18
Editorial Boletín Informativo 6 Boletín Informativo 6 Estimados Profesores y Alumnos, Continuando con el deseo de mejorar nuestra comunicación, proseguimos con este boletín y les informo que nos encontramos en pleno desarrollo del proceso de acreditación de la universidad, el cual debe finalizar en Noviembre del 2010. Atendiendo a que estamos en un proceso de mejoramiento de nuestra carrera, he estimado necesario entregar dos definiciones que son importantes en este propósito, y que permitirán mejorar la calidad de nuestras tesis como son las definiciones de Marco Teórico y Marco Metodológico, al igual que la segunda parte del tema Modelo de Negocios para la Seguridad de la Información y otra información que será de gran ayuda para ustedes. É Ó DANIEL VALDÉSGÓMEZ DIRECTOR DE INFORMÁTICA

Editorial EstimadosProfesores y Alumnos, Boletín ... Manual de Preparación al Examen CISM 2010, ISACA. CALENDARIO ACADÉMICO 2010. CALENDARIO ACADÉMICO 2010. EXÁMENES 1 Junio 2010

  • Upload
    donhi

  • View
    218

  • Download
    0

Embed Size (px)

Citation preview

Editorial

Boletín Informativo Nº6Boletín Informativo Nº6Estimados Profesores y Alumnos,

Continuando con el deseo de mejorar nuestra comunicación, proseguimos con este boletín yles informo que nos encontramos en pleno desarrollo del proceso de acreditación de launiversidad, el cual debe finalizar en Noviembre del 2010.

Atendiendo a que estamos en un proceso de mejoramiento de nuestra carrera, he estimadonecesario entregar dos definiciones que son importantes en este propósito, y que permitiránmejorar la calidad de nuestras tesis como son las definiciones de Marco Teórico y MarcoMetodológico, al igual que la segunda parte del tema Modelo de Negocios para laSeguridad de la Información y otra información que será de gran ayuda paraustedes.

É ÓDANIEL VALDÉS GÓMEZDIRECTOR DE INFORMÁTICA

Tema del Mes: Modelo de Negociospara la Seguridad de la Información

M d l d N i l S id d d l I f ióModelo de Negocios para la Seguridad de la Información.Segunda Parte

Las interconexiones dinámicas enlazan los elementos yejercen una fuerza multidireccional que empuja y atrae amedida que cambian las situaciones Las acciones y losmedida que cambian las situaciones. Las acciones y loscomportamientos que tienen lugar en las interconexionesdinámicas pueden romper el equilibrio del modelo ohacer que éste recupere la estabilidad. Las seisinterconexiones dinámicas son:

1.‐Gobierno (governance): Da la dirección a la empresa yexige liderazgo estratégico. El gobierno establece loslímites dentro de los cuales opera una empresa, seimplementa dentro de los procesos para monitorear elrendimiento, describe las actividades y vela por el

li i t d l t l l i l ticumplimiento de los controles y regulaciones, al tiempoque proporciona adaptabilidad a condiciones emergentes.

El gobierno se encarga de asegurar que se determinen y definan los objetivos, de garantizar que los riesgos se gestionenadecuadamente y de verificar que los recursos de la empresa se utilicen con responsabilidad.

2.‐Cultura: Un patrón de conductas, convicciones, supuestos, actitudes y maneras de hacer las cosas. Es emergente yaprendida, y crea un sentido de comodidad.

La cultura evoluciona como un tipo de historia compartida a medida que un grupo avanza a través de un conjunto deexperiencias comunes. Esas experiencias similares causan ciertas respuestas, que se convierten en un conjunto decomportamientos esperados y compartidos Estos comportamientos se transforman en reglas no escritas que a su vez secomportamientos esperados y compartidos. Estos comportamientos se transforman en reglas no escritas, que a su vez, seconvierten en estándares que son compartidos por todas las personas que tienen esa historia en común. Es importanteentender la cultura de la empresa porque ésta determina en gran medida cuál información se considera cómo se interpretaesa información y qué se hará con ella.

La cultura puede existir en muchos niveles, tales como el nacional (legislación/ regulaciones, política y tradiciones) elorganizacional (políticas, estilo jerárquico y expectativas) y el social (familia, etiqueta). Se crea con factores externos einternos, y recibe influencia de, influye en, los patrones organizacionales.

