algunos
proyectos tendrán una sola fase, otros, en cambio, pueden constar de dos, tres,
cuatro o más fases. [2]
Incluye los procesos necesarios para garantizar que el proyecto incluya todo el
trabajo requerido para completarlo con éxito. Su objetivo principal es definir y
controlar que se incluye y que no se incluye en el proyecto.
SEGURIDAD INFORMÁTICA
La seguridad puede entenderse como aquellas reglas técnicas y/o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como
susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o
empresarial. En este sentido, es la información el elemento principal a proteger,
resguardar y recuperar dentro delas redes empresariales.
Amenazas y vulnerabilidades
Podemos agrupar las amenazas a la información en cuatro categorías: Factores
humanos, fallas en el sistema de procesamiento de la información, desastres
naturales y actos maliciosos.
Ataques informáticos
Es un intento organizado e intencionado causada por una o más personas para
causar daño o problemas a un sistema informático o red.
Tipos de ataques
Trashing (cartoneo):
Este ocurre generalmente cuando un usuario anota su login y password en un
papelito y luego, cuando lo recuerda, lo arroja a la basura. Esto por más inocente
que parezca es el que puede aprovechar un atacante para hacerse de una llave
para entrar al sistema.
Monitorización:
Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo
de establecer sus vulnerabilidades y posibles formas de acceso futuro.
Ataques de autenticación:
Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para
ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya
establecidas por la víctima u obteniendo su nombre de usuario y password.
Denial of Service(DoS):
Los protocolos existentes actualmente fueron diseñados para ser hechos en una
comunidad abierta y con una relación de confianza mutua. La realidad indica que
es más fácil desorganizar el funcionamiento de un sistema que acceder al mismo;
así los ataques de Negación de Servicio tienen como objetivo saturar los recursos
de la víctima de forma tal que se inhabilita los servicios brindados por la misma.
Modificación (daño):
la modificación o daño se puede dar como:
Tampering o Data Diddling: Esta categoría se refiere a la modificación
desautorizada de los datos o el software instalado en el sistema víctima (incluyendo
borrado de archivos). Borrado de Huellas: El borrado de huellas es una de las tareas
más importantes que debe realizar el intruso después de ingresar en un sistema, ya
que, si se detecta su ingreso, el administrador buscará como conseguir "tapar el
hueco" de seguridad, evitar ataques futuros e incluso rastrear al atacante.
Ingeniería Social
La Ingeniería Social es el acto de manipular a una persona a través de técnicas
psicológicas y habilidades sociales para cumplir metas específicas. Éstas
contemplan entre otras cosas: la obtención de información, el acceso a un sistema
o la ejecución de una actividad más elaborada (como el robo de un activo), pudiendo
ser o no del interés de la persona objetivo.
FORMAS DE ATAQUE
Las formas de ataque son muy variadas y dependen de la imaginación del atacante y
sus intereses. En general, los ataques de Ingeniería Social actúan en dos niveles: el
físico y el psicosocial.
Sus formas de ataque más comunes son:
Ataque cara a cara. El método más eficiente, pero a la vez el más difícil de
realizar. El perpetrador requiere tener una gran habilidad social y extensos
conocimientos para poder manejar adecuadamente cualquier situación que se
le presente. Las personas más susceptibles suelen ser las más “inocentes”, por
lo que no es un gran reto para el atacante cumplir su objetivo si elige bien a su
víctima.
Estándares de Seguridad
ISO 27000.
ANÁLISIS DE RIESGO
Métodos Semi-cuantitativos
Se utilizan clasificaciones de palabra como alto, medio o bajo, o descripciones más
detalladas de la probabilidad y la consecuencia. Estas clasificaciones se
demuestran en relación con una escala apropiada para calcular el nivel de riesgo.
Se debe poner atención en la escala utilizada a fin de evitar malos entendidos o
malas interpretaciones de los resultados del cálculo.
