implementacion de actividades para el control del …
TRANSCRIPT
1
IMPLEMENTACION DE ACTIVIDADES PARA EL CONTROL DEL SOFTWARE HARDWARE DE LA FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS
AMÉRICAS
JAIME ANDRES ROCHA
UNIVERSIDAD CATÓLICA DE PEREIRA PROGRAMA DE CIENCIAS BÁSICAS E INGENIERÍAS
PRACTICAS PROFESIONALES PEREIRA
2
2011 IMPLEMENTACION DE ACTIVIDADES PARA EL CONTROL DEL SOFTWARE
HARDWARE DE LA FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS
JAIME ANDRES ROCHA
Informe De Práctica Profesional
Tutora Liliana Martínez Rendón Ingeniera De Sistemas
UNIVERSIDAD CATÓLICA DE PEREIRA PROGRAMA DE CIENCIAS BÁSICAS E INGENIERÍAS
PRACTICAS PROFESIONALES PEREIRA
2011
3
TABLA DE CONTENIDO
1. INTRODUCCIÓN ........................................................................................................... 7
2. PRESENTACIÓN DE LA EMPRESA ............................................................................ 8
2.1. RESEÑA HISTORICA ............................................................................................. 8
2.1.1. RESEÑA HISTÓRICA EN LA SEDE PEREIRA ................................................. 10
2.2. MISION ................................................................................................................. 10
2.3. VISION .................................................................................................................. 10
2.4. SERVICIOS QUE PRESTA ................................................................................... 11
2.5. NUMERO DE EMPLEADOS ................................................................................. 13
3. DEFINICIÓN DE LAS LÍNEAS DE INTERVENCIÓN ............................................ 15
4. EJE DE INTERVENCIÓN...................................................................................... 16
5. JUSTIFICACIÓN DEL EJE DE INTERVENCIÓN.................................................. 17
6. OBJETIVO GENERAL .......................................................................................... 18
7. OBJETIVOS ESPECÍFICOS ................................................................................. 18
8. MARCO TEÓRICO ............................................................................................... 19
8.1. LEYES DE DERECHO DE AUTOR ......................................................................... 20
8.2. CONTROL DE ACTIVOS FIJOS ............................................................................. 21
8.3. AREA DE SISTEMAS ........................................................................................... 22
8.4. NORMA ISO/IEC 27001 ........................................................................................ 23
8.5. OCS INVENTORY................................................................................................. 25
9. DEFINICIÓN OPERACIONAL DE TÉRMINOS ..................................................... 27
10. CRONOGRAMA ................................................................................................... 31
10.1. ACTIVIDADES PROGRAMADAS ........................................................................ 32
11. PRESENTACIÓN Y ANÁLISIS DE LOS RESULTADOS ...................................... 33
CONCLUSIONES ............................................................................................................ 47
RECOMENDACIONES .................................................................................................... 48
REFERENCIAS ............................................................................................................... 49
4
LISTA DE TABLAS
Tabla 1 CRONOGRAMA DE ACTIVIDADES ......................................................................... 31
Tabla 2 DE RESULTADOS .............................................................................................................. 33
Tabla 3 DE ASIGNACIÓN ........................................................................................................ 35
Tabla 4 FORMATO GC-FT-012 ............................................................................................... 45
5
TABLA DE ILUSTRACIONES
Ilustración 1 ESTRUCTURA ORGANICA ............................................................................... 13
Ilustración 2 SEGURIDAD INFORMÁTICA ............................................................................ 24
Ilustración 3 MARCACIÓN EQUIPO ............................................................................................... 36
Ilustración 4 HOJA DE VIDA .......................................................................................................... 37
Ilustración 5 REPORTE GLPI .................................................................................................. 38
Ilustración 6 REPORTE GLPI .................................................................................................. 38
Ilustración 7 COPIA SEGURIDAD PASO1 ............................................................................. 43
Ilustración 8 COPIA SEGURIDAD PASO 1 ............................................................................ 44
Ilustración 9 COPIA SEGURIDAD PASO 2 ............................................................................ 44
Ilustración 10 COPIA SEGURIDAD PASO 3 .......................................................................... 45
6
RESUMEN
El presente trabajo se aplicó y se
desarrolló la certificación ISO-27001
ya que la empresa en la parte de
seguridad y organización informática
tenía una pésima distribución de su
información. En el documento
encontramos las marcaciones y
organización de cada equipo de
cómputo con su respectiva hoja de
vida en formato impreso y para la
digital se implementó un aplicativo
gratuito (OSC inventory) que se
utiliza para realizar inventario y la
hoja de vida queda en digital.
Palabras claves: ISO-27001, hojas
de vida, aplicación OSC inventory
ABSTRACT
This work was applied and developed
the ISO-27001 certification as the
company in the security and IT
organization had a poor distribution of
your information. In the document we
find the markings and organization of
each team with their respective
computer resume in print and digital
implemented a free application (OSC
inventory) that is used for inventory
and resume is digital.
Keywords: ISO-27001, resumes,
application, OCS Inventory
7
1. INTRODUCCIÓN
La Fundación Universitaria Autónoma De Las Américas Cuenta con una organización informática bastante básica e incompleta la empresa no está llevando una norma correcta del área de sistemas en la empresa.
La idea que se propuso fue implementar las normas de seguridad informática ya establecidas por la ISO a nivel nacional.
Se debe dejar claro que el tema de certificación en aspectos de seguridad, tal vez
aún no ha sido considerado con la seriedad que merece en el ámbito empresarial,
pero no cabe duda que lo será en el muy corto plazo. Justamente, la sensación
que deja el análisis de esta norma, es que se está gestando con toda rigurosidad
este hecho, y que como cualquier otra certificación ISO, este estándar
internacional ha sido desarrollado (por primera vez con relación a la seguridad)
con toda la fuerza y detalle que hacía falta para empezar a presionar al ámbito
empresarial sobre su aplicación.
La certificación ISO-27001, será casi una obligación de cualquier empresa que
desee competir en el mercado en el corto plazo, lo cual es lógico, pues si se desea
interrelacionar sistemas de clientes, control de stock, facturación, pedidos,
productos, etc. entre diferentes organizaciones, se deben exigir mutuamente
niveles concretos y adecuados de seguridad informática, sino se abren brechas de
seguridad entre sí.
Este estándar apunta a poder exigir dichos niveles; y ya no puede caber duda que
las empresas, para competir con sus productos (sean de la índole que fueren) en
este mercado cibernético actual, tienen cada vez más necesidad de interrelacionar
sus infraestructuras de información.....ISO-27001 en este sentido es una muy
buena y sólida opción.
8
2. PRESENTACIÓN DE LA EMPRESA
2.1. RESEÑA HISTORICA
La Fundación Universitaria Autónoma de las Américas fue fundada el 16 de abril
de 1983. El Ministerio de Educación Nacional le concedió personería jurídica el 12
de agosto de 1985 mediante resolución No 12998 y el Instituto Colombiano para el
Fomento de la Educación Superior (ICFES), dio su aprobación para el inicio de
labores. Comienza sus actividades el 9 de febrero de 1987, ofreciendo los
siguientes programas:
Tecnología en Administración de Obras Civiles
Tecnología en Administración de Transporte.
Para este comienzo se recibieron en total 87 alumnos, con una planta docente
conformada por 12 profesores de cátedra y 3 de medio tiempo.
