lunes, 29 de septiembre de 2014

DEFINICIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA

Descripción de los elementos de protección:

Modelo: ISM3

¿PORQUE? ISM3 por ser un modelo de madurez para la seguridad, con 5 niveles que facilita la mejora y alineacion con las nesecidades del NEGOCIO DE LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE ORGANIZACIONES DE CUALQUIER TIPO Y TAMAÑO. LA VERSIÓN 2.3, CUYA TRADUCCIÓN AL CASTELLANO ESTÁ PREVISTA PARA JUNIO DE 2009, PERMITE HACER DE LA SEGURIDAD DE LA INFORMACIÓN UN PROCESO MEDIBLE MEDIANTE MÉTRICAS. ESTO PERMITE LA MEJORA CONTINUA, GRACIAS A QUE EL ESTÁNDAR DEFINE CRITERIOS PARA MEDIR LA EFICIENCIA Y CALIDAD. ADEMÁS, ENLAZA LOS CONCEPTOS DE MADUREZ Y MÉTRICAS, MOSTRANDO CÓMO LA GESTIÓN DE SEGURIDAD ES MÁS MADURA CUANTO MÁS SOFISTICADAS SON LAS PRÁCTICAS DE GESTIÓN.

Estandar: BS 17799

¿PORQUE ?

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un procesopara evaluar, implementar, mantener y administrar la seguridad de la información.

Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control ycontroles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO

Objetivo
El objetivo es proporcionar una base común para desarrollar normasde seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.

Alcance

-Aumento de laseguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoríainterna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
de la imagen de la organización.

lunes, 22 de septiembre de 2014

ANALIZA ESTANDARES INTERNACIONALES DE SEGURIDAD INFORMATICA

*BS 17799:

ISO 27000

Se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:

ISMS (Information Security Management System).

Valoración de Riesgo.

Controles.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste.

ISO 27001

Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.

ISO/IEC 27002

Saltar a: navegación, búsqueda

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

ISO/IEC 20000

Saltar a: navegación, búsqueda

La serie ISO/IEC 20000 - Service Management normalizada y publicada por las organizaciones ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información). La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad de normalización británica, la British Standards Institution(BSI).

Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000. La certificación en esta norma internacional permite demostrar de manera independiente que los servicios ofrecidos cumplen con las mejores prácticas.

ISO/IEC 20000 está basada y reemplaza a la BS 15000, la norma reconocida internacionalmente como una British Standard (BS), y que está disponible en dos partes: una especificación auditable y un código de buenas prácticas.

La ISO/IEC 20000 es totalmente compatible con la ITIL (IT Infrastructure Library), o guía de mejores prácticas para el proceso de GSTI. La diferencia es que el ITIL no es medible y puede ser implantado de muchas maneras, mientras que en la ISO/IEC 20000, las organizaciones deben ser auditadas y medidas frente a un conjunto establecido de requisitos.

La ISO/IEC 20000 es aplicable a cualquier organización, pequeña o grande, en cualquier sector o parte del mundo donde confían en los servicios de TI. La norma es particularmente aplicable para proveedores de servicios internos de TI, tales como departamentos de Información Tecnológica, proveedores externos de TI o incluso organizaciones subcontratadas. La norma está impactando positivamente en algunos de los sectores que necesitan TI tales como subcontratación de negocios, Telecomunicaciones, Finanzas y el Sector Público.

lunes, 15 de septiembre de 2014

Analiza modelos y buenas practicas de seguridad informática

ITIL : Información Tecnología Infraestructura Library

Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de de facto en la Gestión de Servicios Informáticos. Iniciado como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilización.
ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfagan los requisitos y las expectativas del cliente. A través de los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI. La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención). De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI. Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.

COBIT

Objetivos de Control para la Información y Tecnología Relacionada (COBIT) es un marco creado por ISACA para la tecnología de la información (TI) la gestión y gobierno de TI. Es un conjunto de herramientas de soporte que permite [cita requerida] administradores para cerrar la brecha entre las necesidades de control, cuestiones técnicas y riesgos de negocio.

