vi. riesgos y seguridad en datos
TRANSCRIPT
www.company.com
IV. RIESGOS Y SEGURIDAD EN DATOS
Ing. Julio Carreto
www.company.com
2
Ing. Julio Carreto
Riesgos y seguridad en datosLos principales objetivos de la seguridad en información son: • Reducir el riesgo de que los sistemas y las organizaciones cesen sus
operaciones• Mantener la confidencialidad de la información• Asegurar la integridad y confiabilidad del acervo de datos• Asegurar la disponibilidad del acervo de datos• Asegurar el cumplimiento de las leyes de seguridad nacionales y de las
directivas y reglas de privacidad
Estos objetivos pueden estar en peligro en las formas indicadas, quizá en mayor medida por el incontrolado aumento de la actividad en internet y del uso de intranets y extranets.
Las organizaciones primero deben estar conscientes de los riesgos potenciales a los que se enfrentan sus recursos de información y establecer medidas de seguridad para protegerse contra esos riesgos.
www.company.com
3
Ing. Julio Carreto
Riesgos para el hardware
Entre los riesgos que corre el hardware se incluyen daño físico a computadoras, equipo periférico y medios de comunicación.
Las principales causas de dicho daño son:• Los desastres naturales• Los apagones e interrupciones en la corriente
eléctrica• El vandalismo.
www.company.com
4
Ing. Julio Carreto
Desastres naturales Los desastres naturales que representan un riesgo para los sistemas de información son los
incendios, inundaciones, terremotos, tornados y rayos.
El agua de las inundaciones provoca cortocircuitos y quema componentes delicados, como los microchips.
Los rayos y las sobrecargas de voltaje funden alambres diminutos y destruyen circuitos.
El agua de las inundaciones y el calor creado cuando los circuitos se sobrecargan también pueden estropear la superficie de los medios de almacenamiento, como discos y cintas magnéticas, destruyendo así los datos.
Por su parte la fauna y algunos errores humanos pueden destruir líneas de comunicación; hay animales que roen los cables y, en ocasiones, los granjeros cortan los cables por accidente mientras cuidan sus cultivos.
La manera más fácil de protegerse contra la pérdida de datos por desastres naturales es duplicar automáticamente todos los datos de manera periódica y guardar esa copia en un lugar lejos de la oficina.
www.company.com
5
Ing. Julio Carreto
Apagones y bajos voltajesLas computadoras funcionan con electricidad. Si el flujo de energía eléctrica se
interrumpe, la computadora y sus dispositivos periféricos no pueden funcionar.
Durante los apagones, como se sabe, se interrumpe por completo el flujo de energía eléctrica.
Las sobrecargas de voltaje son igualmente lesivas, porque su impacto sobre el equipo es similar al de los rayos.
La manera más común de protegerse contra interrupciones en el flujo de energía es
conectar las computadoras a un regulador de voltaje y éste a la red eléctrica. Para protegerse contra interrupciones de energía eléctrica, las corporaciones utilizan
sistemas de suministro ininterrumpido de energía (UPS: Uninterruptible Power Supply).
La única medida práctica contra apagones prolongados es contar con un generador alterno que funcione con gasolina u otro combustible.
www.company.com
6
Ing. Julio Carreto
VandalismoA veces las personas destruyen de manera deliberada los sistemas de
cómputo.
Los clientes molestos pueden dañar cajeros automáticos, o los empleados resentidos pueden destruir equipo de cómputo por temor a perder sus trabajos, o sólo para vengarse sus superiores.
Es difícil proteger a las computadoras contra el vandalismo.
En el lugar de trabajo la mejor medida contra el vandalismo es permitir el acceso sólo a quienes realmente necesitan utilizar el sistema.
El equipo delicado, como los servidores, debe colocarse en un cuarto especial.
www.company.com
7
Ing. Julio Carreto
Riesgos para las aplicaciones y los datos
Todos los sistemas de cómputo son susceptibles de sufrir alteraciones y daño.