El proceso evolutivo de la Institución y las necesidades académicas llevaron a
desarrollar el programa de Tecnología en Diseño de Modas, aprobado mediante
resolución 1613 de la Junta Directiva del ICFES.
En 1993, mediante el acuerdo del Consejo Superior de la Institución Nº. 009 del
mismo año, se creó el programa de Tecnología en Laboratorio de Rehabilitación
Dental. Luego en 1994, inicia labores el programa de Tecnología en
Administración de Negocios Internacionales, creado por el acuerdo del Consejo
Superior Nº. 011 de 1993.
En 1995 y mediante convenio con la Fundación Universitaria del Área Andina, se
comienzan a ofrecer los programas universitarios de: Administración de Obras
Civiles, Administración de Negocios Internaciones y Terapia Respiratoria.
Mediante la suscripción de otro convenio, esta vez con la Universidad Católica de
Manizales, se inicia el trabajo a nivel de Postgrados. Primero con la
Especialización en Planeamiento Educativo, en 1995 con la Especialización en
9
Gestión Curricular, en 1998 con la Especialización en Innovaciones Pedagógicas y
Curriculares.
Los programas ofrecidos en el anterior convenio se vuelven a ofrecer a nivel del
Politécnico Nacional en el primer período académico del 2000. Comenzando con
la Tecnología en Sistemas (creada por Acuerdo del Consejo Superior N° 020 del
25 de noviembre de 1994). Para este mismo año se celebra convenio con la
Fundación Universitaria de los Libertadores para el ofrecimiento del programa
universitario de Psicología (Acuerdo del Consejo Superior N° 09 del 1 de marzo de
l999)
También en el año 2001 se expide el Decreto 532 que define los requisitos legales
y académico - administrativos para solicitar el cambio de carácter académico de
una Institución de Educación Superior, ascender del nivel de institución Técnica
Profesional a Institución Tecnológica o del nivel de Institución Tecnológica al de
Institución Universitaria, y en el año 2002 la Fundación Tecnológica Politécnico
Nacional solicita su cambio de Estatutos conducente al cambio de carácter
académico de Institución Tecnológica a Institución Universitaria, obtiene este
cambio el siete (7) de abril de 2003.
Después de esto y basados en estudios realizados por miembros del Consejo
Superior y de la Asamblea de Fundadores de la Institución, se solicita la
aprobación del cambio de nombre a Fundación Universitaria Autónoma de las
Américas y lo logra el 28 de mayo del mismo año mediante Resolución del mismo
Ministerio identificada con el N° 1185.
La Fundación Universitaria Autónoma de las Américas es una Institución
Universitaria que nace del desarrollo armónico de la Fundación Tecnológica
Politécnico Nacional, la cual, a partir de sus logros en el cumplimiento de su
función social y su Misión, avanza un escalón más en el apoyo permanente a las
políticas gubernamentales, tanto del orden central como regional y local, que
propenden por el incremento de la cobertura de la Educación Superior, no sólo
con equidad sino también con calidad, buscando que con esta formación se
establezcan los lineamientos claros para el desarrollo sostenible de nuestro país
10
para las actuales y futuras generaciones. ¡Es un Legado Histórico de quince años
de deber cumplido!
En la actualidad, se cuenta con 1902 estudiantes, 176 docentes, 96 funcionarios y
empleados y funciona en tres sedes propias en Medellín ubicadas en el barrio Los
Laureles, al occidente de la ciudad, identificadas como:
Sede A: Calle 34A No. 76-35, teléfono 4114444
Sede B: Circular 73 No. 35-04, teléfono 4114848, fax 4120595
Sede C: Transversal 38 No. 73A - 22, teléfono 2503292
2.1.1. RESEÑA HISTÓRICA EN LA SEDE PEREIRA
Los registros calificados de Medicina y Odontología los aprobaron el 8 de junio de
2009, de Medicina es el No. 3704 y Odontología el No. 3709. El 31 de julio de
2009 llega hacer presencia en el Departamento de Risaralda y el Eje Cafetero con
programas académicos del área de la salud. Basándose en sus Misión, Visión,
Valores y Filosofía, la Institución busca contribuir para mejorar las condiciones y la
calidad de vida de la comunidad en la que está inmersa.
En la actualidad, se cuenta con 377 estudiantes, 58 docentes, 17 funcionarios y
empleados y funciona en una sede ubicada en el barrio Belmonte en la Av. Las
Américas con calle 98 esquina, al occidente de la ciudad.
2.2. MISION
Formar líderes que promuevan soluciones reales y creativas para el progreso de la
sociedad.
2.3. VISION
Para el año 2015, la Fundación Universitaria Autónoma de las Américas será una
Institución de Educación Superior posicionada por la calidad de sus procesos y el
impacto de sus egresados tanto en su sede Medellín como en la de Pereira
11
2.4. SERVICIOS QUE PRESTA
La Fundación Universitaria Autónoma de las Américas –Sede Pereira es una Institución de educación superior enfocada a cuatro líneas de desarrollo las cuales son: Docencia, Investigación, Extensión e Internacionalización. Con estas líneas se encarga de dinamizar el proceso de integración de la docencia con la investigación y la proyección social. Para lograrlo debe crear y mantener un ambiente de trabajo académico propicio para que los profesores y estudiantes desarrollen sus capacidades investigativas y difundan los conocimientos adquiridos en el proceso investigativo a través del ejercicio docente. La línea de docencia se encarga de la formación profesional en los programas de pregrado en:
Odontología
Medicina
La línea de investigación está conformada con docentes y estudiantes.
Actualmente existe una línea de investigación en salud a la cual pertenecen Salud
Comunitaria, Ciencias Básicas entre otras dependencias. Existe una propuesta
que son los PIA (Proyectos Investigativos de Aula) son una estrategia formulada
por el Centro de Investigaciones Asesorías y Servicios Investigativos con el fin de
fomentar la cultura investigativa, el desarrollo académico y la producción de
proyectos investigativos en la Fundación. Su Objetivo principal se enmarca en el
desarrollo de la investigación la Integración de los procesos académicos e
investigativos de índole formativo, que garanticen el desarrollo del talento humano
formado en y por la Fundación Universitaria Autónoma de las Américas,
contribuyendo en la potencializacion de las habilidades y competencias
investigativas formativas.
La línea de extensión se dedica a todos los Cursos, Diplomados, Seminarios y Congresos que realiza la universidad, Entre estos se ofrece actualmente: Introductorio en Ciencias de la Salud: tiene como objetivo Ofrecer al aspirante
bachiller los espacios de formación adecuados para el desarrollo y el
fortalecimiento de las aptitudes y competencias necesarias para acceder a
programas de Educación Superior en las Ciencias de la Salud.
12
Diplomado en tanatopraxia: La Tanatopraxia es el conjunto de prácticas que sobre un cadáver se realizan, desarrollando y aplicando métodos para la higienización, conservación transitoria, embalsamamiento, restauración y cuidado estético del cadáver como soporte de su presentación de acuerdo con las normativas higiénico-sanitarias Su objetivo es capacitar y cualificar el talento humano adscrito al comité funerario del Eje Cafetero, en el conocimiento y la aplicación de los diferentes procedimientos de la TANATOPRAXIA a nivel operativo y en aspectos relacionados con la Bioseguridad, Salud Ocupacional y Riesgos Profesionales que son parte de los trabajadores en esta área.