Información general
La Asociación de Auditoría y Control de Sistemas de Información primera liberado COBIT en 1996; ISACA publica la versión actual, COBIT 5, en 2012.
COBIT tiene como objetivo "investigar, desarrollar, publicar y promover un, conjunto autorizado, hasta al día internacional de los objetivos de control de tecnología de la información generalmente aceptadas para el uso del día a día a los gerentes de empresas, profesionales de TI y profesionales de aseguramiento".
COBIT, inicialmente un acrónimo de "Objetivos de control para la información y la tecnología relacionada" (aunque antes de la liberación del pueblo marco hablado de "COBIT" como "Objetivos de Control para IT"), define un conjunto de procesos genéricos para la gestión de TI. El marco define cada proceso, junto con las entradas y las salidas, proceso-las actividades clave, los objetivos del proceso, medidas de rendimiento y un modelo de madurez de primaria.
El marco es compatible con la gobernanza de TI mediante la definición y la alineación de los objetivos de negocio con los objetivos de TI y los procesos de TI.
COBIT proporciona un conjunto de mejores prácticas recomendadas para la gobernabilidad y el proceso de control de los sistemas de información y tecnología con la esencia de la alineación de TI con el negocio. COBIT 5 consolida COBIT4.1, Val IT y Risk IT en un simple efecto marco como marco empresarial alineado e interoperable con TOGAF e ITIL.
El marco COBIT
La orientación empresarial de COBIT consiste en vincular los objetivos de negocio con las metas de TI, brindando métricas y modelos de madurez para medir sus logros, e identificando las responsabilidades asociadas de los dueños de negocios y de procesos de TI.
El enfoque hacia procesos de COBIT 4.1 se ilustra con un modelo de proceso que subdivide en cuatro dominios (planificar y organizar, adquirir e implementar, Entrega y Soporte, y del seguimiento y evaluación) y 34 procesos de acuerdo a las áreas de responsabilidad de planear, construir, ejecutar y monitorear. Se coloca en un alto nivel y se ha alineado y armonizado con otras,, normas más detalladas de TI y las buenas prácticas, tales como COSO, ITIL, ISO 27000, CMMI, TOGAF y PMBOK. COBIT actúa como un integrador de todos estos materiales guía, resumiendo los objetivos clave bajo un mismo marco general que vinculan los modelos de buenas prácticas con los requerimientos de gobierno y de negocios.
La especificación 4.1 Marco COBIT se puede obtener como un PDF gratuito en el sitio web de descarga de ISACA. (Puede ser necesaria la auto-registro gratuito.)
COBIT 5 fue lanzado en abril de 2012 [4] COBIT 5 se consolida e integra el COBIT 4.1, Val IT 2.0 y Risk IT, y saca de TI de ISACA Marco de Aseguramiento (ITAF) y el modelo de negocio para la Seguridad de la Información (BMIS). Se alinea con los marcos y estándares tales como Information Technology Infrastructure Library (ITIL), Organización Internacional de Normalización (ISO), el Proyecto Cuerpo de Gestión del Conocimiento (PMBOK), PRINCE2 y The Open Group Architecture Framework (TOGAF).

ISM3

ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados)...
Algunas características significativas de ISM3 son:

• Métricas de Seguridad de la Información - "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar" - ISM3 v1.20 hace de la seguridad un proceso medible mediante métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.

• Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.

• Basado el Procesos - ISM3 v1.20 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.

• Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa.

• Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.

• Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.

lunes, 8 de septiembre de 2014

IDENTIFICA RIESGOS FISICOS EN LA ORGANIZACIÓN APLICADAS A EQUIPOS DE COMPUTO Y COMUNICACIONES

Controles de acceso.

La definición más generalizada de un control de acceso hace referencia al mecanismo que en función de la identificación ya autentificada permite acceder a datos o recursos. Básicamente encontramos controles de acceso en múltiples formas y para diversas aplicaciones. Por ejemplo, encontramos controles de acceso por software cuando digitamos nuestra contraseña para abrir el correo, otro ejemplo es cuando debemos colocar nuestra huella en un lector para encender el PC. Estos casos, son ejemplos de controles de acceso que permiten el acceso a datos. Sin embarro, nuestro enfoque en la seguridad electrónica esta relacionado al acceso de recursos, en nuestro caso, apertura de una puerta, un torniquete o una talanquera por ejemplo.

