Descubre como implementarlos de manera efectiva
Ingeniería de Sistemas | T1
Autor: Santiago Jesús Paredes Q.
La implementación de un Sistema de Información
Docente: Monica, L. Ostos, C.
Fecha: 10 de julio del 2023
Estimado lector, me complace enormemente dirigirme a ti como autor de este e-book titulado “La Implementación de un Sistema de Información”. A lo largo de estas páginas te guiaré en un fascinante viaje hacia el mundo de la implementación de sistemas de información y sus fundamentos.
Este e-book tiene como objetivo brindarte una guía completa y detallada sobre la implementación de sistemas operativos. A lo largo de sus páginas, encontrarás información valiosa sobre seguridad del sistema de información, documentación, mantenimiento y auditoría, así como adiestramiento de usuarios. Mi objetivo es ayudarte a alcanzar el éxito en tus proyectos de implementación de sistemas operativos, brindándote los conocimientos y herramientas necesarios para enfrentar cualquier desafío que puedas encontrar.
Espero que disfrutes de esta experiencia de aprendizaje y que este e-book sea una fuente de inspiración y conocimiento para ti. ¡Estoy emocionado de embarcarme en este viaje contigo!
Atentamente,
Paredes Santiago
Presentación p
1. Introducción
2. Seguridad del Sistema de Información……………. #2
3. Mantenimiento de Sistemas de información……,,, #7
4. Auditoría de los Sistemas de Información………… #9
5. Adiestramiento a usuarios………………………….. #12
6, Referencias……………………………………………..#14
…………………………………,,,…….…
#1
Índice
La implantación segura de sistemas de información ha sido fundamental en la sociedad actual, ya que ha permitido agilizar procesos, mejorar la eficiencia y facilitar el acceso a la información. Los sistemas de información son conjuntos de componentes interrelacionados que recopilan, procesan, almacenan y distribuyen información para apoyar la toma de decisiones y el control en una organización.
La implementación de sistemas de información se refiere al proceso de diseñar, desarrollar e integrar un sistema de información en una organización. Esto implica la instalación y configuración de hardware y software, así como la capacitación de los usuarios para utilizar el sistema de manera efectiva.
En este trabajo, abordaremos temas relacionados con la seguridad de los sistemas de información. Analizaremos los objetivos de seguridad, tanto física como lógica, y los diferentes niveles de seguridad que se pueden implementar para proteger la información sensible. También exploraremos el mantenimiento de los sistemas de información, incluyendo los diferentes tipos de mantenimiento que se pueden realizar para garantizar su correcto funcionamiento y actualización. Además, examinaremos la auditoría de los sistemas de información, su objetivo principal y los distintos tipos de auditoría que se pueden llevar a cabo para evaluar la seguridad y el cumplimiento de los sistemas.
Otro aspecto importante que trataremos es el adiestramiento de usuarios, donde analizaremos los objetivos y procesos necesarios para capacitar a los usuarios en el uso adecuado de los sistemas de información. Por último, nos enfocaremos en la documentación, explicando las diferentes formas en las que se puede presentar la documentación de un sistema de información y su importancia para garantizar un adecuado funcionamiento y mantenimiento del sistema.
Introducción 1 1
2
Seguridad del sistema de Información
La seguridad de la información es esencial para cualquier organización, ya que garantiza la protección de los datos y evita posibles filtraciones o pérdidas de información. Es importante destacar que la seguridad de la información no debe confundirse con la seguridad informática, aunque están estrechamente relacionadas. La seguridad de la información se refiere a las medidas y técnicas utilizadas para controlar y salvaguardar los datos dentro de una organización, mientras que la seguridad informática se centra en la protección de los sistemas y redes.
Todas las organizaciones, independientemente de su tamaño, manejan datos confidenciales, ya sean de clientes, empleados u otros. Por lo tanto, es fundamental establecer medidas de seguridad en protección de datos para garantizar un tratamiento adecuado de esta información. Con la entrada en vigor de la Ley Orgánica de Protección de Datos (LOPD) y el Reglamento General de Protección de Datos (RGPD), estas medidas de seguridad se han convertido en una obligación legal para todas las organizaciones.