Diplomado en Valoración, atención inicial y rehabilitación de lesiones deportivas: su objetivo es fortalecer las habilidades y las destrezas para l valoración, atención inicial y rehabilitación oportuna del deportista lesionado, en los profesionales que intervienen en la educación física, el deporte de alta competencia, la recreación y la actividad física en general.
Curso Soporte Básico de vida: su objetivo es fortalecer las habilidades y las destrezas en los equipos de salud alrededor del soporte básico de vida
Curso Soporte avanzado de vida: su objetivo es fortalecer las habilidades y las destrezas alrededor del soporte básico y avanzado de vida de acuerdo a los nuevos protocolos
X Congreso Nacional e Internacional de Atención Pre Hospitalaria: tiene como objetivo desarrollar un proceso de actualización de conocimientos alrededor de las emergencias y desastres en el recurso humano en salud que hace parte de la Atención Pre hospitalaria.
Actualmente se cuenta con un portafolio de servicios que posibilita la promoción de otros cursos y diplomados. Por último tenemos la línea de internacionalización que se dedica a todos los convenios nacionales e internacionales. La trabajamos en la Fundación partiendo del conocimiento que se tiene de la influencia que ejerce el fenómeno de la globalización sobre todos los ámbitos del quehacer humano; la cual ha generado la necesidad de contar con profesionales altamente cualificados que respondan no solo a las necesidades del entorno local y regional, sino que además estén en capacidad de enfrentar efectivamente los retos implícitos en la internacionalización económica, política y cultural que caracteriza el mundo de hoy. Para lograr un posicionamiento, la internacionalización debe convertirse en una política rectoral, plenamente operacionalizada en programas y proyectos de corto, mediano y largo
13
plazo que posibiliten la transformación gradual de los planes de estudio, mecanismos de gestión y movilidad académica hacia una orientación esencialmente global dentro de los lineamientos dados como institución formadora de líderes.
2.5. NUMERO DE EMPLEADOS
Medellín:
176 Docentes
96 Funcionarios y empleados
Sede Pereira:
58 Docentes
17 Funcionarios y empleados
2.6. ESTRUCTURA ORGANICA
Ilustración 1 ESTRUCTURA ORGANICA
14
NOTA: La Sede- Pereira aun no tiene definida una estructura orgánica, por lo cual se asume que la práctica de Ingeniería De Sistemas y Telecomunicaciones depende del departamento de mantenimiento, y este a su vez depende de la UNIDAD ADMINISTRATIVA
15
3. DEFINICIÓN DE LAS LÍNEAS DE INTERVENCIÓN
El área de intervención en la que se va a trabajar es en los sistemas de información, ya que la FUNDACIÓN AUTÓNOMA DE LAS AMÉRICAS está buscando una normalización en la parte de hardware y software de la empresa enfocado en la gestión de la infraestructura local, Manual de manejo del sistema de información para cada dependencia y el proceso de copias de seguridad.
16
4. EJE DE INTERVENCIÓN
Para la empresa es imprescindible organizar su departamento de sistemas, ya que actualmente no existen controles al hardware y software de esta:
1. Implementación de la documentación soporte al licencia de software: Se diligenciara una relación de todos los sistemas operativos, programas y aplicaciones, indicando la versión y el número de licencia de cada uno, igualmente un consolidado que muestre cantidad de equipos versus número de licencias.
2. Hojas de vida equipos de cómputo: Se diseñara y diligenciara un formato
con los datos necesarios para el manejo de cada equipo, donde se consignen sus características, fecha de compra, proveedor, valor, mantenimientos, observaciones y responsables.
3. Manual de manejo del sistema de información para las dependencias CAD, ARCA, CAJA.
4. Procedimiento para la realización de las copias de seguridad relevantes para la entidad.
17
5. JUSTIFICACIÓN DEL EJE DE INTERVENCIÓN Como la empresa es un ente educativo se realizan una serie de visitas por DIAN e INDUSOFT quienes están vigilando y controlando la adquisición de hardware y software de las empresas y es de vital importación que como ente educativo La Fundación Universitaria Autónoma De Las Américas tengan esta información organizada y clara para no estar en una confusión en el momento en que realicen una visita. Es importante para la empresa contar con su departamento de sistemas y que este se encuentre bien organizada para optimizar procesos y que el trabajo sea más eficiente para que La Fundación Universitaria Autónoma De Las Américas, tenga bien definida organización tanto para el software y hardware. Muchas empresas y organizaciones tienen éxitos en sus objetivos por la implantación y uso de manuales del Sistemas de Información y más cuando estas dependen de los sistemas como lo es La Fundación Universitaria Autónoma De Las Américas ya que el personal de las dependencias debe tener unos puntos clave del manejo del sistema para efectuar un excelente trabajo. Por otro lado es importante tener una comprensión básica de los sistemas de información para entender cualquier otra área funcional en la empresa, por eso es importante también, tener una cultura informática en nuestras organizaciones que permitan y den las condiciones necesarias para que los sistemas de información logren los objetivos citados anteriormente. La seguridad es una parte fundamental de una empresa por lo tanto La Fundación Universitaria Autónoma De Las Américas tiene que tener un manejo de su información con todas las normas adecuadas para su excelente funcionamiento de su información, algunas de carácter importante por lo eso se debe hacer las copia de seguridad para cada dependencia especialmente las que manejan información indispensable en la institución.
18
6. OBJETIVO GENERAL
Generar e implementar en el área de sistemas documentación que contribuya y sirva de soporte para el control del hardware, software y comunicaciones de la entidad.
7. OBJETIVOS ESPECÍFICOS
Verificar el licenciamiento de software con el que cuenta la entidad.
Diseñar e Implementar los procedimientos y manuales o instructivos necesarios para el buen manejo de los sistemas de información de gran importancia para la entidad..
Diseñar e implementar un procedimiento para la realización de las copias de seguridad de la Fundación Universitaria Autónoma de las Américas.
Diseño y diligenciamiento de las hojas de vida del 100% de los equipos de cómputo que maneja la entidad.