Claro está, que la definición que nos interesa debe estar dada en términos de seguridad electrónica:

Un control de acceso es un sistema electrónico que restringe o permite el acceso de un usuario a un área específica validando la identificación por medio de diferentes tipos de lectura (clave por teclado, tags de proximidad o biometría) y a su vez controlando el recurso (puerta, torniquete o talanquera) por medio de un dispositivo eléctrico como un electroimán, cantonera, pestillo o motor.

Básicamente los controles de acceso se clasifican en dos tipos:

· Controles de Acceso Autónomos

· Controles de Acceso en Red

Los Controles de Acceso Autónomos son sistemas que permiten controlar una o más puertas, sin estar conectados a un PC o un sistema central, por lo tanto, no guardan registro de eventos. Aunque esta es la principal limitante, algunos controles de acceso autónomos tampoco pueden limitar el acceso por horarios o por grupos de puertas, esto depende de la robustez de la marca. Es decir, los más sencillos solo usan el método de identificación (ya sea clave, proximidad o biometría) como una "llave" electrónica.

Los Controles de Acceso en Red son sistemas que se integran a través de un PC local o remoto, donde se hace uso de un software de control que permite llevar un registro de todas las operaciones realizadas sobre el sistema con fecha, horario, autorización, etc. Van desde aplicaciones sencillas hasta sistemas muy complejos y sofisticados según se requiera.

Protección contra fallas electricas

“Alcanzado por un rayo”, es una metáfora para lo inesperado, un desastre impredecible. Una gran tormenta eléctrica, puede producir hasta 100 descargas por minuto y lo mismo, una pequeña nube de tormenta puede generar la energía de una pequeña planta de fuerza nuclear (unos pocos cientos de mega watts). No todos los rayos son a tierra, pero cuando esto ocurre, esa energía puede ser devastadora. Una empresa de Telecomunicaciones, puede salir de operación por horas o por días debido a daños en el equipo, o una planta petroquímica puede tener incendios originados por rayos, con peligrosos riesgos y elevados costos.

Hasta hace relativamente poco tiempo, muy poco se podía hacer para minimizar esos riesgos. Cuando ocurrían y donde ocurrirán descargas eléctricas atmosféricas. Tradicionalmente, la protección contra rayos ha pretendido atraer y desviar la energía de una descarga eléctrica atmosférica hacia la tierra física. Al mismo tiempo que esto puede eliminar algunos de los graves efectos de un impacto directo, resultan otras desventajas y serios inconvenientes.

Ninguno de los sistemas tradicionales son 100% efectivos, y todos ellos son afectados por los efectos secundarios en relación a la proximidad con los campos electrostáticos y campos electromagnéticos. Todos ellos son peligrosos, especialmente, en áreas donde se manejan productos flaméales, explosivos y equipos electrónicos.

Una pregunta sin respuesta es: en primer lugar, ¿porqué atraer un rayo cuando estos crean efectos secundarios peligrosos que puede eliminarse? LEC ha demostrado que es posible eliminar los rayos totalmente y en consecuencia, eliminar todos los riesgos relacionados con ellos.

Desde 1971, el Sistema de Arreglo de Disipación^® DAS^® de LEC, ha demostrado su efectividad como sistema garantizando eliminar los rayos dentro del área protegida. En plantas químicas, plantas nucleares de generación de energía, refinerías e instalaciones petroleras y muchas otras instalaciones, los sistemas de LEC, han demostrado que las pérdidas y daños relacionados con los rayos son completamente previsibles

Efectos Directos

Los efectos directos de un rayo son la destrucción física causada por el impacto de los que pueden resultar incendios. Cuando un impacto directo golpea una instalación donde hay materiales combustibles, pueden estar expuestos al rayo, al canal del rayo o al efecto de calentamiento del rayo.

