MODULO DE FORMACIÓN PROFESIONAL "APLICACION DE LA SEGURIDAD INFORMÁTICA"

El módulo de Aplicación de la normatividad informática juega un papel relevante debido a que funge como eje de la formación para el desarrollo de la competencia profesional, específicamente la relacionada con la identificación del marco jurídico vigente que rige la actuación informática. Durante la adquisición de dicha competencia el alumno aplica la normatividad relativa al ejercicio de la función informática en la ejecución de sus actividades, se cristaliza con la implementación de técnicas didácticas tales como discusiones grupales, estudios de caso, exposiciones, lecturas previas entre otras.

El logro de ésta competencia le permitirá al alumno en el plano laboral, desarrollar habilidades mediante las cuales vigila el cumplimiento de la normatividad informática en el ámbito en el que desarrolla. A su vez, en el plano personal lo anterior le lleva a la adquisición de experiencia y satisfacción debido a que cuenta con las herramientas conceptuales necesarias para el cumplimiento de la legislación y normatividad informática.

El enfoque general que caracteriza este módulo es la fundamentación pues en la primera unidad se abordan aspectos globales sobre el derecho informático aplicable a la información, a la función del usuario, y en general a las tecnologías de la información.

En la segunda unidad, se abordan habilidades que promuevan la validación del cumplimento del marco legal y normativo de una organización, con el propósito de establecer controles de seguridad en el uso de las tecnologías de la información.

Bajo la óptica e intencionalidad de que el aprendizaje no se concibe de manera espontánea ni aislada durante los procesos cognitivos generados por lo que el actor central en el proceso de construcción del aprendizaje es el participante, quien con la orientación planeada e intencionada hacia el cumplimiento de los objetivos de aprendizaje por parte del docente, da significado y valor a los conceptos, procedimientos y actitudes que se proponen al interior de los espacios educativos, entiéndase aulas, talleres, espacios laborales entre otros.

Aunado a lo anterior se destacan las competencias genéricas que complementariamente se promueven y fortalecen a la par del desarrollo de las competencias profesionales. En este sentido durante la instrumentación del presente módulo, se privilegia el uso de dichas competencias donde el participante pone en juego sus habilidades de expresión y comunicación mediante ideas y conceptos legales en el ámbito de la función informática por medios orales y escritos, aplicados a hechos y conductas inadecuadas, así como a faltas administrativas.

Planeación de Actividades de aprendizaje para la 1º Unidad

Participar en el encuadre del programa al inicio de la unidad, aportando preguntas y propuestas para tomar acuerdos sobre la forma de trabajar durante el desarrollo del módulo, con la finalidad de cumplir con el objetivo planteado.

Cumplir puntualmente con las tareas encomendadas en clase y extramuros.

Integrar la terminología legal aplicable en la función informática para la elaboración de un glosario.

Identificar los conceptos técnicos y legales abordados durante la impartición de la Unidad

Describir la aplicación del marco normativo del derecho informático desde una perspectiva contemporánea, para ello realizar las siguientes actividades:

1. Participar activamente en una lluvia de ideas al inicio del tema, con la finalidad de asociar ideas previas, lo cual permitirá establecer un marco conceptual en torno a la competencia abordada.
2. Realizar consulta bibliográfica en equipos en materiales impresos o a través del  Internet para identificar la estructura del marco legal y exponerla ante el grupo para su análisis y discusión.
3. Investigar y realizar círculos de lectura para identificar, describir y exponer ante el grupo los delitos, faltas administrativas y sanciones aplicables al usuario que maneja tecnologías de la información, en el contexto del Estado Mexicano, considerando el territorio, su población y gobierno.
4. Realizar consulta bibliográfica en equipos en materiales impresos o a través del internet sobre la legislación informática, sus normas y principios.
5. Analizar en forma grupal y presentar conclusiones.

Realizar la actividad núm. 1. Conceptos normativos que conforman el Marco Jurídico del derecho informático

Investigar y realizar círculos de lectura para identificar, describir y exponer ante el grupo los delitos, faltas administrativas y sanciones aplicables a la información, en el contexto del Estado Mexicano, considerando el territorio, su población y gobierno.

Realizar la actividad núm. 2. Descripción de casos de normatividad aplicables al usuario en la legislación informática

Elaborar en equipos un resumen de los temas investigados, intercambiar información, y comentar experiencias de aprendizaje.

Elaborar en equipos una presentación en cartel, diapositivas o pintarrón para describir a través de una exposición las debilidades o insuficiencias de la normatividad informática.