3.‐Habilitación y Soporte: Interconexión dinámica que conecta el elemento tecnología al elemento proceso. Una manera deayudar a asegurar que las personas cumplan con las medidas, políticas y procedimientos técnicos de seguridad es hacer quelos procesos sean prácticos y fáciles de usar La transparencia puede ayudar a generar aceptación con respecto a loslos procesos sean prácticos y fáciles de usar. La transparencia puede ayudar a generar aceptación con respecto a loscontroles de seguridad al asegurar a los usuarios que la seguridad no limitará su capacidad para trabajar eficientemente.

Muchas de las acciones que afectan tanto a la tecnología como a los procesos ocurren en la interconexión dinámica dehabilitación y soporte. Las políticas, los estándares y las directrices deben estar diseñados para soportar las necesidades delnegocio al reducir o eliminar los conflictos de interés, deben mantenerse flexibles para apoyar los cambiantes objetivos delg p p y jnegocio y deben ser aceptables y fáciles de seguir.

4.‐ Surgimiento: Connota afloramiento, desarrollo, crecimiento y evolución y se refiere a los patrones que surgen en la vidade la empresa que parecen no tener una causa obvia y cuyos resultados parecen imposibles de predecir y controlar. Lainterconexión dinámica surgimiento (entre personas y procesos) es un espacio para introducir posibles soluciones, como porj l b l d li ió li ió l j i d l id ió d l blejemplo, bucles de retroalimentación; alineación con el mejoramiento de los procesos; y consideración de los problemasemergentes en el ciclo de vida del diseño del sistema, el control de cambios y la gestión de riesgos.

5.‐Factores humanos: Representa la interacción y la brecha entre la tecnología y la gente y, como tal, es primordial para unprograma de seguridad de la información. Si las personas no entienden cómo utilizar la tecnología, no aceptan la tecnologíao no siguen las políticas pertinentes pueden surgir graves problemas de seguridad Las amenazas internas como la fuga deo no siguen las políticas pertinentes, pueden surgir graves problemas de seguridad. Las amenazas internas, como la fuga dedatos, el robo de datos y el uso indebido de los datos pueden ocurrir dentro de esta interconexión dinámica.

Los factores humanos pueden presentarse debido a la edad, el nivel de experiencia y/o las experiencias culturales. Dado quelos factores humanos son críticos para mantener el balance de otro modelo, es importante que todos los recursos humanosde la empresa reciban capacitación sobre las habilidades pertinentes.

6.‐Arquitectura: Una encapsulación completa y formal de las personas, los procesos, las políticas y la tecnología queconforman las practicas de seguridad de una empresa. Una arquitectura robusta de información del negocio es esencial paraentender la necesidad de seguridad y diseñar la arquitectura de seguridad.

Dentro de la interconexión dinámica arquitectura es donde la empresa puede asegurar la defensa en profundidad El diseñoDentro de la interconexión dinámica arquitectura es donde la empresa puede asegurar la defensa en profundidad. El diseñodescribe como se posicionan los controles de seguridad y cómo se relacionan con la arquitectura general de TI. Unaarquitectura de seguridad empresarial facilita las capacidades de seguridad entre líneas de negocios de una manera consistentey con una adecuada relación costo‐ efectividad, al tiempo que permite a las empresas ser proactivas con sus decisiones deinversión en seguridad.

Fuente: Manual de Preparación al Examen CISM 2010, ISACA

Existen varios conceptos básicos que se espera que el gerente de seguridad de la información conozca a fondo para

Conceptos de la Seguridad de la Información

implementar un gobierno efectivo de seguridad y realice otras tareas que se requieran. Aún cuando no se requiere de unconocimiento detallado de las tecnologías de seguridad fundamentales en términos de funciones gerenciales, es necesarioconocer los usos, beneficios y limitaciones de dichas tecnologías.

Entre los principales conceptos de seguridad que el gerente de seguridad de la información debe conocer a profundidad set i t li it d l i i tencuentran, sin estar limitados, los siguientes:

Control de acceso: Los procesos, reglas y mecanismos de implementación que controlan el acceso a sistemas de información,recursos y acceso físico a instalaciones.

Arquitectura: Diseño de la estructura y las relaciones de sus elementos.Arquitectura: Diseño de la estructura y las relaciones de sus elementos.

Ataques: Tipos y naturaleza de inestabilidades en la seguridad.

Auditabilidad: Nivel en el cual se puede hacer seguimiento a transacciones y auditarlas a través de un sistema.