Los principales riesgos que corren las aplicaciones y los datos de software son:
• Robo de información.• La alteración y destrucción de datos.• Los virus de computadora.• Los programas que permiten acceso no autorizado.• Contratiempos no intencionales.
www.company.com
8
Ing. Julio Carreto
Robo de informaciónAntes de las computadoras, la mayor parte de las empresas mantenían en
secreto la información en un lugar seguro. Un ladrón debía romper literalmente algún tipo de candado, u obtener de manera ilegal una llave de acceso.
Ahora hasta la información más confidencial suele guardarse en forma electrónica en alguna parte de un sistema de información de la empresa.
El equivalente electrónico de la llave es el código, una combinación de caracteres necesarios para acceder a datos protegidos.
Antes de la era de las computadoras, guardar grandes cantidades de datos significaba archivar mucho papel, lo que era difícil de robar y ocultar posteriormente.
En la actualidad miles de página de información pueden almacenarse en un pequeño disco magnético, por lo que es más fácil robar la información y también más fácil de ocultar.
www.company.com
9
Ing. Julio Carreto
Alteración y destrucción de datosLa alteración o destrucción de datos suele ser producto de un
acto de perversidad.
Desde que las empresas empezaron a colocar páginas Web en internet, muchas se han llevado una sorpresa desagradable: algunas personas han encontrado formas de acceder a los servidores y alterar páginas principales y de otro tipo.
Para evitar dicho vandalismo electrónico se utilizan hardware y software especiales.
www.company.com
10
Ing. Julio Carreto
Virus de computadoraLos virus de computadora suelen ser unas cuantas líneas de código de
programación que se insertan en un programa legítimo y que, más tarde, un usuario poco prudente copia y activa.
Los virus de computadora deben su nombre a que actúan sobre programas y datos de manera similar a como los virus actúan sobre el tejido vivo: los virus de computadora se propagan con facilidad de una computadora a otra.
Como las computadoras suelen conectarse en red y sin saberlo transmitimos virus que han infectado nuestros archivos a otras computadoras.
Cuando un virus llega a una computadora, causa daños en los archivos de aplicaciones y de datos.
www.company.com
11
Ing. Julio Carreto
Virus de computadoraLos virus pueden alterar la transmisión de datos: su presencia provoca que
las aplicaciones de comunicación de datos procesen enormes cantidades de mensajes y archivos inútiles, lo que reduce la eficiencia de transmisión y recepción de mensajes y archivos legítimos.
Los virus se propagan copiando el software infectado o al recibirlo de otra computadora. Puesto que millones de personas utilizan el correo electrónico, las redes de computadoras, y sobre todo, internet, facilitan la distribución de virus de computadora.
Los peores virus son los que se instalan en los sistemas operativos. Puesto que este interactúa con los archivos de programa y de datos utilizados en la computadora, el virus alojado puede dañar cada uno de los archivos utilizados.
www.company.com
12
Ing. Julio Carreto
Virus de computadora…
Algunos virus son una especie de bomba lógica, la cual se programa para causar daño en un momento específico. Se mantiene inactiva hasta que ocurre un evento determinado en la computadora o hasta que el reloj interno de ésta indica una hora previamente establecida.
Una manera de protegerse contra los virus es utilizar software antivirus, vendidos por empresas especialistas en la creación de antivirus. Sin embargo, el problema con este software es que es improbable que detecte un virus nuevo, aunque algunas veces si puede detectarlo, pero no destruirlo.
www.company.com
13
Ing. Julio Carreto
Programas de control remoto no autorizadoLos virus cibernéticos son ilegales y el utilizarlos constituye un delito en
prácticamente cualquier parte del mundo.
Actualmente, un nuevo tipo de programa ha generado preocupación, porque, aunque puede causar estragos, no es un virus y por lo tanto no es ilegal. Este programa permite a otra persona controlar la PC desde un punto remoto.