Objetivos
Si consideramos que la seguridad de la información puede variar según las características de cada organización y el sector en el que opera, podemos identificar una serie de objetivos comunes que todas las organizaciones comparten en términos de seguridad de la información y protección de datos. Estos objetivos se encuentran definidos en la norma ISO 27001, la cual establece un modelo para implementar sistemas de gestión de seguridad de la información. El propósito principal de esta norma es proteger los activos de información, que incluyen equipos, usuarios e información en sí misma. Al implementar este sistema de seguridad de la información
2
basado en la norma ISO 27001, es esencial considerar tres aspectos clave: integridad, confidencialidad y disponibilidad.
• Integridad
La integridad se refiere a garantizar que los datos no sean alterados o modificados de manera no autorizada. Esto implica implementar medidas de control y seguimiento para asegurar que la información se mantenga íntegra y no sea manipulada.
• Confidencialidad
La confidencialidad se refiere a garantizar que la información solo sea accesible por las personas autorizadas. Esto implica implementar medidas de control de acceso, como contraseñas y cifrado de datos, para evitar que la información caiga en manos equivocadas.
• Disponibilidad
La disponibilidad se refiere a garantizar que la información esté disponible cuando sea necesaria. Esto implica implementar medidas de respaldo y recuperación de datos para asegurar que la información esté siempre accesible, incluso en caso de fallos o desastres.
Seguridad física prevenir y contrarrestar estas amenazas. Por otro lado, la seguridad lógica se enfoca en proteger la información dentro de su entorno mediante el uso de herramientas de seguridad. Su objetivo es evitar la destrucción, modificación, divulgación indebida o retraso en la gestión de la información. Dado que la información es el activo más importante para una organización, es fundamental contar con técnicas de seguridad lógica que vayan más allá de las medidas físicas para protegerla adecuadamente.
El estudio de la seguridad se puede abordar desde dos perspectivas: la seguridad física y la seguridad lógica. La seguridad física se centra en proteger los sistemas contra amenazas físicas, como desastres naturales o sabotajes. Esto implica la implementación de barreras físicas y procedimientos de control para
3
Seguridad lógica
La seguridad lógica se refiere a la aplicación de medidas y procedimientos para proteger el acceso a los datos y garantizar que solo las personas autorizadas puedan acceder a ellos. Sus objetivos incluyen:
• Restringir el acceso a programas y archivos
• Prevenir modificaciones no autorizadas
• Asegurar el uso correcto de datos y programas
• Garantizar la correcta transmisión de información
• Contar con sistemas alternativos y de emergencia para la transmisión de información.
La seguridad lógica se basa en estándares internacionales como el TCSEC Orange Book, que establece diferentes niveles de seguridad para los sistemas operativos. Estos niveles van desde el mínimo grado de seguridad hasta el máximo y requieren el cumplimiento de los niveles anteriores. Por ejemplo, el subnivel B2 abarca los subniveles B1, C2, C1 y D.
• Nivel D: El nivel D está destinado a sistemas que no cumplen con ninguna especificación de seguridad. Estos sistemas carecen de protección para el hardware, el sistema operativo es inestable y no hay autenticación en relación a los usuarios y sus derechos de acceso a la información. Un ejemplo de sistema operativo en este nivel sería MS-DOS.
• Nivel C1: Protección discresional
El nivel C1 se refiere a sistemas que tienen protección discrecional, lo que significa que el acceso a la información se realiza mediante la identificación de usuarios. Cada usuario tiene su propia información privada y se distingue entre usuarios y el administrador del sistema, quien tiene control total de acceso.
En este nivel, muchas de las tareas de administración solo pueden ser realizadas por el "super usuario", quien tiene una gran responsabilidad en la seguridad del sistema. En organizaciones descentralizadas, es común encontrar dos o tres personas desempeñando este rol.
4
Los requisitos mínimos para cumplir con la clase C1 son:
- Acceso de control discrecional: se establece una distinción entre usuarios y recursos. Se pueden definir grupos de usuarios y grupos de objetos sobre los cuales los usuarios o grupos pueden actuar.
- Identificación y autenticación: antes de que un usuario pueda realizar acciones en el sistema, debe identificarse. La información de un usuario no puede ser accedida por otro usuario sin autorización o identificación adecuada.