Autenticación: Acto de verificar la identidad y elegibilidad de un usuario para tener acceso a información computarizada.

Autorización: Acceso permitido a recursos para realizar acciones aprobadas.

Disponibilidad: Capacidad de tener acceso a y de utilizar la información cuando se requiera.

Análisis de las dependencias del negocio: Grado al cual el negocio depende de un recurso.

Análisis del impacto al negocio: Evaluar los resultados y las consecuencias de la inestabilidad.

Confidencialidad: La protección de información privada o sensible contra divulgación no autorizada.Confidencialidad: La protección de información privada o sensible contra divulgación no autorizada.

Controles: Cualquier acción o proceso que se utiliza para mitigar el riesgo.

Contramedidas: Cualquier acción o proceso que reduce la vulnerabilidad.

Criticidad: Importancia que tiene un recurso para el negocio.

Conceptos de la Seguridad de la Información

p q p g

Clasificación de datos: El proceso de determinar la sensibilidad y criticidad de la información.

Exposiciones: Área que son vulnerables a impacto por parte de una amenaza.

Análisis preferencial: Diferencia entre la realidad y el objetivo.

Gobierno: Proporcionar control y dirección de actividades.

Identificación: Verificación de una persona o cosa; reconocimiento.

Impacto: Resultados y consecuencias de que se materialice un riesgo.

Integridad: Exactitud, integridad y validez de la información.

Seguridad en capas: Defensa en profundidad que contenga la inestabilidad.g p p q g

Gestión: Supervisar las actividades para garantizar que alcancen los objetivos.

No repudio: Certeza de que una parte no podrá negar posteriormente los datos originados; se trata de dar pruebas deintegridad y el origen de los datos y de que puedan ser verificadas por un tercero.

Políticas: Declaración de alto nivel sobre la intención de la dirección de la gerencia.

Riesgo residual: Riesgo que permanece después de que se han implementado contramedidas y controles.

Riesgo: Probabilidad de la explotación de una vulnerabilidad por parte de una amenazaRiesgo: Probabilidad de la explotación de una vulnerabilidad por parte de una amenaza.

Métricas de seguridad: Descripciones específicas de cómo se harán las mediciones de una evaluación cuantitativa yperiódica de desempeño de seguridad.

Sensibilidad: Nivel de impacto que tendría una divulgación no autorizada

Conceptos de la Seguridad de la Información

Sensibilidad: Nivel de impacto que tendría una divulgación no autorizada.

Estándares: Establecer los límites permisibles de acciones y procesos para cumplir con la política.

Estrategia: Pasos que se requieren para alcanzar un objetivo.

Amenazas: Cualquier acción o evento que puede ocasionar consecuencias adversas.

Vulnerabilidades: Deficiencias que pueden ser explotadas por amenazas.

Arquitectura empresarial: La lógica organizativa para los procesos de negocio y la infraestructura TI.

Dominios de Seguridad: Áreas lógicas delimitadas por diferentes niveles de seguridad.

Modelos de confianza: Asignan los controles y las funciones de seguridad a diferentes niveles de seguridad.

Fuente: Manual de Preparación al Examen CISM 2010, ISACA

CALENDARIO ACADÉMICO 2010

CALENDARIO ACADÉMICO 2010

EXÁMENES 1 Junio 2010Nómina ProvisoriaNómina Provisoria

Julio Labbé Gamboa Ingeniería (E) en Informática para Técnicos

Nómina Provisoria.Nómina Provisoria.‐‐

Ingeniería  (E) en Informática para Técnicos

Harold González ValenzuelaIngeniería  (E) en Informática para Técnicos

Juan Araya QuijadaIngeniería  (E) en Informática para Técnicos

Roxana BarcenaIngeniería  (E)  en Informática

Laura MoragaLaura MoragaIngeniería  (E)  en  Informática

CICLO DE CHARLAS

Les informamos a todos nuestros alumnos yLes informamos a todos nuestros alumnos yprofesores que durante el mes de Junio seguiremoscon nuestro ciclo de charlas tecnológicas. En estaocasión los invitamos a participar del interesante tallerde FIRMA ELECTRÓNICA, que se llevará a cabo el día03 de Junio a las 18:30 hrs. en el Salón Auditorio de laSede República.

Contaremos con importantes expositorespertenecientes a la empresa e‐sign, del rubro decertificación digital y parte de la red de confianza deVeriSign.