Existen diversos programas que, al ser instalados en una computadora, permiten controlar los archivos y aplicaciones de esa computadora desde otra computadora a través de internet.
Sin embargo, otras personas también podrán controlar su PC. El programa tiene la opción de usar una contraseña para que sólo quienes la conocen puedan trabajar con la PC.
No obstante, se corre el riesgo de que algunas personas olviden utilizar esta opción, o de que los empleados no configuren una contraseña a fin de permitir a otros acceder a su PC.
www.company.com
14
Ing. Julio Carreto
Contratiempos no intencionalesContratiempos no intencionales
El daño no intencional del software ocurre debido a:
1. Capacitación deficiente
2. Falta de hábito de hacer una copia de seguridad
3. Un simple error humano
Con frecuencia se destruyen datos por no guardar en el disco duro todo el trabajo y crear una copia de seguridad. La destrucción de datos a menudo ocurre cuando utiliza un programa de procesamiento de texto para crear archivos de texto, y cuando actualiza bases de datos.
www.company.com
15
Ing. Julio Carreto
Medidas de controlLos controles son restricciones y otro tipo de
medidas impuestas a un usuario o sistema o que pueden utilizarse para proteger los sistemas de los riesgos ya señalados, así como para paliar el daño causado a sistemas, aplicaciones y datos.
www.company.com
16
Ing. Julio Carreto
Programas robustos y control para la entrada
Se dice que un programa de cómputo es “robusto” si hace lo que debe hacer con eficacia, pero también si puede soportar un uso inapropiado, como la entrada o el procesamiento de datos incorrectos.
Puede escribirse un mismo tipo de aplicación con diferentes niveles de elaboración, dependiendo de la manera en que los diseñadores utilizarán el programa.
Un programa menos robusto sólo permite que el usuario introduzca los parámetros necesarios sin interactuar con el sistema.
Un programa robusto incluye códigos que producen de manera inmediata un mensaje claro si un usuario comete un error o trata de eludir un proceso.
www.company.com
17
Ing. Julio Carreto
Programas robustos y control para la entrada…
Los menús son herramientas útiles para instalar medidas de control.
Los sistemas pueden programarse para que se desplieguen diferentes opciones de menú, dependiendo de los niveles a que esté autorizado el usuario.
Al proporcionar menús limitados, un sistema restringe forzosamente las posibilidades de los usuarios.
Otra manera efectiva de control, es programar límites en los valores lógicos que pueden introducirse en campos cuantitativos o en la salida obtenida mediante procesamiento.
www.company.com
18
Ing. Julio Carreto
Copia de seguridadQuizá la manera más fácil de evitar la pérdida de datos debido a desastres
naturales, virus de computadora o errores humanos es duplicar automáticamente todos los datos de manera periódica, es decir hacer una copia de seguridad de datos. Muchos sistemas tienen programas integrados que realizan esta operación automáticamente.
Los datos pueden duplicarse en dispositivos de almacenamiento económicos, como cintas magnéticas.
Desde luego, la copia de seguridad de datos no es suficiente.
Los discos o cintas con datos de copia de seguridad deben almacenarse fuera del centro de trabajo por si éste fuera afectado por un siniestro.
www.company.com
19
Ing. Julio Carreto
Los controles de acceso son medidas para asegurar que solo las personas autorizadas puedan acceder a una computadora o red, o a ciertas aplicaciones, o datos.
Una manera de bloquear el acceso a una computadora es guardarla en una instalación a la que sólo los usuarios autorizados accedan mediante una clave o protegiéndola con una llave física. Sin embargo, en la era de las computadoras de red, esto suele ser poco práctico.
Lo más común es controlar el acceso combinando un código de acceso y una contraseña. Mientras por lo general los códigos de acceso (ID de usuario) no son secretos, las contraseñas sí lo son.
Los administradores de sistemas de información invitan a los usuarios a cambiar sus contraseñas con frecuencia.
Algunas organizaciones tienen sistemas que obligan a los usuarios a cambiar sus contraseñas de acuerdo con intervalos preestablecidos: una vez al mes, una vez por trimestre, etcétera.