Las estadísticas de la industria petrolera, registran amplia evidencia de la naturaleza destructiva de los rayos. Millones de dólares en pérdidas se registran cada año por la destrucción de plantas petroquímicas y muchas otras instalaciones, por los fenómenos relacionados con las descargas eléctricas atmosféricas en muchas partes del mundo, además de pérdidas de vidas cuando esas instalaciones se incendian o explotan. Por ejemplo, en 1990, en Nigeria se incendió un área de tanques de almacenamiento a causa de un rayo, quemándose totalmente un tanque de 670000 barriles de petróleo crudo. El tanque estaba lleno, con la pérdida total del producto y el tanque. Este tanque estaba “protegido” con un sistema radioactivo convencional, lo que demostró claramente que estos sistemas de protección tradicionales no son suficientemente efectivos.

Efectos Secundarios

Los efectos secundarios de un impacto de rayo directo o cercano a una instalación incluye; la carga electrostática, los pulsos electromagnéticos, los pulsos electrostáticos, las corrientes de tierra y el sobre voltaje transitorio. La carga electrostática (y consecuentes arcos secundarios) es lo más común. (Estos efectos son discutidos con más detalle en la siguiente sección a cerca del mecanismo del rayo).

Datos estadísticos indican que los efectos secundarios, son la causa de la mayoría de los incendios reportados actualmente en instalaciones petroleras. Estos incendios con frecuencia se extinguen por sí mismos hasta que se aíslan o consumen los vapores de combustión. Por ejemplo, la carga electrostática y los pulsos electromagnéticos inducen altos voltajes transitorios en cualquiera de los conductores eléctricos que se encuentren dentro del área de influencia de esos transitorios. Estos transitorios causarán arqueos entre alambres o cables conductores y entre tuberías y tierra. Los arcos o chispas de corriente electrostática en un punto vulnerable, pueden iniciar incendios o explosiones.

Los gases ventilados a la atmósfera por chimeneas que normalmente no son quemados en su totalidad, serán incendiados como resultado de los arcos eléctricos de los efectos secundarios. La compañía PPG de Lake Charles, Luisiana, experimentó por años este fenómeno en sus chimeneas que normalmente ventean hidrógeno. Cuando se instalaron en su plantas Arreglos de Disipación (DAS), no tuvieron más problemas por la ignición del hidrógeno a causa de los rayos.

Protección contra fallas naturales

La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

El concepto de seguridad de la información no debe ser confundido con el de «seguridad informática», ya que este último solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

Puesto simple, la seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una definición general de seguridad debe también poner atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Nadie a cargo de seguridad debe determinar quien y cuando se puede tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización a organización. Independientemente, cualquier compañía con una red debe de tener una política de seguridad que se dirija a conveniencia y coordinación.

Administración de software de la organización

El software de administración de proyectos es un término utilizado en la ingeniería de software que cubre varios tipos de software, entre ellos el utilizado para la planificación de proyectos, manejo y control de presupuesto, asignación de recursos, software para colaboración, software para comunicación, manejo de la calidad y documentación o administración de sistemas, los cuales son usados para manejar la complejidad que conlleva un proyecto grande.

Principales actividades de un software para manejo de proyectos

Una de las tareas más comunes en el manejo de proyectos es la planificación de una serie de eventos. La complejidad que puede acarrear esta tarea depende enteramente en la manera en que la herramienta es usada. Algunas de las dificultades para la planificación de proyectos pueden ser:

Eventos que dependen de la creación de otros eventos.

Planear que las personas trabajen en las tareas requeridas.

Asignar los recursos necesarios a las tareas.

Manejo de las incertidumbres con las estimaciones de duración de ciertas tareas.

Acomodar las tareas para cumplir con ciertos hitos.

Manejar varios proyectos simultáneamente para cubrir los requisitos.

Cálculo del camino crítico

En la mayoría de los proyectos complejos existe un camino crítico, es decir, una serie de eventos que dependen los unos de otros, y que cuya duración determinan directamente la longitud de todo el proyecto. Algunas aplicaciones de software pueden resaltar estas áreas, las cuales son excelentes candidatos para cualquier tarea de optimización.

Provisión de la información

Para poder justificar todo el tiempo que se emplea en utilizar el software de manejo de proyectos, éste debe de proveer una enorme cantidad de información a un gran número de personas. Los requisitos típicos entre los programas más comunes son:

Listas de tareas por persona.

Listas de planificación de recursos.

Información del tiempo que las tareas requerirán para su terminación.

