UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ
Anuncio
UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. UNIDAD II " ESTRUCTURA BÁSICA DE LA ORGANIZACIÓN” Estructuras básicas de un centro de cómputo. Factores ambientales que influyen en la organización de un centro de cómputo. Seguridad. Estándares y procedimientos. Planes y simulacros para la recuperación en caso de desastres. ESTRUCTURAS BÁSICAS DE UN CENTRO DE CÓMPUTO. Dentro de las organizaciones, existen varias tendencias para localizar el centro de cómputo, ninguna de estas puede ser tomada como modelo, ya que la misma organización buscará la que más le convenga, de acuerdo a: Tipo de organización que se tenga. La capacidad del personal de procesamiento de datos. El tipo de administración comprendida en la decisión final. Las tradiciones o costumbres que contenga la empresa. Algunas de las formas de localización del centro de cómputo son las siguientes: Localización en línea (atención a usuarios). Localización funcional (independiente de todos los usuarios). Localización en staff (apoyo a todos los niveles). Localización en línea. Es el tipo de organización más simple y antigua en la cual las líneas de autoridad fluyen desde la dirección hacia abajo. En este tipo de estructura el centro de cómputo se coloca debajo del usuario que: Se le quieren reducir sus costos de operación. Tenga más volumen de datos a procesar. UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Esto no quiere decir que sólo se procesan a los datos de ese departamento, pues todos los demás departamentos pugnarán para que sus datos también sean procesados electrónicamente. VENTAJAS Es útil en pequeños empresas. La disciplina es fácil de mantener. Mayor facilidad en la toma de decisiones y en la ejecución de las mismas. DESVENTAJAS Ø Las decisiones de inversión están condicionadas por motivaciones económicas. Ø Normalmente existe un exceso de recursos Ø Los usuarios no tienen en general participación en los proyectos. Ø El presupuesto del centro de cómputo es generalmente muy bajo. Ø Existe una carencia de reglas, controles y estándares. Ø El personal del centro de cómputo generalmente, está formado por operadores, programadores, capturitas y ocasionalmente por analistas. Ø No existe planificación o si existe, es a muy corto plazo. Ø El control de la gerencia se encuentra muy difuso. Ø Se dedica poca atención a los costos de desarrollo de futuras aplicaciones. Localización funcional En este tipo de organización la autoridad sigue fluyendo de arriba hacia abajo, pero especialistas tienen un control sobre está autoridad para el personal del centro de cómputo. Esta localización se implanta cuando se tiene la necesidad de mayores y mas avanzadas aplicaciones que al mismo tiempo es necesario cubrir con el servicio a la mayor cantidad posible de áreas. Esta alternativa proporciona un servicio igual para todos los usuarios, sin ningún compromiso con algún departamento. Permite que el gerente del centro de cómputo pueda negociar los proyectos en igualdad de condiciones. El centro de cómputo pasa tener su propio presupuesto, el cual es absorbido por la organización. UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. VENTAJAS Aumenta las necesidades del personal en cantidad y calidad. Implantación de controles, reglas y estándares en el desarrollo de proyectos. Asignación de analistas y programadores a los trabajadores de las diferentes áreas. La planificación en centros de cómputo es implantada a mediano y a corto plazo. DESVENTAJAS Los gastos de hardware y software crecen en forma desordenada. El presupuesto es racionado por parte de la gerencia. Mayores egresos por sueldos para el personal especializado. Existen tendencias a aumentar la configuración del equipo. Localización staff Esta organización surge en las grandes empresas que tienen mayor complejidad y diversificación, y requieren de personal asesor auxiliar. Esto lleva a las organizaciones denominadas “STAFF”, en la cual se asegura el control por medio de la delegación de autoridad. FACTORES AMBIENTALES QUE INFLUYEN ORGANIZACIÓN DE UN CENTRO DE COMPUTO. EN LA El centro de cómputo se ubicará en un edificio que se encontrará en un sitio específico dentro de un área general. Los factores a considerar en la selección del lugar