Control de acceso
www.company.com
20
Ing. Julio Carreto
Algunos sistemas también impiden al usuario utilizar una contraseña que haya utilizado en el pasado, para reducir la posibilidad de que alguien la adivine.
Los códigos de acceso y sus respectivas contraseñas se mantienen en una lista especial que se vuelve parte del sistema operativo, o en una base de datos que el sistema busca para determinar si un usuario tiene autorización para acceder al recurso solicitado.
En los últimos años, algunas empresas han incorporado controles de acceso físicos a los que se llama biometría. Un patrón biométrico considera una característica única y mensurable de rasgos de un ser humano para identificarlo. Pueden utilizarse huellas digitales, imágenes de la retina o el tono de voz como patrones biométricos.
Control de acceso…
www.company.com
21
Ing. Julio Carreto
Transacciones atómicasComo sabemos, cuando un sistema de información es
eficiente, un usuario introduce datos sólo una vez y éstos se registran en diferentes archivos para diversos propósitos, de acuerdo con las instrucciones programadas del sistema.
Un sistema soporta transacción atómica cuando el código correspondiente permite sólo el registro de datos si llegan con éxito a todos sus destinos.
Es decir, usar transacciones atómicas asegura que únicamente se actualicen las entradas (completas) en los archivos apropiados.
www.company.com
22
Ing. Julio Carreto
Revisión de auditoríaA pesar de las precauciones existentes para evitar un uso abusivo del
sistema, esto sucede algunas veces. Por lo tanto, se necesitan medidas adicionales para mantener el registro de las transacciones, de modo que: cuando se detecten abusos, pueda dárseles seguimiento, y, que el temor a ser descubierto desaliente el abuso.
Una herramienta muy usada para estos fines es la revisión de auditoría: una serie de hechos documentados que ayudan a detectar quien registró cuáles transacciones, en qué momento y con la aprobación de quién.
Cada vez que un empleado registra una transacción, el sistema le indica al empleado que proporcione cierta información.
www.company.com
23
Ing. Julio Carreto
Revisión de auditoría…Algunas veces se crea automáticamente un registro de auditoria utilizando
datos como la fecha y hora de transacción, o el usuario que actualiza el archivo. Estos datos se registran directamente desde la computadora (a menudo sin conocimiento del usuario) y se agregan al registro de la transacción.
Esta información ayuda a detectar actos indeseables, desde errores sin dolo hasta fraude premeditado.
La revisión de auditoria es la herramienta más importante del auditor de procesamiento electrónico de datos, cuyo trabajo consiste en detectar casos en que haya incurrido en error o fraude, e investigarlos.
www.company.com
24
Ing. Julio Carreto
Estándares de seguridadLa experiencia demuestra que es mucho menos costoso incorporar medidas
de seguridad en un sistema durante el proceso de diseño que en un sistema ya terminado.
Los administradores deben saber hasta qué punto sus sistemas de información están protegidos contra el acceso no autorizado a recursos de datos y su manipulación.
Cada vez más diseñadores de sistemas utilizan estándares fijos cuando evalúan el grado de seguridad de un sistema, el cual puede evaluarse con facilidad comparando cada medida de seguridad del sistema con los estándares establecidos, que también constituyen criterios claros que habrán de considerarse cuando se diseñe un nuevo sistema de información.
www.company.com
25
Ing. Julio Carreto
El libro naranja El estándar de seguridad más conocido es el señalado en Trusted Computer System
Evaluation Criteria (TCSEC), libro publicado por el Centro Estadounidense de Seguridad en Computadora (NCSC), una dependencia del Departamento de Defensa de Estados Unidos, y conocido como “el libro naranja” por el color de su forro.