19
8. MARCO TEÓRICO
Más de 60.000 empresas serán contactadas este año para verificar la
legalidad del software que usan
• La campaña educativa “Colombia cumple” busca incrementar este año la llegada a nuevos segmentos empresariales para que los informes de Gestión sean elaborados de manera adecuada y así evitarse fuertes sanciones de ley. • En 2011 La DIAN continuará visitando a las empresas para detectar nuevos casos de utilización de software ilegal en virtud del artículo segundo de la Ley 603 de2000 • La Ley 603 de 2000 obliga a las empresas colombianas a declarar dentro de sus Informes de Gestión el cumplimiento de las normas de Derecho de Autor para el caso del software
Bogotá, enero de 2010. La Business Software Alliance (BSA) busca que en 2011 se incremente el número de empresas contactadas, aumentando la cifra en 60.000 nuevas empresas que apliquen correctamente la Ley 603 de 2000 y reducir la tasa actual de piratería de software del país que es del 56%, de acuerdo a la última medición del Sexto Estudio anual sobre piratería del software en el mundo elaborado por International Data Corporación (IDC) . Este esfuerzo educativo de la BSA, seguirá poniendo a disposición de las empresas colombianas herramientas gratuitas que les permitan realizar una correcta y exhaustiva auditoría del software que tienen instalado para dar cumplimiento a la Ley 603 de 2000. Esta Ley hace hincapié en que las empresas que se encuentren legalmente constituidas, en su Informe de Gestión deben contener además de una exposición fiel sobre la evolución de los negocios y la situación económica, administrativa y jurídica de la sociedad, que respetan las normas de Propiedad Intelectual y Derecho de Autor en materia de software. Para ello deberían entregar una relación detallada que cuentan con las licencias de cada uno de los programas instalados y sus respectivos soportes contables y administrativos que certifiquen la autenticidad del software que usan. “La BSA pudo identificar con preocupación que solo un 14% de las empresas colombianas estén realizando auditorías dentro de los parámetros legales y 5% auditen de manera correcta el software, lo cual demuestra que hay que seguir trabajando con las entidades públicas y privadas y extender las acciones a nuevos escenarios en el país y hacer entender a los empresarios la importancia de reducir la piratería de software y promover el desarrollo socio-económico del país” comentó Ian Raisbeck, Apoderado General de los Miembros de BSA en Colombia . ¿Qué puede pasar si se incumple la Ley 603 de 2000?: Los administradores de las sociedades (representantes legales) son los responsables del cumplimiento de las leyes y pueden verse comprometidos en las siguientes situaciones Responsabilidad Penal:
20
• Defraudación a los derechos patrimoniales de autor: art 271CP • Violación a los mecanismos de protección de los derechos patrimoniales de autor y otras defraudaciones: art. 272 C.P Falsedad en documento privado: art 289 CP Acción Social de Responsabilidad: Indemnización por los daños sufridos por la sociedad como consecuencia de la actuación de los administradores. Sanciones Administrativas: Sanciones o multas, sucesivas o no, hasta de doscientos salarios mínimos legales mensuales vigentes, a los administradores que incumplan la ley y según lo estipule la Superintendencia de Sociedades. La DIAN podrá investigar y sancionar por la evasión de impuestos derivada del software ilegal. ¿Qué hacer para cumplir adecuadamente la Ley 603 de 2000?: • Recomienda indicar en el Informe de Gestión el tipo de software que utiliza la empresa y las licencias que lo amparan: • Un listado detallado de los programas instalados y números de licencias • La elaboración de un acta en donde aparezcan enumerados los programas utilizados, sus correspondientes facturas de adquisición y el número de licencia • La factura de venta y el número de licencia pueden ser un mecanismo de control a utilizar para la elaboración del informe de gestión • El uso o explotación de los programas debe corresponder expresamente al número amparado por las licencias que se hayan adquirido y estas licencias deben estar vigentes al momento de la utilización de los programas • Al adquirir computadores que lleven programas incorporados deben solicitarse las licencias de uso respectivas • Visite www.bsa.org/colombia y descargue gratuitamente la “Guía para la administración del software en las empresas colombianas” Para obtener las guías gratuitas desarrolladas por la BSA para una correcta auditoría de software, puede acceder a la página web www.colombiacumple.com, www.bsa.org/colombia. o escribir a [email protected]
8.1. LEYES DE DERECHO DE AUTOR
DERECHO DE AUTOR Ley 23 de 1982
Capítulo I Disposiciones generales
Capítulo II Contenido del derecho
sección1 Derechos patrimoniales y su duración
sección2 Derechos morales
1 http://www.acis.org.co/index.php?id=196&tx_mininews_pi1[showUid]=11567&cHash=3f549d5950
21
Capítulo III De las limitaciones y excepciones al derecho de autor
Capítulo IV De las obras extranjeras
sección1 Limitaciones del derecho de traducción
sección2 Limitaciones al derecho de reproducción
Capítulo V Del derecho patrimonial
Capítulo VI Disposiciones especiales a ciertas obras
Capítulo VII Obra cinematográfica
Capítulo VIII Contrato de edición
Capítulo XI Ejecución pública de obras musicales
Capítulo XII Derechos conexos
Capítulo XIII De la transmisión del derecho de autor
Capítulo XIV Del dominio público
Capítulo XV Registro nacional de derechos de autor
Capítulo XVI De las asociaciones de autores
Capítulo XVII De las sanciones
Capítulo XVIII Del procedimiento ante la jurisdicción civil
Capítulo XIX Disposiciones finales2
8.2. CONTROL DE ACTIVOS FIJOS
Normalmente, las empresas inmersas en su trabajo rutinario, le han dado siempre importancia a controlar físicamente sus principales activos como son: los inventarios y cuentas por cobrar, de quienes dependen para el funcionamiento normal de la empresa.
2 http://www.cerlalc.org/documentos/colo23.htm
22
No obstante, una empresa cuenta con una inversión que sin ella sería imposible operar normalmente y ésta es: los Activos Fijos, pero que, sin embargo, no se le ha prestado la debida atención en su control físico.
8.3. AREA DE SISTEMAS
Que es el Departamento de Sistemas.
Todas las empresas u organizaciones, también llamadas instituciones están compuestas por áreas o departamentos, los cuales permiten confortar una estructura organizacional basada en centros especializados de actividades y una distribución mejor definida de responsabilidades. Es por eso que es importante definir primeramente ¿Qué es una institución?.
Una institución es una estructura social estable y formal que toma los recursos del medio ambiente y los procesa para la obtención de productos.
A lo largo de la existencia de dichas instituciones la experiencia ha ido formando distintos tipos de organización y estableciéndolos de acuerdo al que mejor satisface a sus necesidades, y a la fecha, podríamos decir que ya existen modelos bien definidos dentro de cada una de las compañías. Los modelos clásicos establecen la existencia de gerencias o direcciones, las cuales están formadas a su vez por departamentos que se agrupan de acuerdo a las actividades que llevan a cabo y a sus responsabilidades; y así encontramos a un departamento de Contabilidad, uno de Compras, Mantenimiento, Mercadotecnia, etcétera, cada uno con un objetivo y un sin número de actividades. Dichos departamentos muchas veces están clasificados por su importancia la cual se basa en los ingresos que gracias a ellos se obtienen, debiendo ser más bien por lo vital que resultan para el buen funcionamiento de la empresa.
Pero, ¿Qué es un Departamento de Sistemas?. Es la parte o área de una
institución que se encarga de proveer de información así como de las herramientas necesarias para manipularla. Es el departamento que auxiliado con el equipo de cómputos, es capaz de convertir simples datos en información, es el encargado, de satisfacer las necesidades y preparación computacional a todos los miembros de una empresa, y es el responsable de ofrecer soluciones informáticas y el equipo necesario para su implementación.
Se le llama Departamento de Sistemas porque es precisamente a través de Sistemas de Información, que se ofrecen la mayoría de las soluciones, sin embargo es llamado también Departamento de Informática por ser precisamente el proveedor de información.
El trabajo medular de un Departamento de Informática se hace, como lo
mencionamos anteriormente, a través de un Sistema de Información. El conocimiento de sistemas de información abarca tanto perspectivas técnicas como
23
conductuales, destacando la conciencia de las dimensiones de administración, organización y tecnológicas de los mismos. Los sistemas de información definen cinco retos claves para los administradores de hoy día: el reto del negocio estratégico; el reto de la globalización, el reto de la arquitectura de la información; el reto de la inversión en sistemas de información y el reto de la responsabilidad y control.
Proporcionar soluciones reales en los distintos tipos de sistemas de información en las instituciones actuales: Sistemas de procesamiento de las operaciones comerciales, Sistemas de automatización del conocimiento/trabajo en la oficina, Sistemas de información para la administración, Sistema de soporte a las decisiones, y Sistemas de soporte para la gerencia. Estos sistemas sirven para diversos fines al dar apoyo a los diferentes niveles y funciones de la institución.