• Nivel C2: Protección de acceso controlado
El nivel C2, que es una mejora del nivel C1, presenta características adicionales que crean un entorno de acceso controlado. Además, en el nivel C2 se tiene la capacidad de restringir aún más los comandos que los usuarios pueden ejecutar y los archivos a los que pueden acceder. Esto se logra mediante la implementación de niveles de autorización adicionales, además de los permisos estándar. Otra característica importante del nivel C2 es la auditoría del sistema. Esta auditoría se utiliza para registrar todas las acciones relacionadas con la seguridad, tanto por parte del administrador como de los usuarios. Además, se requiere una autenticación adicional para garantizar que la persona que ejecuta un comando es quien dice ser. Sin embargo, el principal inconveniente del nivel C2 es que requiere recursos adicionales para su implementación.
• Nivel B1: Seguridad etiquetada
El nivel B1 implica asignar una etiqueta de seguridad jerárquica a cada objeto del sistema, como usuarios o datos, junto con categorías específicas. Cada usuario debe tener permisos explícitos para acceder a un objeto y viceversa, lo que significa que cada usuario tiene sus propios objetos asociados. Además, se establecen controles para limitar la propagación de derechos de acceso a diferentes objetos.
• Nivel B2: Protección estructurada
El nivel B2 implica asignar etiquetas a los objetos del sistema según su jerarquía. Se establece una protección estructurada en la que cada objeto de nivel superior es etiquetado como padre de un objeto de nivel inferior.
5
Por ejemplo, un disco duro puede ser etiquetado como almacenamiento de archivos accesibles por diferentes usuarios. El sistema tiene la capacidad de alertar a los usuarios si se modifican las condiciones de accesibilidad y seguridad, y el administrador es responsable de establecer los canales de almacenamiento y ancho de banda utilizados por los demás usuarios.
• Nivel B3: Dominios de seguridad
El nivel B3 se enfoca en fortalecer los dominios de seguridad mediante la instalación de hardware adicional. Por ejemplo, se utiliza hardware de administración de memoria para proteger el dominio de seguridad y evitar el acceso no autorizado a la modificación de objetos en diferentes dominios de seguridad. Además, se implementa un monitor de referencia que evalúa las solicitudes de acceso de cada usuario y las aprueba o rechaza según las políticas de acceso establecidas.
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y comprobaciones ante posibles violaciones. Este nivel requiere que el terminal del usuario se conecte al sistema por medio de una conexión segura. Cada usuario tiene asignado los lugares y objetos a los que puede acceder.
• Nivel A: Protección verificada
El nivel más alto de seguridad, conocido como Nivel A de Protección Verificada, se enfoca en garantizar la seguridad del sistema mediante un proceso riguroso de diseño, control y verificación. Este nivel utiliza métodos formales matemáticos para asegurar todos los procesos realizados por los usuarios en el sistema.
Para alcanzar este nivel, es necesario incluir todos los componentes de niveles inferiores. El diseño del sistema debe ser verificado de manera matemática y se deben realizar análisis exhaustivos de canales encubiertos y de distribución fiable. Además, tanto el software como el hardware son protegidos para prevenir infiltraciones en caso de traslados o movimientos del equipamiento.
6
3
Mantenimiento de los Sistemas de Información
El mantenimiento en sistemas de información se refiere a las modificaciones y mejoras que se realizan a un programa o aplicación después de su entrega. Esta actividad tiene como objetivo prolongar la vida útil del software y mejorar su rendimiento. En el mantenimiento:
• se detectan y corrigen errores del software
• se cumplen requisitos adicionales sugeridos por los usuarios
• y se realizan cambios para hacer el sistema más fácil de usar y eficiente.
Además, el mantenimiento también incluye la atención al hardware y la adaptación del sistema a nuevas tecnologías.
A continuación se encuentran tres tipos de mantenimientos en sistemas de información:
Mantenimiento preventivo
El mantenimiento preventivo es aquel que se ocupa del desarrollo de actualizaciones de seguridad o del estado del software. Esto puede incluir:
• Eliminar el exceso de polvo de las computadoras y los servidores
• Hacer copias de seguridad de documentos y archivos
• Actualizar el software
• Escanear sistemas en busca de virus
Mantenimiento correctivo
Es aquel que se ocupa de la corrección de errores y defectos que ocurran de manera emergente, es decir, un error imprevisto que debe solucionarse lo antes posible. Como cualquier evento imprevisto, puede costar mucho tiempo y dinero.