En él, NCSC define cuatro niveles de seguridad, que van de la protección mínima, llamada decisión D, a la ultra seguridad, llamada decisión A:
1. Decisión A: Protección de verificación
2. Decisión B: Protección obligatoria
3. Decisión C: Protección discrecional
4. Decisión D: Protección mínima o nula
A su vez, las cuatro categorías se subdividen en clases (siete en total) que representan “ventajas en lo que respecta a la seguridad de computadora”. Dentro de estas clases numeradas, el 1 indica el nivel de grado de seguridad más bajo y el 7 el mayor grado de seguridad.
www.company.com
26
Ing. Julio Carreto
ITESCEl Criterio Europeo de Evaluación de Seguridad en Tecnología de la
Información (ITSEC) emitido por una organización de la Comunidad Europea llamada SOG-IS (Grupo de Especialistas: Seguridad en Sistemas de Información) es similar al libro naranja.
Los críticos del libro naranja afirman que resulta adecuado para proteger la privacidad, pero no para evitar otro tipo de inconvenientes y daños, como el fraude monetario.
Puesto que el énfasis se pone en la privacidad, el único aspecto considerado es el acceso. También se quejan que el libro naranja no aborda cuestiones de la red.
Todas esas preocupaciones están contempladas en el nuevo estándar ISO/IEC.
www.company.com
27
Ing. Julio Carreto
Estándar ISOEn 1999, la Organización Internacional de Estandarización (ISO) y la
Comisión Electrotécnica Internacional (IEC), que son organismos internacionales, publicaron el estándar 15408 de ISO/IEC llamado Criterios de evaluación de técnicas de seguridad en tecnología de información para seguridad de tecnología de información.
El propósito del documento es proporcionar “un conjunto estándar de requisitos para las funciones de seguridad en productos y sistemas de tecnología de información y para medidas de refuerzo aplicadas a ellas durante una evaluación”.
www.company.com
28
Ing. Julio Carreto
Estándar ISO…
Las organizaciones dicen que dicho estándar permite comparar resultados de evaluaciones de seguridad, pues, proporciona un conjunto común de requisitos para evaluar las funciones de seguridad de productos y sistemas de tecnología de información, así como las medidas de seguridad integradas.
Estos resultados pueden ayudar a los consumidores a determinar si el producto o sistema de tecnología de información es lo bastante seguro para su aplicación práctica y si los riesgos de seguridad que conlleva su uso son tolerables.
www.company.com
29
Ing. Julio Carreto
Separación de tareasUna de las medidas más importantes para evitar el uso abusivo de
sistemas de información y los “trabajos internos” es la separación de tareas.
Ésta consiste en que diferentes personas están a cargo de diferentes actividades, lo cual permite llevar un control de desempeño, mantener un cierto equilibrio y reducir la posibilidad de conducta delictuosa.
Al igual que con otro tipo de controles, para que la separación de tareas tenga éxito, durante el diseño y mantenimiento de sistemas, y también durante su operación, deben establecerse políticas claras para dichos fines.
www.company.com
30
Ing. Julio Carreto
Separación de tareas en el desarrollo de sistemas
La división de la tarea del desarrollo de sistemas en varias subtareas no sólo sirve para cumplir con un importante principio de modularidad, sino también para los fines de seguridad de la empresa.
Así los programadores no podrán controlar el mecanismo de seguridad del sistema una vez que éste entre en operación; después de que los usuarios hayan configurado sus códigos de acceso, los programadores necesitarán conocer esos códigos para acceder a áreas protegidas.
Recuerde que todos los sistemas se someten a pruebas para verificar que
funcionarán con éxito, pero también deben examinarse para asegurarse de que no hay trampas (trapdoor).
Los programadores añaden al software trampas, o puertas de escape para permitirse a sí mismos, o a sus colaboradores acceder a aplicaciones o bases de datos particulares desde Internet.
www.company.com
31
Ing. Julio Carreto
Separación de tareas mientras se utiliza el sistema
También resulta conveniente la separación de tareas para los usuarios del sistema, sobre todo cuando los sistemas de información realizan actividades financieras o contables que puedan manipularse para cometer fraude o robo.