Realizar la actividad núm. 3 Descripción de casos de normatividad aplicables al usuario en la legislación informática

Realizar la actividad núm. 4. Descripción de problemática, tipos y métodos empleados, y marco legal aplicable relativo al software.

Realizar la actividad núm. 5. Distinción de faltas administrativas para su probable sanción.

Planeación de Actividades de aprendizaje para la 2º Unidad

a.     Realizar consulta bibliográfica en materiales impresos o de Internet sobre las principales funciones y equipo de cómputo y de telecomunicaciones sujetos a revisión en una organización para asegurar el adecuado uso y aplicación de los mismos.

b.    Exponer ante el grupo el producto de su investigación para su análisis y conclusión.

c.     Depurar la información y sintetizar los aspectos relacionados con los delitos y/o faltas administrativas que se cometen de manera más frecuente.

d.    Realizar una presentación en medio digital para presentarla ante el grupo.

e.     Organizar equipos de cuatro integrantes en la modalidad colaborativa con la totalidad de integrantes del grupo, para realizar una investigación documental y de campo en alguna organización, empresa o institución de su localidad, con el fin de recabar información que le permita identificar las políticas, procedimientos establecidos para regular las Tecnologías de la Información y Comunicación.

f.      Realizar la actividad núm. 6. Descripción de la normatividad y políticas relacionadas con los bienes informáticos y de telecomunicaciones.

g.    Realizar la actividad núm. 7. .Descripción de la normatividad y políticas relacionadas con el software y servicios de Internet.

RECURSOS ACADEMICOS

Echenique, José Antonio. Auditoría en Informática. México, Editorial Mc Graw Hill, 1990, 2ª Edición.

LI, David H. Auditoría en Centros de Cómputo. México, Editorial Trillas, 1990.

Piattini Velthuis. Auditoria de Tecnologías y Sistemas de Información, México, Alfaomega, 2008.

Páginas web:

Legislación informática de los Estados Unidos Mexicanos.

http://www.informaticajuridica.com/legislacion/mexico.asp

Auditoría Informática.

http://www.mitecnologico.com/Main/AuditoriaInformatica

GENERALIDADES DE LA SEGURIDAD AREA FISICA

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Así, la Seguridad Física consiste en la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Tipos de Desastres

Cada sistema es único y por lo tanto la política de seguridad a implementar no será única. Este concepto vale, también, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarán pautas de aplicación general y no procedimientos específicos.

Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.

Las principales amenazas que se prevén en la seguridad física son:

·         Desastres naturales, incendios accidentales tormentas e inundaciones.

·         Amenazas ocasionadas por el hombre.

·         Disturbios, sabotajes internos y externos deliberados.

A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.

       Incendios

       Inundaciones

Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.

Esta es una de las causas de mayores desastres en centros de cómputos.

Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.

Condiciones Climatológicas

Señales de Radar

La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años. Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana.

Instalaciones Eléctricas

Ergometría

Acciones Hostiles

Robo

Las computadoras son posesiones valiosas de las empresas y están expuestas, es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina.

La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora, el software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro

Fraude

Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imágen, no se da ninguna publicidad a este tipo de situaciones.

Sabotaje

El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.

Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc.

Control de Accesos

El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.

Utilización de Guardias

Utilización de Detectores de Metales

El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma. La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo. Utilización de Sistemas Biométricos

Verificación Automática de Firmas (VAF)

En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también podría encuadrarse dentro de las verificaciones biométricas. Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o de escribir. La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada.

CONCEPTO DE AUDITORIA Y AUDITORIA INFORMÁTCA

LA AUDITORIA

La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para designar a la auditoría externa de estados financieros que es una auditoría realizada por un profesional experto en contabilidad de los libros y registros contables de una entidad para opinar sobre la razonabilidad de la información contenida en ellos y sobre el cumplimiento de las normas contables. El origen etimológico de la palabra es el verbo latino “Audire”, que significa “oír”. Esta denominación proviene de su origen histórico, ya que los primeros auditores ejercían su función juzgando la verdad o falsedad de lo que les era sometido a su verificación principalmente oyendo.

Auditoria informática

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.

Los objetivos de la auditoría Informática son:

* El control de la función informática

* El análisis de la eficiencia de los Sistemas Informáticos

* La verificación del cumplimiento de la Normativa en este ámbito

* La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

- Eficiencia

- Eficacia

- Rentabilidad

- Seguridad

Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:

- Gobierno corporativo

- Administración del Ciclo de vida de los sistemas

- Servicios de Entrega y Soporte

- Protección y Seguridad

- Planes de continuidad y Recuperación de desastres

La necesidad de contar con lineamientos y herramientas estandar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, ISO, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las mas reconocidas y avaladas por los estandares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.