También se utilizan los Sistemas de Información en los negocios para obtener una ventaja competitiva. Los sistemas estratégicos de información han transformado los productos y servicios de las instituciones, las estrategias de mercadotecnia, las relaciones con los clientes y los proveedores y las operaciones internas. Para emplear estratégicamente los sistemas de información, las instituciones tienen que sufrir cambios técnicos y sociales.
Los sistemas de información quedan delineados de acuerdo con la estructura organizacional, la cultura de los procesos políticos y la administración, ya que la tecnología de la información puede influir también a las instituciones.
Un sistema de información puede definirse técnicamente como un conjunto de componentes interrelacionados que permiten capturar, procesar, almacenar y distribuir la información para apoyar la toma de decisiones y el control en una institución. Además, para apoyar a la toma de las decisiones, la coordinación y el control, los sistemas de información pueden también ayudar a los administradores y al personal a analizar problemas, visualizar cuestiones complejas y crear nuevos productos.3
8.4. NORMA ISO/IEC 27001
Es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido para garantizar la selección de controles de seguridad adecuados y proporcionales.
Es una guía metodológica, que nos ayuda a diseñar controles necesarios de seguridad que permiten proteger los activos de información, basada en el análisis
3 http://www.malargue.gov.ar/queesSistemas.php
24
de riesgos, igualmente implementa, establece, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información en cualquier empresa.4
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI.
ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI).
ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida.5
La seguridad informática, es implementar controles, políticas y reglas, que ayuden a una mejor protección de la información, estas políticas generalmente se ordenan desde la alta gerencia o la dirección de calidad. ¿Pero que compone la S.I?
Ilustración 2 SEGURIDAD INFORMÁTICA
4 http://www.rinconinformatico.net/seguridad-informatica-norma-iso-27001 5 http://www.bsigroup.com.mx/es-mx/Auditoria-y-Certificacion/Sistemas-de-Gestion/Normas-y-
estandares/ISO-27001/
25
Este Estándar internacional abarca todos los tipos de organizaciones (por ejemplo; empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro). Este Estándar Internacional especifica los requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos comerciales generales de la organización. Especifica los requerimientos para la implementación de controles de seguridad personalizados para las necesidades de las organizaciones individuales o partes de ella.
El SGSI está diseñado para asegurar la selección adecuada y proporcionar controles de seguridad que protejan los activos de información y den confianza a las partes interesadas.
NOTA 1: las referencias a 'comerciales' en este Estándar internacional se deben implementar ampliamente para significar aquellas actividades que son básicas para los propósitos de la existencia de la organización.
NOTA 2: ISO/IEC 17799 proporciona un lineamiento de implementación que se puede utilizar cuando se diseñan controles.6
Principios de la Seguridad Informática.
Confidencialidad: Tiene como propósito asegurar que solo la persona correcta acceda a la información.
Integridad: La información debe estar en su totalidad.
Disponibilidad: Esta información debe permanecer disponible 24/7 es decir que se podrá acceder a cualquier hora.7
8.5. OCS INVENTORY
¿Qué es OCS Inventory: es una aplicación que se utiliza para realizar inventario de los equipos de la red mediante un agente que se instala en el cliente. También permite el despliegue de paquetes en computadores Windows y Linux.
OCS Inventory NG es una herramienta que facilita el seguimiento de la configuración y el software instalado en los ordenadores de una red local, así como la instalación remota de aplicaciones desde un servidor Web.
OCS Inventory es software GPL, libre de usar y copiar. OCS Inventory también es Open source, usted debe prever sus actualizaciones bajo los términos de la licencia GPL
6 https://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf
7 http://www.rinconinformatico.net/seguridad-informatica-norma-iso-27001
26
El Servidor de Gestión contiene 4 componentes principales:
Servidor de base de datos, que almacena la información del inventario
Comunicación con servidor, que se encarga de las comunicaciones HTTP entre el servidor de base de datos y los agentes.
Despliegue de servidor, que almacena todos los paquetes de configuración desplegados.
Consola de Administración, que permite a los administradores consultar el servidor de base de datos a través de su navegador web favorito.
OCS Inventory se basa en los estándares actuales. El diálogo entre los equipos cliente y servidor se basa en el Protocolo de transferencia de hipertexto (HTTP) y el formato de los datos es XML. El servidor de administración utiliza Apache, MySQL y Perl. OCS es multi-plataforma: se ejecuta en sistemas operativos Unix, así como en Microsoft Windows (2000 o posterior). Tiene una interfaz web privativa escrita en PHP que ofrece servicios complementarios:
- Consulta del inventario
- Gestión de los derechos de los usuarios
- Una interfaz de servicio de (o escritorio de ayuda) para los técnicos8
8 http://es.scribd.com/doc/12882340/Manual-de-OCSInventory
27
9. DEFINICIÓN OPERACIONAL DE TÉRMINOS
AUDITORIA: La Auditoría es una función de dirección cuya finalidad es analizar y apreciar, con vistas a las eventuales las acciones correctivas, el control interno de las organizaciones para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento de la eficacia de sus sistemas de gestión.9
HARDWARE: Corresponde a todas las partes físicas y tangibles de una
computadora: sus componentes eléctricos, electrónicos, electromecánicos y mecánicos. Sus cables, gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico involucrado; contrariamente al soporte lógico e intangible que es llamado software.10
SOFTWARE: se refiere al equipamiento lógico o soporte lógico de una
computadora digital, y comprende el conjunto de los componentes lógicos
necesarios para hacer posible la realización de tareas específicas; en
contraposición a los componentes físicos del sistema, llamados hardware.
Tales componentes lógicos incluyen, entre muchos otros, aplicaciones
informáticas como procesador de textos, que permite al usuario realizar todas las
tareas concernientes a edición de textos; software de sistema, tal como un sistema
operativo, que, básicamente, permite al resto de los programas funcionar
adecuadamente, facilitando la interacción con los componentes físicos y el resto
de las aplicaciones, también provee una interfaz para el usuario.11
ACTIVOS FIJOS: son aquellos que no varían durante el ciclo de explotación de la
empresa (o el año fiscal). Por ejemplo, el edificio donde una fábrica monta sus productos es un activo fijo porque permanece en la empresa durante todo el proceso de fabricación y venta de los productos. Un contraejemplo sería una inmobiliaria: los edificios que la inmobiliaria compra para vender varían durante el ciclo de explotación y por tanto forma parte del activo circulante. Al mismo tiempo, las oficinas de la inmobiliaria son parte de su activo fijo.12
LICENCIA DE SOFTWARE: es un contrato entre el licenciante (autor/titular de los
derechos de explotación/distribuidor) y el licenciatario del programa informático (usuario consumidor /usuario profesional o empresa), para utilizar el software cumpliendo una serie de términos y condiciones establecidas dentro de sus cláusulas.