Métodos Cuantitativos:
Se consideran métodos cuantitativos a aquellos que permiten asignar valores de
ocurrencia a los diferentes riesgos identificados, es decir, calcular el nivel de
riesgo del proyecto.
Los métodos cuantitativos incluyen:
- Análisis de probabilidad
- Análisis de consecuencias
- Simulación computacional
En este paso se inicia el proceso del desarrollo de perfiles de riesgo para los activos
de información, resultado de la combinación de la posibilidad de materialización de
una amenaza (probabilidad) y sus consecuencias (impacto).
De acuerdo con el método, un área de preocupación es un enunciado descriptivo
que detalla una condición o situación del mundo real que puede afectar un activo de
información en la organización. Se deben generar tantas áreas como sean
necesarias para cada uno de los activos perfilados.
Identificar riesgos
Analizar riesgos
Los procesos genéricos requieren menos mantenimiento que los que son
altamente específicos.
Por ejemplo, puede modificar las funciones que se resuelven en una persona más
con más frecuencia que las funciones que se resuelven en un grupo de personas.
Cuando diseñe procesos, considere cómo desea manejar los valores nulos. Un
proceso puede alcanzar un punto de decisión que evalúa los datos del registro y
estos datos pueden no estar en el registro.
Cuando un registro toma una ruta negativa, puede diseñar el registro de modo que
se pueda modificar para que tome una ruta positiva. También puede diseñar el
registro para que salga permanentemente del proceso.
Los procesos de producción deben tener una capacidad adecuada para producir el
volumen de productos/servicios que desean los clientes y se han tener en cuenta
las medidas necesarias para expandir o contraer la capacidad para satisfacer las
necesidades del mercado.
Las empresas basan su actividad en los sistemas de información, apoyando su gestión con
los nuevos soportes tecnológicos. El uso masivo de estos sistemas para los negocios los
convierte en el objetivo de los HACKERS, que aprovechan las vulnerabilidades de los
mismos para acceder a ellos y desarrollar su actividad delictiva. Es fundamental para la
organización gestionar adecuadamente la infraestructura tecnológica sobre la cual se
sostiene nuestra información: servidores, dispositivos de red, repositorios documentales,
aplicaciones de gestión, sistemas de gestión empresarial, etc. El aumento de estos recursos
tecnológicos ha desembocado en que su gestión sea considerada como uno de los pilares
fundamentales, debido, sobre todo, a la dependencia que el negocio tiene de las
infraestructuras tecnológicas. [7]
A medida que nuestra dependencia tecnológica va creciendo, el departamento de
informática cobra mayor relevancia, al ser el responsable de que los equipos y la
información de la organización, así como de protegerlos adecuadamente. Este
departamento también tiene entre sus funciones aportar nuevas herramientas para
mejorar el desempeño de nuestro trabajo, así como soluciones para mejorar en la
seguridad de la información y su tratamiento.
MODELO DE PRUEBAS
¿Qué es un modelo de prueba?
Las pruebas de software son las investigaciones empíricas y técnicas cuyo objetivo
es proporcionar información objetiva e independiente sobre la calidad del producto
a la parte interesada o stakeholder. Es una actividad más en el proceso de control
de calidad.[8]
Las pruebas son básicamente un conjunto de actividades dentro del desarrollo de
software. Dependiendo del tipo de pruebas, estas actividades podrán ser
implementadas en cualquier momento de dicho proceso de desarrollo. Existen
distintos modelos de desarrollo de software, así como modelos de pruebas. A cada
uno corresponde un nivel distinto de involucramiento en las actividades de
desarrollo.
Niveles de prueba
Pruebas de Integración
Este tipo de pruebas son ejecutas por el equipo de desarrollo y consisten en la
comprobación de que elementos del software que interactúan entre sí, funcionan de
manera correcta.
