Semana 6 evaluacion de procesos informaticos
Enviado por Camilo Abarca • 2 de Enero de 2023 • Trabajo • 1.483 Palabras (6 Páginas) • 98 Visitas
[pic 1]
[pic 2]
[pic 3]
[pic 4]
[pic 5]
[pic 6]
[pic 7]
DESARROLLO
Suponga que se requieren definir medidas de control para los empleados que trabajan en el
departamento de informática de una empresa de retail. Identifique y mencione:
• 2 medidas de control de acceso lógico aplicadas a los sistemas de manejo de compras
online de la tienda.
Primero que todo debemos tener claro que para lograr el objetivo debemos comprender cuatro conceptos los cuales son:
.-Usuarios, estos son los trabajadores que tienen acceso al sistema los cuales cuentan con privilegios según cargo.
.-Acciones, estos son los tipos de actividades que se pueden realizar en los recursos
.-Recursos, objetos que pertenecen al sistema los cuales deben estar protegidos.
.-Relaciones, Privilegios, condiciones o restricciones que existen entre las cuentas de usuarios y los recursos disponibles
Política de usuarios y grupos
Esto nos ayudara a definir grupos los cuales tendrán acceso a recursos asignados, evitando el acceso indebido al resto del sistema o recursos, estos los podemos clasificar de la siguiente manera:
- Asignación según área o departamento en el cual se desarrolle el empleado o trabajador
- Asignación de privilegios según sus funciones, en el caso de informática debe tener un privilegio alto según la experiencia de este, además podrá ver información relevante según su función.
- Asignación de operaciones, este solo le permitirá operar donde se la haya asignado los permisos correspondientes.
En la asignación de permisos, se le otorga a los usuarios o grupos privilegios y permisos que establecen acciones frente a información de la empresa, se comprende que acciones apuntan a crear, leer, modificar y borrar documentos además de ejecutar aplicaciones, además mencionar que en general se establecen los mínimos privilegios en el establecimiento de los privilegios y permisos.
Cuentas de usuario, acá se debe considerar que se debe contar con un procedimiento que permita crear, modificar y eliminar cuentas de acceso a los sistemas de la empresa, los cuales deben ser autorizados, estas deben contar con datos de identificación, cada cuenta tiene acciones asignadas mediante los privilegios o permisos según la cuenta, también las cuentas están dotadas de parámetros como son: la caducidad de clave de usuario.
Cuentas de administración o cuentas de mayor privilegio, estas tienen privilegios y permisos elevados, estas son las que administran todo lo relacionado con el sistema que maneja la empresa, esta debe ser manejada por el personal con mas conocimiento y debe se manejada con extrema precaución.
Debido a lo anterior se debe mencionar que dichas cuentas deben ser asignadas al personal idóneo los cuales debiesen realizar labores con permisos de administración.
Además, se debe considerar lo siguiente al asignar cuentas de administrador:
- Se debe llevar un registro de acceso y acciones
- Al acceder como administrador debe ser notificado
- Evitar que los privilegios elevados como administrador se puedan heredar
- Las claves deben ser robustas y cambiadas seguidamente lo cual debería estar dentro de la política de la empresa.
Mecanismos de autenticación o políticas de contraseña
Acá se debe definir los mecanismos de identificación más idóneo ya que se va acceder a información de la empresa la cual es sensible y privada. Estas deben tener características como las siguientes:
Mecanismos de autentificación internos o basados en servicios externos como lo son las autentificaciones vía web, servicios de directorio (por ejemplo ActiveDirectory) o LDAP.
También se tiene que tener en cuenta factores o mecanismos de autenticación, como lo son los factores de autenticación biométricos, contraseñas, un factor de 2 pasos (por ejemplo vincular la app de autenticator de Google, la cual genera claves cada ciertos segundos)
Cabe mencionar que todo lo anterior apunta a un buen uso de la plataforma la cual permitirá acceso tanto a clientes como funcionarios, destacando los privilegio y permisos de cada cuenta, además de la importancia de tener mecanismos de autenticación como lo son las contraseñas y el factor de 2 pasos para acceder a las cuentas.
El buen manejo de la parte informática de la empresa deberá tener claro lo anterior, además de mantener a los usuarios con sus respectivos privilegios haciendo chequeo constante de estos, para asegurar la confiabilidad y seguridad de la empresa ya que en este tipo de sistemas se trabaja con información sensible como lo son las tarjeta de crédito, débito como también la identidad de los usuarios.
• 2 medidas de control ambiental aplicadas a las instalaciones del área de informática de
la empresa de retail.
Como bien se menciona en el contenido de la presente semana este control apunta a la seguridad física de los sistemas, incluye, control de acceso y monitoreo por computador. También debe estar establecido un control ambiental para la seguridad del equipamiento, por ejemplo, en sala de servidores debe tener climatizado el ambiente por que se necesita un climatizador acorde al equipamiento con el que cuente la empresa, además de tener alertas ante posibles incendios colocando sensor de humo, además de sistemas de respaldo de energía, reguladores de voltaje o generadores de corriente alterna.
...