9 http://www.proyectosfindecarrera.com/que-es-una-auditoria.htm 10 http://es.wikipedia.org/wiki/Hardware 11
http://es.wikipedia.org/wiki/Software 12 http://es.wikipedia.org/wiki/Activo_fijo
28
Las licencias de software pueden establecer entre otras cosas: la cesión de
determinados derechos del propietario al usuario final sobre una o varias copias
del programa informático, los límites en la responsabilidad por fallos, el plazo de
cesión de los derechos, el ámbito geográfico de validez del contrato e incluso
pueden establecer determinados compromisos del usuario final hacia el
propietario, tales como la no cesión del programa a terceros o la no reinstalación
del programa en equipos distintos al que se instaló originalmente.13
VIDA UTIL: Es la duración estimada que un objeto puede tener cumpliendo
correctamente con la función para la cual ha sido creado. Normalmente se calcula
en horas de duración.
Cuando se refiere a obras de ingeniería, como carreteras, puentes, represas, etc.,
se calcula en años, sobre todo para efectos de su amortización, ya que en general
estas obras continúan prestando utilidad mucho más allá del tiempo estimado
como vida útil para el análisis de factibilidad económica.14
HTTP: de HyperText Transfer Protocol (Protocolo de transferencia de hipertexto) es el método más común de intercambio de información en la world wide web, el método mediante el cual se transfieren las páginas web a un ordenador.15
XML: es un metalenguaje, dado que con él podemos definir nuestro propio
lenguaje de presentación y, a diferencia del HTML, que se centra en la representación de la información, XML se centra en la información en si misma.16
LINUX: Se trata de un sistema operativo de 32 bits de libre distribución,
desarrollado originalmente por Linus Torvalds, un estudiante de la universidad finlandesa de Helsinki, quien, en 1991, se abocó a la tarea de reemplazar a Minix, un clon de Unix de pequeñas proporciones y finalidad académica desarrollado años antes por Andrew Tannenbaun.17
LICENCIA GPL: La licencia GPL o General Public License, desarrollada por la
FSF o Free Software Foundation, es completamente diferente. Puedes instalar y usar un programa GPL en un ordenador o en tantos como te apetezca, sin limitación. También puedes modificar el programa para adaptarlo a lo que tu quieras que haga.18
13
http://es.wikipedia.org/wiki/Licencia_de_software 14 http://es.wikipedia.org/wiki/Vida_%C3%BAtil 15 http://www.masadelante.com/faqs/que-significa-http 16 http://www.monografias.com/trabajos7/xml/xml.shtml 17
http://www.investigacion.frc.utn.edu.ar/labsis/Publicaciones/QueEsLinux/QueEsLinux.html 18 http://tecnologia.glosario.net/terminos-tecnicos-internet/gpl-781.html
29
OPEN SOURCE: El software OpenSource se define por la licencia que lo
acompaña, que garantiza a cualquier persona el derecho de usar, modificar y redistribuir el código libremente.19
BASE DE DATOS: Una base de datos es una colección de información
organizada de forma que un programa de ordenador pueda seleccionar rápidamente los fragmentos de datos que necesite. Una base de datos es un sistema de archivos electrónico.20
PROTOCOLO: El protocolo determina lo siguiente:
El tipo de comprobación de errores que se utilizará.
El método de compresión de los datos, si lo hay.
Cómo indicará el dispositivo que envía que ha acabado el enviar un mensaje.
Cómo indicará el dispositivo que recibe que ha recibido un mensaje.
Desde el punto de vista de un usuario, el único aspecto interesante sobre protocolos es que tu ordenador o dispositivo debe soportar los protocolos adecuados si quieres comunicarte con otros ordenadores. El protocolo se puede implementar en hardware o en software.21
PROCEDIMIENTO: Es el modo de ejecutar determinadas acciones que suelen
realizarse de la misma forma, con una serie común de pasos claramente definidos, que permiten realizar una ocupación, trabajo, investigación, o estudio, se puede aplicar a cualquier empresa22
SEGURIDAD: una característica de cualquier sistema (informático o no) que nos
indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible. Como esta característica, particularizando para el caso de sistemas operativos o redes de computadores, es muy difícil de conseguir (según la mayoría de expertos, imposible), se suaviza la definición de seguridad y se pasa a hablar de fiabilidad (probabilidad de que un sistema se comporte tal y como se espera de él) más que de seguridad; por tanto, se habla de sistemas fiables en lugar de hacerlo de sistemas seguros.23
INFORMACION: es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen su
19 http://www.webtaller.com/maletin/articulos/que-significa-open-source.php 20 http://www.masadelante.com/faqs/base-de-datos 21 http://www.masadelante.com/faqs/protocolo 22
http://es.wikipedia.org/wiki/Procedimiento 23 http://mmc.geofisica.unam.mx/LuCAS/Manuales-LuCAS/doc-unixsec/unixsec-html/node8.html
30
significado, cuyo propósito puede ser el de reducir la incertidumbre o incrementar el conocimiento acerca de algo24.
PRIVILEGIOS: son los permisos que los usuarios del sistema tienen dentro del programa y dentro de la base de datos en general, puesto que algunas de las consolas de la pista consultan estos valores a la hora de conceder accesos.
FTP: abreviatura de File Transfer Protocol (Protocolo de Transferencia de
Archivos). Es un protocolo de transferencia de archivos de una computadora a otra usando Internet (cuando se transmitía a Mintransporte)
USUARIO: es un usuario no administrador, capaz de ingresar solo a los lugares
del menú principal a los cuales se le ha dado privilegios previamente.
BACKUP: o copias de seguridad, son copias de la base de datos que se ejecutan periódicamente o esporádicamente según criterio del administrador. Dichas copias son estáticas y después de realizadas no se actualizan automáticamente como lo hacen las sombras.
GC-FT-012: Formato control de copias de seguridad
24 http://www.promonegocios.net/mercadotecnia/que-es-informacion.html
31
10. CRONOGRAMA
Tabla 1 CRONOGRAMA DE ACTIVIDADES
Actividades
AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE DICIEMBRE
1º 2º 3º 4º 1º 2º 3º 4º 1º 2º 3º 4º 1º 2º 3º 4º 1º 2º 3º 4º
A1
A2
A3
A4
A5
32
10.1. ACTIVIDADES PROGRAMADAS
A1: verificar la documentación soporte al licenciamiento de software de los
equipos.
A2: Hojas de vida de equipos de cómputo.
A3: Procedimiento del manejo del sistema de información para las dependencias.
A4: Procedimiento para la realización de las copias de seguridad.
33
11. PRESENTACIÓN Y ANÁLISIS DE LOS RESULTADOS
IMPLEMENTACIÓN DE LA DOCUMENTACIÓN SOPORTE AL
LICENCIAMIENTO DE SOFTWARE
Esta actividad se llevo a cabo en todos los computadores de la FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS, se observo y se realizo una lista del software que tenía instalado cada equipo de la empresa, verificando la legalidad de cada uno de estos programas si este lo requería.
Se desinstalo aquellos programas que no eran indispensables, dejando solo algunos específicos para cada usuario y su necesidad.
Por último se paso un reporte al jefe de mantenimiento donde se especificaban aquellos equipos que estaban licenciados y cuáles no para después tomar una determinación con cada uno de estos equipos.