¡Los Esperamos!

DATOS ÚTILESURL: Uniform Resource Locator. En español significa Localizador Uniforme de Recursos. Corresponde aURL: Uniform Resource Locator. En español significa Localizador Uniforme de Recursos. Corresponde auna secuencia de caracteres, de acuerdo a un formato modelo y estándar que se utiliza para nombrarrecursos en Internet para su localización o identificación, como por ejemplo, documentos, imágenes,videos, presentaciones, etc.

L URL l d HTTP l l d i i á i b d l i á lLos URL empleados por HTTP, el protocolo usado para transmitir páginas web, es del tipo más popular ypuede ser usado para mostrarse como ejemplo. La sintaxis de un URL HTTP es:

Esquema://anfitrion:puesto/ruta?parametro=valor#enlace.esquema. La mayoría de las veces equivale aun HTTP anfitrión, la parte que más sobresale de un URL, en casi todos lo casos , es el nombre de dominio, p q , ,de un servidor por ejemplo, www.ulagos.cl

Ej: http://www.ulagos.cl:80/wiki/special:search

Esquema Anfitrión Número de puerto (puerto por emisión para HTTP, usualmente no seespecifica).

HTTP: Hypertext Transfer Protocol (Protocolo de Transferencia de Hipertexto).

HTTPS: Igual al anterior, pero la S significa conexión segura.

Blog: Bitácora, sitio web que periódicamente es actualizado y que recopila cronológicamente textos,noticas videos etc También se puede usar como un canal de comunicación entre una organización y susnoticas, videos, etc. También se puede usar como un canal de comunicación entre una organización y sususuarios.

Blogger: Es un servicio creado por Pyra Labs para crear y publicar un blog. El usuario no tiene que escribirningún código o instalar programas.

DATOS ÚTILESTwitter: Red social que permite publicar mensajes de 140 caracteres.Twitter: Red social que permite publicar mensajes de 140 caracteres.

Twitcam: Herramienta de twitter que sirve para hacer transmisiones en vivo.

Twittero: Persona que tiene una cuenta en twitter.

Streaming: Transmisión de audio y/o video por Internet, son los programas que se pueden ver enplataformas como twitcam. Según Wikipedia, “La palabra streaming se refiere a que se trata de unacorriente continua (sin interrupción). El usuario puede escuchar o ver en el momento que quiera. Este tipode tecnología permite que se almacenen en un búfer lo que se va escuchando o viendo. El streaming haceg p q q gposible escuchar música o ver videos sin necesidad de ser descargados previamente”.

Viewer: Televidentes de los stream. Tener más de 100 viewers se considera buena audiencia.

Twitter Meter: Rating de un stream que se transmite por TwitcamTwitter Meter: Rating de un stream que se transmite por Twitcam.

Conceptos ClavesUSABILIDADUSABILIDAD

La usabilidad es un atributo de calidad que evalúa qué tan fáciles de usar son las interfaces de usuarios.De esta manera, cualquier persona que se decida por la prestación de servicios a través de un sitio Web,debe poder navegar sin la necesidad de conocimientos previos o experiencia en uso de portalesdebe poder navegar sin la necesidad de conocimientos previos o experiencia en uso de portaleselectrónicos.

En otras palabras es el grado en que un portal es fácil de usar, respondiendo efectivamente a lasnecesidades de quien lo utiliza, y cuyo resultado es la realización eficaz de tareas y satisfacción del usuario.Ej l d bilid dEjemplos de usabilidad:Al Home Page: Garantiza que la pagina principal se VEA como una página principal, es decir concaracterísticas que sean fácilmente perceptibles por el usuario y que presentan mejores opciones. Además,permiten al usuario el acceso a la página principal por medio de cualquier otra página en el sitio web.

CONCEPTOS CLAVESMarco TeóricoMarco Teórico

El Marco Teórico es el elemento que sustenta el camino a seguir de todo proyecto, ya que en base a éste se inicia, continúay se extraen las teorías que permiten respaldar una tesis. En otras palabras, abarca la revisión de conceptos y/o teorías queapoyan el trabajo.

Este paso implica analizar y exponer aquellas teorías, enfoques teóricos y antecedentes que se consideran válidos para uncorrecto encuadre del estudio. Es decir, envuelve todas las teorías e información relacionada que permitirá explicar elproyecto.