La separación funciona mejor cuando un proceso debe desglosarse en
una secuencia de pasos fácilmente identificables y susceptibles de llevarse a cabo por diferentes personas.
Por ejemplo, muchas empresas tienen sistemas para transferir grandes sumas de dinero, entonces una persona inicia el procedimiento de transferencia, otra persona la autoriza y una tercera persona la ejecuta.
En muchas instituciones financieras, la transferencia electrónica de fondos no puede realizarse a menos que dos empleados introduzcan sus contraseñas para ejecutar la transacción.
www.company.com
32
Ing. Julio Carreto
Controles de redLas computadoras rara vez son máquinas aisladas; muchas están
conectadas de manera permanente a otras computadoras mediante líneas especiales, o están equipadas con módems u otros dispositivos de comunicación que permiten a los usuarios conectarse a otras computadoras cuando así lo deseen.
En general, cuando un usuario entra a una red, las medidas de
seguridad que requieren la utilización de códigos y contraseñas de acceso son similares a las existentes en cualquier sistema de cómputo: comprueban que los usuarios sólo acceden a partes autorizadas de bases de datos y se aseguran de que se ejerzan los privilegios de acceso correctos.
Pueden añadirse algunas medidas de protección adicionales contra el uso no autorizado de manera específica en redes, como devolución de llamadas, encriptación, certificados digitales y firewalls.
www.company.com
33
Ing. Julio Carreto
Devolución de llamadaCuando un módem llama a un sistema, una
aplicación especial solicita el número telefónico del cual se está haciendo la llamada; si se autoriza el número, el sistema se desconecta y marca ese número.
Si éste no coincide con los de su lista de números autorizados, el sistema no permite el acceso.
www.company.com
34
Ing. Julio Carreto
EncriptaciónCuando se comunica información confidencial en una red pública como Internet,
las partes deben autentificarse entre sí y mantener el mensaje en secreto.
La autentificación es el proceso mediante el cual se asegura que la persona que envía o recibe un mensaje es en efecto la persona correcta.
Puede realizarse entre emisores y receptores que intercambian códigos solo conocidos por ellos. Una vez establecida la autentificación, se puede mantener secreto el mensaje al darle una forma que impida su lectura a quien lo intercepte. A este tipo de codificación se le llama encriptación.
Los programas de encriptación se utilizan para “revolver” la información transmitida por la red.
La encriptación se realiza aplicando un algoritmo matemático.
www.company.com
35
Ing. Julio Carreto
EncriptaciónCuando el emisor y el receptor utilizan la misma clave se dice que la encriptación
es simétrica.
También se puede utilizar una clave asimétrica compuesta de dos claves:
• Una clave pública se distribuye en forma amplia y puede ser conocida por todos.
• Una clave privada es secreta y sólo la conoce el receptor del mensaje.
Cuando el emisor desea evitar un mensaje seguro al receptor, utilizando la clave pública de éste para encriptar el mensaje. Luego el receptor utiliza su propia clave privada para desencriptarlo. Hay una relación matemática entre las claves pública y privada.
Las claves pública y privada se relacionan de tal manera que sólo la clave pública puede utilizarse para encriptar mensajes, y sólo la clave privada correspondiente puede desencriptarlos.
www.company.com
36
Ing. Julio Carreto
Certificado digital SSLUn certificado digital es el equivalente de una tarjeta de
identificación física.
Contiene una clave pública y una firma digital. Los certificados digitales se obtienen de autoridades certificadas, que son empresas confiables para el público.
Una firma digital es un código digital que sólo identifica al
remitente del mensaje.
Los negocios lo usan para identificar compañías e individuos que ejecutan transacciones financieras y de otro tipo.
Se espera que las firmas digitales se conviertan en el equivalente legal de una firma manuscrita.
www.company.com
37
Ing. Julio Carreto
FirewallsEs un software cuyo propósito consiste en bloquear el acceso a recursos de computación.