CUADRO DE RESULTADOS
Tabla 2 DE RESULTADOS
DEPENDENCIA #
EQUIPO
ESTADO ANTERIOR RESULTADO
SALSIT 001-
1/001-
35
Los equipos de la sala de
sistemas se actualizo
Hardware y fue
desarrollado por una arsorsi
Las actualizaciones se hicieron sin
complicaciones
COM 002-1 El equipo se encontraba con
virus y con algunos
programas si licenciar como
es el antivirus
Se instalo el antivirus Microsoft Security
Essentials
COM 002-2 El equipo tenia problemas
de red porque el
computador no tenia el
Windows original
Se instalo el software con la licencia de la
universidad
SALCOM 003-1 Se encontró en buen estado Se vacuno
SALCOM 003-2 Se encontró en buen estado Se vacuno
SALPROF 004-
1/004-3
Se encontró en buen estado Se vacuno
UNADM 005-1 Se encontró en buen estado Se vacuno
UNADM 005-2 Se encontraba sin antivirus Se instalo el antivirus Microsoft Security
005-3 computador no tenia el
Windows original
Se instalo el software con la licencia de la
universidad
UNADM 005-4 Se encontraba sin antivirus Se instalo el antivirus Microsoft Security
34
UNADM 005-5 Se encontraba sin antivirus Se instalo el antivirus Microsoft Security
UNADM 005-6 computador no tenia el
Windows original
Se instalo el software con la licencia de la
universidad
UNADM 005-7 Se encontró en buen estado Se vacuno
CIENBAS 006-1 Se encontraba sin antivirus Se instalo el antivirus Microsoft Security
BIBL 007-
1/007-9
computador no tenia el
Windows original
Se instalo el software con la licencia de la
universidad
APH 008-
1/008-6
computador no tenia el
Windows original
Se instalo el software con la licencia de la
universidad
SAL 009-
1/009-2
Se encontraba sin antivirus Se instalo el antivirus Microsoft Security
MONTAJE DE MARCACIÓN DE ACTIVOS FIJOS DE CÓMPUTO Y COMUNICACIÓN
La marcación física de los equipos de cómputo de FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS se hizo teniendo en cuenta el cargo de la funcionaria que poseía el equipo y la referencia de cada uno de estos.
El proceso de montaje que se realizo, levantando todas las especificaciones físicas de equipos, serial, modelo, capacidad y su disponibilidad, basándose en una regla de marcación que se diseño especialmente para FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS por ente se hizo una marcación alfa numérica.
A continuación la codificación para los equipos.
CODIFICACION FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS
MODO DE INCORPORACIÓN
Paso 1: se inicia con las siglas de la dependencia
Sala de sistemas (SALSIT)
Comunicaciones (COM) Salud comunitaria (SALCOM) Sala de profesores (SALPROF) Unidad administrativa (UNADM)
35
Ciencias básicas (CIENBAS) Biblioteca (BIBL) Laboratorio de habilidades y destrezas (APH) Salones (SAL) Paso 2: se les asigna un código numérico a cada dependencia
SALSIT 001 SALCOM 002
COM 003 SALPROF 004 UNADM 005 CIENBAS 006 BIBL 007 APH 008 SAL 009
CUADRO DE ASIGNACIÓN
Tabla 3 DE ASIGNACIÓN
DEPENDENCIA # EQUIPO NOMBRE APELLIDO CARGO
SALSIT 001-1/001-
35
Alejandro Gonzales
toro
Jefe Mantenimiento
COM 002-1 Jhon
hadison
Aguirre
escobar
Cor/comunicaciones
y bienestar
COM 002-2 Dina
maria
Rendon Aux/Mercadeo
SALCOM 003-1 Marta
cecilia
Lopez
gonzales
Psicóloga
SALCOM 003-2 Álvaro Estrada Cordi/salud
comunitaria
SALPROF 004-1/004-
3
Alejandro Gonzales
toro
Jefe Mantenimiento
UNADM 005-1 Luz janeth Valencia Sec/Unidad
Administrativa
UNADM 005-2 Paula
andrea
Castañeda Aux/contable
005-3 Luz
adriana
Restrepo Aux/Contable
UNADM 005-4 Leidy Nagles Sec/Arca
UNADM 005-5 Emilsen Gallego Sec/Arca
36
UNADM 005-6 Marcera
mejía
Gómez Coordinadora
odontológica
UNADM 005-7 Alejandro Gonzales
toro
Jefe Mantenimiento
CIENBAS 006-1 María
cristina
Sánchez Cor/Ciencias
Básicas
BIBL 007-1/007-
9
Freider
alejandro
Rotabista Aux / Biblioteca
APH 008-1/008-
6
Jorge
norvey
Alvarez rios Cordi/laboratorio
habilidades y
destrezas
SAL 009-1/009-
2
Alejandro Gonzales
toro
Jefe Mantenimiento
Ilustración 3 MARCACIÓN EQUIPO
HOJAS DE VIDA EQUIPOS DE CÓMPUTO
Uno de los procesos indispensables para la estructuración del departamento de sistemas era el montaje de las hojas de vidas de los equipos de cómputo de la FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS.
37
Se acopló dos aplicativos gratuito (OCS inventory, GLPI) para llevar el reporte en una base de datos de las hojas de vida donde se almacenaría todo lo referente a los equipos.
Con este método podemos digitalizar y organizar el inventario de los equipos de la empresa
Un problema que surgió en el diligenciando las hojas de vida fue la facturación de los equipos, ya que no había registros sobre algunas compras de equipos y las que existían, era demasiado dispendiosa su búsqueda, por consiguiente en el formato de la hoja de vida no se especifico el numero de factura del equipo.
Hoja de vida física del equipo
Ilustración 4 HOJA DE VIDA
39
MANUAL DE LA SEGURIDAD DE LA INFORMACION DEL ÁREA DE SISTEMAS
Para la creación de dicho manual fue necesario conocer los procedimientos que diariamente se realizan en la FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS y aquellos que era indispensable aplicar para un mejor funcionamiento de los equipos de la empresa.
Jefe de sistemas: El jefe de Sistemas es comúnmente un individuo responsable del mantenimiento de un sistema informático multiusuario, que incluye la gestión también redes locales (LAN), redes amplias (WAN), hardware y software A continuación se mencionaran algunas de las labores que debe realizar un jefe o administrador del sistema:
• Instalar y configurar nuevos ordenadores (estaciones de trabajo)
• Crear cuentas de usuario
• Instalar software en toda la red de equipos
• Realizar acciones para prevenir el ataque y la divulgación de virus
• Gestionar el espacio en disco de los servidores
El desarrollo del procedimiento se enfoca específicamente en los métodos utilizados para la realización de Backups o Copias de Seguridad de la Base de Datos que recolecta los registros de las los datos de los estudiantes de la FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS garantizando la conservación y seguridad de la información. A continuación se describen detalladamente dichos procedimientos:
Uso de Contraseñas: las contraseñas se actualizan mensualmente por cada usuario y/o cuando el programa lo pida: Los usuarios deben protegerlas manteniendo su confiabilidad y confidencialidad.
No deben ser escritos en papel, ni darlas a conocer si en algún momento por fuerza mayor esto llegara a suceder se debe cambiar la clave.
NOTA: Los usuarios deben seguir buenas prácticas de seguridad en la selección y conservación de la contraseña.
Administración de base de datos: La base de datos no debe ser accesible mediante uso de carpetas compartidas o búsqueda de un explorador
40
Debe permitir el seguimiento o monitoreo de las actividades, copias de seguridad. Políticas de restauración y perfiles de usuarios.
INFORMACION DE RESPALDO
• Creación del Espejo o Sombra de la base de Datos.
• Se crean Back ups, DIARIO como copias de respaldo de toda la información esencial de FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS, para asegurar la recuperación de la información en caso de un desastre o un fallo de soportes.