Pruebas de Sistema
Este tipo de pruebas deben ser ejecutadas idealmente por un equipo de pruebas
ajeno al equipo de desarrollo, una buena práctica en este punto corresponde a la
tercerización de esta responsabilidad. La obligación de este equipo, consiste en la
ejecución de actividades de prueba en donde se debe verificar que la funcionalidad
total de un sistema fue implementada de acuerdo a los documentos de
especificación definidos en el proyecto. Los casos de prueba a diseñar en este nivel
de pruebas, deben cubrir los aspectos funcionales y no funcionales del sistema.
Para el diseño de los casos de prueba en este nivel, el equipo debe utilizar como
bases de prueba entregables tales como: requerimientos iniciales, casos de uso,
historias de usuario, diseños, manuales técnicos y de usuario final, etc. Por último,
es importante que los tipos de pruebas ejecutados en este nivel se desplieguen en
un ambiente de pruebas / ambiente de pre-producción cuya infraestructura y
arquitectura sea similar al ambiente de producción, evitando en todos los casos
utilizar el ambiente real del cliente, debido principalmente, a que pueda ocasionar
fallos en los servidores, lo que ocasionaría indisponibilidad en otros servicios
alojados en este ambiente. [9]
Pruebas de Aceptación:
Independientemente de que se haya pasado a tercer término el proceso de pruebas
y así la firma responsable de estas actividades haya emitido un certificado de
calidad sobre el sistema objeto de prueba, es indispensable, que el cliente designe
a personal que haga parte de los procesos de negocio para la ejecución de pruebas
de aceptación, es incluso recomendable, que los usuarios finales que participen en
este proceso, sean independientes al personal que apoyó el proceso de desarrollo.
Cuando las pruebas de aceptación son ejecutadas en instalaciones o ambientes
proporcionados por la firma desarrolladora se les denominan pruebas Alpha,
cuando son ejecutadas desde la infraestructura del cliente se les denomina pruebas
Beta. En los casos en que las pruebas de aceptación del producto se hayan
ejecutado en el ambiente del proveedor, el aplicativo no podrá salir a producción,
sin que se hayan ejecutados las respectivas pruebas Beta en el ambiente del cliente,
de lo anterior es importante concluir, que las pruebas Alpha son opcionales, pero
las pruebas Beta son obligatorias.
Planificación
En la Tabla 3 se muestra una comparación entre la planificación del proyecto y la realización de los
ciclos de prueba; el cliente estuvo de acuerdo con lo realizado en el ciclo de pruebas 2 y con lo
verificado en el plan de pruebas. Se evaluó en una reunión la satisfacción del cliente. En la Tabla 4
se observa una parte de la encuesta realizada; se establecieron como parámetros: 1 malo y 5
excelente
REFERENCIAS
[1] Administracion-de-Proyectos-4ed-Clifford-F-Gray-y-Erik-W-Larson
[2] E. Spafford. Seguridad Pr´actica en Unix e Internet
[3] ANALISIS DE RIESGO
http://www.03.ibm.com/software/products/es/category/risk-management
[4] Chase R. Aquinalo, N, y Jacobs F.R. Administración de producción y
Operaciones. Ed. MC Graw-Hill.
[5] Adler, M.O. (Coordinador) Produccion y operaciones ED. Macchi. 2004.
[6] Cohen, E. y Franco, R. (2000). Evaluación de Proyectos Sociales. México: Siglo
XXI Editores.
[7] Armijo, M. (2004). Buenas prácticas de gestión pública en América Latina.
Ponencia presentada en el IX Congreso Internacional.
[8] S. Sánchez Melchor. Una revisión y comparativa de Modelos de Procesos de
Pruebas, 2010.
[9] ISO-9001 (2014), Norma Internacional ISO 9001-2000, Spanish Translation Task
Group, Disponible en: http://www.ccoo. us.es/uploads/descargas/documentacion/
NormaInternacionalISO9001.pdf