Bloquea los intentos de hacer cualquier cambio en la información o el acceso a otros recursos residentes en la misma computadora.
Una forma más segura de evitar el acceso no autorizado a un sistema de información vía un sitio Web es usar un servidor completamente independiente para los recursos destinados a estar disponibles para los navegadores de la red.
A menudo, las páginas Web de tal servidor son un espejo del servidor principal. Un espejo es una copia completa e idéntica de software o datos contenidos en otro servidor.
Es importante saber que, aunque las firewalls se emplean para mantener fuera a los usuarios no autorizados, también se usan para software no autorizado, como virus de computadoras y otro tipo de software que podría causar daños.
También puede programarse para bloquear el acceso de empleados a sitios que, se sospecha, difunden programas dañinos o a los que no proporcionan recursos útiles.
La firewall prohíbe al usuario iniciar sesiones en otros sitios.
www.company.com
38
Ing. Julio Carreto
La desventaja de la seguridadEl control de la seguridad, sobre todo mediante el uso de contraseñas, aplicaciones de
encriptación y firewalls, hacen más lentas las comunicaciones de datos.
Los empleados suelen olvidar sus contraseñas, especialmente si se les pide que las reemplacen cada treinta o sesenta días.
Para no olvidarlas, muchos empleados las anotan en papel y las tienen donde es más probable que las necesiten: pegadas a sus computadoras.
A los empleados les molesta tener que usar una contraseña diferente para cada sistema; en algunas corporaciones, hay cuatro o cinco sistemas, cada uno con su propio control de acceso.
La solución es un método llamado “una sola firma”.
Muy pocas organizaciones han instalado software de este tipo.
www.company.com
39
Ing. Julio Carreto
La desventaja de la seguridad…La encriptación retrasa la comunicación, porque el software debe encriptar y
desencriptar cada mensaje. Esta actividad toma tiempo. El retraso sólo vuelve aún más lenta la velocidad de descarga durante periodos de tráfico pesado.
Los firewalls tienen el mismo efecto de disminución de la velocidad.
Es responsabilidad de los especialistas de tecnología de información y otros administradores determinar primero a qué recursos se accede sólo con contraseñas y cuáles requieren además otros métodos de protección.
Los especialistas deben convencer a los empleados de que esta inconveniencia es el precio que se paga por proteger los datos.
www.company.com
40
Ing. Julio Carreto
Medidas de recuperaciónLas medidas de seguridad pueden reducir la incidencia de accidentes, pero nadie
puede controlar todos los desastres. Para estar preparadas, las organizaciones deben contar con medidas de recuperación.
Las que dependen en gran medida de los sistemas de información para sus negocios diarios suelen recurrir a la redundancia; es decir, ejecutan todos los sistemas y transacciones en dos computadoras en paralelo, para prevenir la pérdida de datos y negocios.
Si una computadora falla, el trabajo continuará realizándose en la otra. Muchas organizaciones cuentan con programas cuidadosamente elaborados
conocidos como planes de recuperación en caso de desastres, los cuales detallan qué debe hacerse y quién debe encargarse, si hay problemas serios con los sistemas de información o si las operaciones de sistemas de información corren algún riesgo en cuanto a la seguridad.
Casi siempre, los planes de recuperación de negocio prevén estrategias en caso de que los sistemas de información no puedan dar soluciones.
www.company.com
41
Ing. Julio Carreto
PROSPECTIVA DE LA INFORMATICA APLICADA A LA ADMINISTRACION
La informática es básicamente el apoyo operacional de los
sistemas de información que en este caso se maneja en administración.
Hoy en día nuestra vida está completamente ligada a las comunicaciones por lo que la tecnología no puede pasar desapercibida y menos en el manejo de una empresa.
La informática se aplica desde el manejo y apoyo de los negocios y operaciones, hasta la toma de decisiones y para la creación y aplicación de nuevas estrategias competitivas.
www.company.com
42
Ing. Julio Carreto
¡¡¡GRACIAS!!!