Se guardan en 2 CD’s no borrables y no regrabables del Back up SEMESTRAL copia queda en poder de la Asistente Administrativa y otra en poder rectoría.
Se hace una copia de Seguridad: del servidor de caja,
En caso de presentarse una falla crítica en el servidor por causa de alteraciones en el fluido eléctrico, por un programa malicioso o virus o que se deba hacer un mantenimiento exhaustivo del sistema y halla perdida de información nos vamos de inmediato a la SOMBRA de la Base de Datos, que es una copia idéntica de la original y en la mayoría de los casos esta se encuentra buena y podemos solucionar el problema satisfactoriamente.
Si se tratase de pérdida de datos o de información de meses anteriores, la solución a este problema la encontramos en los CD’s que contengan todos los back ups.
Controles contra software malicioso:
Instalación y actualización de antivirus como rutinas básicas que actúen como control preventivo.
La comprobación de virus en todo archivo de origen incierto o no autorizado antes de usarlo.
El PC estarán protegidos con antivirus, anti- Spyware, anti-malware y demás protecciones que tales software contemplen y se pueden usar AVAST 4 Professional Edition, AVG9, Avira o demás programas de protección de software existentes en el mercado. Deberán ser debidamente licenciados y adquiridos de fuente legal. Pueden usarse en calidad de prueba durante períodos determinados por el proveedor, como es usual en este tipo de mercado y en caso que estemos conformes se adquieren por un período determinado.
41
CENTRO DE CÓMPUTO
Instalaciones Físicas
• El servidor debe estar ubicado en donde no haya mucho flujo de personal.
• Solo tendrán acceso a esta área el personal debidamente autorizado.
• En caso de que en este sector se encuentre una persona ajena al área debe permanecer en compañía del personal autorizado.
• El sistema eléctrico tiene conexión polo a tierra.
• Se cuenta con un sitio seguro e incombustible para guardar el software y los backups.
• El sitio donde está ubicado el servidor tiene un extintor de fuego que no sea nocivo para los aparatos electrónicos (solkaflam).
• Paredes de material incombustible.
• Techo resistente al fuego.
Software
• Los equipos tienen software antivirus.
• Todas las actualizaciones e instalaciones son realizadas por personal autorizado.
Usuarios
• Queda prohibido el uso de memorias USB.
• Ningún usuario podrá instalar software alguno en los PC´s de la empresa, esta tarea le compete al área de Informática.
• Mantener los escritorios limpios de documentos, cd´s, dvd´s, memorias usb (prohibidas) para evitar que personas inescrupulosas puedan hurtar información.
Seguridad
• Se tiene un computador para almacenar los backup de la información.
• Los backups de la base de datos de las dependencias se realizan diariamente al terminar la jornada de trabajo.
• Al finalizar el semestre se realizaran 2 copias del últimos backup de las dependencias en CD no borrable no regrabable.
42
• Una copia del backup se guarda en las instalaciones de la empresa en su caja fuerte.
• La otra copia del backup se guarda fuera de las instalaciones de la empresa en un lugar con similares condiciones de seguridad o en su defecto el rector de la institución.
43
12. PROCEDIMIENTO PARA LA REALIZACIÓN DE LAS COPIAS DE
SEGURIDAD
Para Garantizar que la información de la FUNDACIÓN UNIVERSITARIA
AUTÓNOMA DE LAS AMÉRICAS tenga un respaldo confiable en el momento de
ocurrir algún problema con los equipos.
Este procedimiento aplica para respaldar toda la información que se genera en la
FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS.
Las copias de seguridad son de gran importancia para garantizar que exista la
permanente prestación del servicio en el momento de ocurrir un evento que
detenga el proceso de la FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS
AMÉRICAS.
Las copias de seguridad se realizarán todos los semestres. El responsable del
proceso será el Jefe de sistemas, en caso de que este no pueda estar, la copia
será realizada por el auxiliar.
El procedimiento para realizar la copia de seguridad es el siguiente:
1. La copia de seguridad se hace desde cada dependencia, se crea una carpeta en el escritorio con la fecha que se hace la copia de seguridad.
Ilustración 7 COPIA SEGURIDAD PASO1
44
Ilustración 8 COPIA SEGURIDAD PASO 1
2. posteriormente abre todas las carpetas que le va realizar la copia la selecciona
y le da la opción de copiar.
Ilustración 9 COPIA SEGURIDAD PASO 2
45
3. realizado este proceso buscamos la carpeta donde vamos a guardar la copia
de seguridad y le damos clic en pegar.
Ilustración 10 COPIA SEGURIDAD PASO 3
4. Por último se nombra el archivo con la fecha de la copia 5. Introducimos el CD en la bandeja y le damos grabar. 6. El proceso termina cuando el disco es expulsado.
Nota: este proceso se hace en cada dependencia y es realizado por el encargado
de la dependencia y el jefe de sistema o en su defecto por el auxiliar y cada vez
que esta copia sea realizada, se debe diligenciar el formato GC-FT-012
“CONTROL DE COPIAS DE SEGURIDAD”.
Tabla 4 FORMATO GC-FT-012
REVISÓ APROBÓ
CARGO: CARGO:
NOMBRE: NOMBRE:
FECHA: FECHA:
FIRMA: FIRMA:
Cada semestre una copia de seguridad debe ser guardada en la rectoría.
Una vez al mes se hará una verificación para garantizar que la copia de seguridad
es confiable.
46
El procedimiento para realizar la verificación de la copia es el siguiente:
1. Esta verificación se hace desde cada PC de las dependencias y el responsable del proceso será el jefe de sistemas.
2. Se identifica cual será la copia a verificar 3. Abrimos el DVD y verificamos que efectivamente los archivos relacionados se
encuentren grabados, verificando fecha y tamaño del archivo.
Se diligencia el formato GC-FT-012 “CONTROL DE COPIAS DE SEGURIDAD”
en las casillas V (verificado), nombre de quien verifica, disposición final (lugar
donde queda la copia).
47
CONCLUSIONES
Los equipos de cómputo de la organización no tenían un control interno por lo tanto estaban expuestos a perderse o a cambios.
La falta de una estructura de un departamento de sistemas en la empresa dificulta el control sobre procesos, equipos y procedimientos que se generan en la organización.
La organización contaba con el riesgo de afrontar una multa por no tener en orden y al día las licencias de los Software de los equipos de cómputo.
48
RECOMENDACIONES
Al observar el poco control que tiene la FUNDACIÓN UNIVERSITARIA AUTÓNOMA DE LAS AMÉRICAS en el área de sistemas se recomienda estructurar un departamento ya que es una organización está en un proceso de crecimiento rápido y continuo.
Se propone dispongan de un una UPC y estabilizadores para el buen funcionamiento de los equipos de la entidad.
Al observar los equipos de cómputo de la empresa se recomienda la renovación de algunos de estos ya que no están cumpliendo con las exigencias que son necesarias para el trabajo diario de los empleados.
Para la infraestructura de la red LAN que posee la empresa se sugiere que la sala de informática tenga una red alámbrica de vez de inalámbrica para que tenga mayor estabilidad en el ancho de banda.
49
REFERENCIAS ESTÁNDAR INTERNACIONAL ISO 27001, Tecnología de la información técnica de seguridad sistema de gestión de seguridad de la información. Primera edición 2005. 41 páginas. http://www.glpi-project.org/ http://www.ocsinventory-ng.org/en/