Advertencias tempranas de posibles riesgos para el proyecto.

Información de la carga de trabajo y los días feriados o vacaciones para los empleados.

Información histórica de cómo han progresado proyectos similares anteriormente desarrollados.

Analiza Configuración De Seguridad De Grupos Y Cuentas De Usuario En El Sistema Operativo Ensayos y Documentos

“POLITICAS APLICADAS”

De cuenta

De auditoria

Restricciones a usuarios

Restricciones de software

Fireware

Antivirus

antispyware

Permisos de un archivo o carpeta

Con el comando ls -lpodemos visualizar los permisos de los archivos o carpetas. Al ejecutar el comando aparecen todos los archivos, uno por línea. El bloque de 10 caracteres del principio simboliza el tipo de archivo y los permisos.

Permisos de archivo

El primer carácter indica de qué tipo de archivo se trata. Si es un guion '-' significa que se trata de un archivo normal, la letra 'd' significa que se trata de una carpeta (directory), la letra 'l' significa que se trata de un enlace (link). Otros valores son s, p, b que se refieren a sockets, tuberías (pipe) y dispositivos de bloque respectivamente.

Los 9 caracteres siguientes simbolizan los permisos del usuario propietario (3 caracteres), los permisos del grupo propietario (3 caracteres) y los permisos del resto de usuarios (3 caracteres). Vienen codificados con las letras r, w y x que se refieren a los permisos de lectura, escritura y ejecución. Si en lugar de aparecer dichas letras aparecen guiones significa que se carece de dicho permiso. Ejemplo, si los diez primeros caracteres son -rw-r----- significa que es un archivo normal, que el usuario propietario dispone de permisos de lectura y escritura pero no de ejecución, que el grupo propietario dispone tan solo de permiso de lectura y el resto de usuarios no dispone de ningún permiso. Veámoslo en la siguiente imagen:

Permisos de lectura y escritura para el propietario y lectura para el grupo

En el siguiente ejemplo vemos que pepe tiene permiso de lectura y escritura y que el resto solo tiene permiso de lectura tanto sobre el archivo 'apuntes.doc' como sobre el archivo 'examen.txt'.

// Visualización de permisos
ls -l
total 8
-rw-r--r-- 1 pepe profesores 359 2011-09-28 18:02 apuntes.doc
-rw-r--r-- 1 pepe profesores 11 2011-09-27 19:26 examen.txt

Permisos carpetas compartidas

Los permisos de carpetas compartidas sólo se aplican a los usuarios que acceden a las mismas desde la red y no afectan a los usuarios que accedan desde el equipo donde se encuentra la carpeta compartida. Los permisos pueden asignarse a cuentas de usuarios, grupos y cuentas de equipo.

Los permisos son:

Lectura, es el permiso predefinido en cuanto compartimos una carpeta y se aplica al grupo‘todos’, este permiso permite ver los nombres de archivo y nombres de subcarpetas; ver los datos del archivo y sus atributos; ejecutar archivos de programa.

Cambio, incluye el permiso de Lectura, además permite añadir archivos y subcarpetas; cambiar los datos de los archivos; borrar archivos y subcarpetas.

Control Total, todos los anteriores y además permite cambiar permisos NTFS a los archivos y a las carpetas.

Podemos asignar los permisos a una carpeta compartida desde ‘Administración de equipos’ o desde el ‘explorador de windows’ .

Si lo hacemos desde‘Administración de equipos':

En el árbol de la consola, expandimos las carpetas compartidas y pulsamos en recursos.

En el panel de detalles, click derecho sobre la carpeta compartida a la que queremos configurarle los permisos y pulsamos en propiedades.

En el cuadro de diálogo de las propiedades, ficha permisos de los recursos compartidos, aquí podemos pulsar en agregar para asignar permisos. Luego seleccionamos los usuarios, grupos o equipos y pulsamos Aceptar; o pulsar en quitar para eliminar el acceso a usuarios, grupos o equipos.

En el cuadro de Permisos, seleccionaremos las casillas de verificación permitir o denegar para asignar permisos individuales a usuarios o grupos y pulsaremos Aceptar.

Utilizando el ‘Explorador de Windows':

Clic derecho sobre la carpeta compartida, pulsamos en compartir y seguridad.