Es así como todo alumno, para armar sus propias explicaciones, escogerá elementos de alguna teoría existente para crearll d d li i t d t d l t di P li t d b bi l f t d i f iócon ellos su red de explicaciones y antecedentes del estudio. Para realizar esto se deben ubicar las fuentes de información

que permitan explicar nuestro proyecto.

Funciones del Marco Teórico:

Sustentar teóricamente el estudio y encontrar el sentido del proyecto que se está llevando a cabo.Sustentar teóricamente el estudio y encontrar el sentido del proyecto que se está llevando a cabo.Orientar la información y mantenerla dentro de una línea de explicaciones.El alumno podrá crear nuevos conceptos y definiciones basados en un determinado Marco Teórico.Proporciona mayor conocimiento y ayuda a formular nuevas hipótesis (en el caso de necesitarlas). Simultáneamente, lainformación recogida para el Marco Teórico nos proporcionará un conocimiento profundo de la teoría que le da significadoal proyecto en cuestión. Es a partir de las teorías existentes sobre el objeto de estudio, como pueden generarse nuevosconocimientos.

Para elaborar al Marco Teórico se debe:

Hacer revisión de la literatura (fuentes primarias secundarias y terciarias)Hacer revisión de la literatura (fuentes primarias, secundarias y terciarias).Extraer y recopilar la información.

Lo que no se debe hacer: Mezclar teorías que son rivales entre sí para explicar un mismo proyecto.

CONCEPTOS CLAVESMarco Metodológicog

El Marco Metodológico corresponde a la etapa de la tesis donde se expone la manera en cómo se va a realizar el estudio,los pasos a seguir, etc. De esta forma, la metodología contendrá la descripción y análisis de todos los elementos que seemplearán en el proyecto: el tipo o tipos de trabajo, las técnicas y procedimientos que serán utilizados para llevar a cabo laindagación. Es el "cómo" se realizará el estudio para responder al problema planteado.

Elementos del Marco Metodológico:

Nivel y diseño del proyecto.Técnicas e instrumentos de recolección de datosTécnicas e instrumentos de recolección de datos.Herramientas de desarrollo.Plan de procesamiento y Análisis de Datos.Plan de Trabajo: Etapas, Actividades, Carta Gantt.

Otras definiciones:•Camino que se debe seguir para llegar a resultados .•Conjunto de procedimientos que el investigador aplica para obtener los conocimientos científicos y tecnológicos querequiere para orientar el proceso de investigación.

Libros RecomendadosLos Siete Movimientos de la InnovaciónFranc Ponti176 PáginasNorma

El libro presenta de manera concreta los 7 movimientos que una compañía debe seguir paraconvertirse en una empresa innovadora El autor entrega en detalle el paso a paso para innovarconvertirse en una empresa innovadora. El autor entrega en detalle el paso a paso para innovarexponiendo un método práctico, donde se ve a la innovación como un estilo de vida, una manera dehacer empresa, y sobre todo, de cambiar el código genético empresarial de una vez por todas.

Desarrolladores UMLMP Ediciones320 Páginas320 PáginasMP Ediciones

Este libro es la guía adecuada para iniciarse en el mundo del modelado. A través de ejemplos concretospermite conocer todos los constructores y elementos necesarios para comprender la construcción de

d l l d fl j l t i t d l i tmodelos y razonarlos de manera que reflejen los comportamientos de los sistemas.

MBA del Siglo XXIIvonne Sánchez y Gonzalo Cantero637 páginas.Martínez de Roca.

MBA del siglo XXI es más que un libro ¿Tienes espíritu emprendedor? ¿Sabes como detectaroportunidades de negocio? ¿Quieres saber cuáles son las tendencias emergentes del mercado? Sitienes un plan de negocio, ¿te gustaría conocer la estrategia a seguir? ¿Quieres conocer y aplicar elmarketing del Siglo XXI? Haz tu master particular con MBA del siglo XXI. Poner en práctica un proyecto

i l i h ñ i lid d Si b ó i lempresarial permite muchas veces que un sueño se convierta en realidad... Si sabemos cómo evitar losproblemas fundamentales podremos recorrer antes el camino... Este libro indica qué direccióndebemos seguir para acertar.

INVITACIÓNINVITACIÓN

Invitamos a todos los profesores yl lalumnos a cooperar en elmejoramiento de la calidad de esteinformativo con nuevas secciones,materias , noticias y datos., y