7
El mantenimiento correctivo puede incluir:
• Reparaciones de emergencia
• Reparaciones de fallas en el servicio
• Reparaciones físicas
• Reparaciones de calidad
Mantenimiento predictivo
El mantenimiento predictivo busca proporcionar mejoras en las interfaces de los usuarios haciéndolas más intuitivas o agregando nuevas funcionalidades y herramientas. Para ello, se emplean instrumentos o herramientas para comprobar el estado de los componentes sin que estos dejen de funcionar. Entre ella incluyen:
• Uso de inteligencia artificial para la detección y corrección automática de errores
• Codificación de software para la automatización de procesos
8
Auditoria de los Sistemas de Información
La auditoría de sistemas es un proceso de revisión y evaluación de los controles y sistemas informáticos existentes en una organización, así como su utilización, eficiencia y seguridad.
• Consiste en examinar y evaluar los procesos y el nivel de informatización de los mismos,
“Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas” (Ynfante, 2009)
• Verificar los controles en el procesamiento de la información y la instalación de sistemas de seguridad
• Evaluar los recursos invertidos y la rentabilidad de cada proceso.
Realizada por personal externo a la empresa, la auditoría de sistemas ofrece una evaluación independiente y su objetivo es proporcionar un análisis objetivo, crítico, sistemático e imparcial. El informe final de la auditoría debe reflejar la realidad de la empresa en términos de procesos y tecnología, para mejorar la toma de decisiones y el rendimiento general del negocio.
4 Objetivos
Los objetivos de la auditoria de sistemas se pueden resumir en:
- Evaluar la eficiencia y suficiencia de los controles implementados en los sistemas informáticos.
- Identificar las causas de los problemas existentes en los sistemas de información y encontrar áreas de mejora.
- Determinar acciones preventivas y correctivas necesarias para mantener la confiabilidad y disponibilidad de los sistemas de información.
9
- Encontrar soluciones a problemas específicos que puedan afectar la operación y estrategias del negocio, como el cumplimiento de licencias de software, incompatibilidades de hardware y software, problemas de seguridad en bases de datos, entre otros.
- Mejorar la satisfacción y seguridad de los usuarios de los sistemas informáticos.
- Educar a los usuarios sobre el control de los sistemas de información, debido a su constante cambio y novedad.
- Mejorar la relación coste-beneficio de los sistemas de información.
- Incluir el control de los sistemas de entrada a los equipos informáticos y el uso que se les da.
Tipos de auditoría de Sistemas
Las auditorías de sistemas pueden ser aplicadas a diferentes niveles corporativos, como a toda la entidad, un departamento, un área o una actividad específica. Dentro de la auditoría de sistemas, existen diferentes tipos según los procedimientos y objetivos:
- Auditoría de la gestión: se verifica el uso de los sistemas para la contratación de bienes y servicios, documentación de los programas, entre otros aspectos.
- Auditoría legal del Reglamento de Protección de Datos: se verifica el cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de Protección de Datos.
- Auditoría de los datos: se verifica el uso de los sistemas para clasificar los datos, estudiar las aplicaciones y analizar los flujogramas
- Auditoría de las bases de datos: se verifica el uso de los sistemas en cuanto a controles de acceso, actualización, integridad y calidad de los datos..
10
- Auditoría de la seguridad: se refiere a la verificación de la disponibilidad, integridad, confidencialidad, autenticación y principio de no repudio de los datos e información.
- Auditoría de la seguridad física: se refiere a la ubicación de la organización, asegurando que los servidores y bases de datos estén protegidos físicamente y en un entorno favorable.
- Auditoría de la seguridad lógica: se refiere a los métodos de autenticación utilizados en los sistemas de información.
- Auditoría de la seguridad en producción: se evalúan los riesgos y respuestas frente a errores, accidentes y fraudes en la producción.
11
Adiestramiento a Usuarios 5
En la actualidad, las organizaciones reconocen la importancia de contar con empleados altamente capacitados y productivos. Por lo tanto, la capacitación se ha convertido en una respuesta a esta necesidad, ya que busca mejorar el desempeño actual o futuro de los empleados, aumentando su capacidad a través del desarrollo de sus conocimientos, habilidades y actitudes. Esta capacitación no solo contribuye al crecimiento personal y profesional de los individuos, sino que también trae beneficios para la organización en general.
El adiestramiento, por otro lado, se enfoca en todos los tipos de usuarios, tanto técnicos como operativos. Su objetivo es capacitar al personal encargado de operar y mantener los sistemas propuestos por la organización.