En el cuadro de diálogo de propiedades, ficha compartir, pulsamos el botón permisos.

Aquí es idéntico a los pasos 3 y 4 indicados anteriormente.

Después de crear una carpeta compartida, los usuarios pueden acceder a la misma a través de la red. Los usuarios pueden acceder al recurso compartido de otro equipo utilizando Mis sitios de red, mapeándolo como una unidad de red, o utilizando el comando ejecutar desde el menú de inicio.

Para acceder desde Mis sitios de red:

Abrimos Mis sitios de red y doble clic en agregar sitios de red.

Seguimos el asistente desde su bienvenida pulsando en el botón siguiente.

En la ventana ¿donde desea crear ese sitio de red? Seleccionamos ‘elija otra ubicación de red’ y pulsamos siguiente.

En la ventana ¿Cuál es la dirección de este sitio de red?, escribimos la ruta UNC de la carpeta compartida o pulsamos en el botón Examinar. Si hemos pulsado‘Examinar’, expandimos ‘toda la red’, luego expandimos ‘red de microsoft windows’, expandimos el dominio y el servidor donde quieres conectar; Seleccionamos la carpeta compartida y pulsamos en aceptar.

Pulsamos siguiente.

En ¿Desea ponerle un nombre a este lugar?, escribiremos un nombre descriptivo si lo deseamos y pulsaremos siguiente.

Saldrá el mensaje indicando que el sitio ha sido creado y pulsaremos en Finalizar.

Nota: Cuando abrimos una carpeta compartida desde la red, Windows Server 2003 lo agregará automáticamente a Mis sitios de red.

Mapeándolo como una unidad de red:

Clic derecho sobre Mis sitios de red, pulsamos en ‘Conectar a unidad de red’.

En el cuadro de diálogo que nos aparece, caja de texto de unidad, seleccionamos la letra de unidad que queremos usar.

la carpeta compartida o pulsamos en examinar para buscarla.

Marcaremos la casilla de verificación si queremos que la unidad se conecte de nuevo al iniciar sesión.

Pulsaremos en Finalizar y si toda ha ido correctamente se abrirá la ventana de la unidad creada.

Utilizando el comando‘ejecutar':

Aquí no requerimos letra de unidad, sólo pulsaremos en el botón Inicio, luego en Ejecutar y escribiremos la ruta UNC, pulsado seguidamente ENTER.

Si sólo indicamos la IP o el nombre del servidor nos mostrará una lista de los recursos compartidos disponibles, Windows Server 2003 nos da la opción de elegir uno entre las entradas de la lista.

Actualizar sistema operativo y aplicaciones

Es recomendable actualizar el sistema operativo y las aplicaciones instaladas en el ordenador.

Los sistemas operativos y las aplicaciones presentan fallos y errores que los pueden aprovechar algunos usuarios con fines maliciosos.

Las actualizaciones, además de agregar alguna nueva funcionalidad, sirven para solucionar fallos y agregar nuevas funcionalidades. Por ello estar al día con las actualizaciones de seguridad más importantes ayudará a prevenir ataques maliciosos.

(Es importante descargar actualizaciones de sitios que sean de confianza. Descargar actualizaciones de aquellos de los que se dude su reputación o sitios no oficiales aumenta el riesgo de infección.)

Siempre que se pueda se recomienda descargar las actualizaciones a través de los mecanismos que ofrece el fabricante.

Respaldo de información

La palabra "Backup" significa subir respaldo, siendo común el uso de este término dentro del ámbito informático. El respaldo de información es la copia de los datos importantes de un dispositivo primario en uno ó varios dispositivos secundarios, ello para que en caso de que el primer dispositivo sufra una avería electromecánica ó un error en su estructura lógica, sea posible contar con la mayor parte de la información necesaria para continuar con las actividades rutinarias y evitar pérdida generalizada de datos.

Importancia de respaldo de información

La importancia radica en que todos los dispositivos de almacenamiento masivo de información tienen la posibilidad de fallar, por lo tanto es necesario que se cuente con una copia de seguridad de la información importante, ya que la probabilidad de que 2 dispositivos fallen de manera simultánea es muy difícil.