Métodos a emplearse
Personal a ser adiestrado
• Usuarios
• Operadores del sistema
• Seminarios
• Simulación
• Personal
• Directo
• Procedimental
12
Objetivos del adiestramiento
- Analizar las necesidades y requerimientos del personal del rectorado en relación al uso de sistemas de información.
- Elaborar cronogramas de estudio para la creación de cursos o programas de capacitación que se ajusten a las necesidades identificadas.
- Crear los documentos y materiales de apoyo necesarios para cada curso o programa de capacitación.
- Realizar las actividades planificadas para la capacitación y adiestramiento del personal.
- Brindar al empleado una preparación que le permita asumir mayores responsabilidades.
- Fomentar la mejora de los sistemas y procedimientos.
Proceso de adiestramiento
• Hay que considerar a quién se va a adiestrar:
• Usuarios directos del sistema.
• Usuarios indirectos del sistema.
• Cada tipo de usuario tiene diferentes expectativas y habilidades.
• Normalmente, los trabajadores que ejercen el rol de instructor, son:
• Vendedores.
• Analistas que conocen el (los) sistemas
• Instructores externos.
• Instructores internos.
Documentación
En la actualidad, existen diversas formas de presentar la documentación que debe acompañar a cualquier sistema de información y que debe ser entregada al usuario al momento de poner en funcionamiento el sistema. La documentación puede presentarse en formato físico, como libros, folletos, manuales impresos en papel. También puede ser entregada en formato digital, ya sea a través de un medio de almacenamiento como un disco o un pen drive, o puede estar incorporada directamente en la aplicación, generalmente accesible a través de la tecla "F1" o mediante íconos resaltantes. Además, la documentación también puede estar disponible en un repositorio o página web, en formato PDF o HTML, para que los usuarios puedan acceder a ella cuando lo necesiten.
13
Referencias
• Altp. (2018). Seguridad física y lógica de un sistema de información. Riesgos, amenazas y vulnerabilidades. Medidas de protección y aseguramiento. Auditoría de seguridad física. Wordpress. Disponible en la web
https://gsitic.wordpress.com/2018/01/19/bii13-seguridad-fisica-y-logica-de-un-sistema-de-i nformacion-riesgos-amenazas-y-vulnerabilidades-medidas-de-proteccion-y-aseguramiento-a uditoria-de-seguridad-fisica/
. Consultado el 9/7/2023
• Castañón, B. (2012). Auditoria de sistemas de información. Gestiopolis. Disponible en la web
https://www.gestiopolis.com/auditoria-de-sistemas-de-informacion/. Consultado el 10/7/2023
• Castellanos, L. (2009). Implantación de sistemas. Wordpress. Disponible en la web
https://desarrollodesistemas.wordpress.com/tag/adiestramiento-sistemas/. Consultado el 10/7/2023
• Gap Auditores. (S/F). Auditoría de Sistemas de Información. Gap Auditores. Disponible en la web
https://www.gapauditores.com/blog/auditoria-sistemas-informacion/#:~:text=La%20auditor %C3%ADa%20de%20sistemas%20consiste,instalaci%C3%B3n%20de%20sistemas%20de %20seguridad
. Consultado el 10/7/2023
• ISOTools Excellence. (2021). ¿Qué es la seguridad de la información y cuantos tipos hay? Pmg-ssi. Disponible en la web
https://www.pmg-ssi.com/2021/03/que-es-la-seguridad-de-la-informacion-y-cuantos-tipos-h ay/#:~:text=La%20seguridad%20de%20la%20informaci%C3%B3n%20es%20el%20conjun to%20de%20medidas,que%20ha%20establecido%20la%20organizaci%C3%B3n
. Consultado el 9/7/2023
• Parra, M. & Mejias, L. & Avancini, H. & Gomez, J. (2015). Adiestramiento a los usuarios. Blogspot. Disponible en la web
http://adiestramientodesistema-unefa.blogspot.com/p/adiestramiento-los-usuarios.html
. Consultado el 10/7/2023
• Silva, D. (2021). Soporte y mantenimiento: ¿sabes cuál es la diferencia? Zendesk. Disponible en la web
https://www.zendesk.com.mx/blog/soporte-y-mantenimiento/#:~:text=El%20mantenimiento %20en%20sistemas%20electr%C3%B3nicos%20es%20la%20modificaci%C3%B3n%20qu e%20se,el%20rendimiento%20de%20un%20equipo
. Consultado el 10/7/2023
6 2