en el cual se colocará el Centro de Cómputo son: Espacio requerido. Acceso al Centro de Cómputo. Ruido. Condiciones ambientales. Espacio requerido y acceso al centro de cómputo UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Para poder realizar correctamente la selección del lugar tenemos que considerar los siguientes puntos: Selección del área general: Ø Servicios de seguridad. Ø Buenas vías de comunicación. Ø Suministro de energía confiable. Ø Buenos servicios de comunicación. Ø Rentas e impuestos atractivos. Selección de un sitio especifico: Ø Localización en partes elevadas como protección contra inundaciones. Ø Proximidad a servicios de transporte urbano o comercial. Selección de un local o edificio específico: Ø Espacio adecuado para el equipo y personal (tomando en cuenta una expansión). Ø Ausencia de las dificultades para la preparación del sitio. Ø Espacio adecuado para los equipos de aire acondicionado y de suministro de energía. Ø Posibilidad de colocar el centro de datos lejos de áreas que contengan materiales peligrosos. Ø Posibilidad de colocar un área o sala de espera para los visitantes del centro de cómputo. Ø Posibilidad de controlar el acceso. Ruido: Para controlar los niveles de ruido es necesario considerar la cercanía de algún tipo de taller o equipo ruidoso, cuando esto sucede estos equipos se colocan por separado Factores ambientales: Los principales factores ambientales que pueden afectar a un Centro de Cómputo son: Temperatura Agua Fuego Energía eléctrica. Temperatura Polvo Vibración Magnetismo. UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Dependiendo de la situación geográfica de la empresa y del clima que ahí exista se deben tomar las medidas para contar con el tipo de enfriamiento adecuado para la situación. El Centro de Cómputo debe estar alejado de fuentes de calor ya que influirá en el cálculo de la capacidad de los climas. Agua. Se deben tomar precauciones referentes al agua, pues ésta perjudica al equipo de cómputo además de ser causante de cortos circuitos. Precauciones a considerar con respecto al agua: Ubicación del equipo. Techos y paredes impermeabilizados. Puertas y ventanas selladas. Detectores de Agua. Inundaciones. El fuego. Este es uno de los más peligrosos enemigos de un centro de cómputo ya que las cosas que se encuentran ahí dentro la mayoría son inflamables. Colocación de indicadores y procedimientos, en lugares visibles. Extinguidores, deben de estar colocados en lugares de acceso inmediato y se deben de revisar con frecuencia su buen funcionamiento. Alarmas contra incendio deben colocarse en lugares apropiados. Detectores de humo, calor. deben instalarse en la sala de cómputo, junto a las áreas de oficina. No Fumar. Es recomendable no fumar dentro de las instalaciones del centro de cómputo ya que el humo afecta los equipos. Protección contra incendios. Es recomendable que se cuente con un lugar de almacenamiento para las cintas y discos magnéticos y otros medios de almacenamiento, la documentación de los sistemas, los discos de instalación deben de estar guardados en este lugar apartado de las instalaciones principales. Este lugar debe contar con altos mecanismos de seguridad. Energía eléctrica. Este factor es importante ya que el suministro de energía es necesario para el funcionamiento del centro de cómputo y también para el sistema del aire acondicionado. La continuidad del suministro de energía no es el único aspecto primordial, sino la estabilidad. Si el centro de cómputo esta cerca de los complejos industriales ó a otro gran complejo las variaciones del voltaje son un problema UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. frecuente, ya que estas variaciones pueden dañar los datos almacenados, los programas ó el equipo. Por tales motivos se recomienda tener en cuenta los siguientes puntos. Línea Regulada. Planta de Suministro de Energía. No-Breaker. Contacto herméticos. Instalación eléctrica por áreas. Cables reforzados y recubiertos. Instalación a tierra física. Cálculo del consumo de energía local. Polvo. Este es otro de los principales enemigos del centro de cómputo ya que puede afectar la integridad de los datos de algún dispositivo de almacenamiento por tal motivo se debe evitar la existencia de polvo en el centro de cómputo. Vibración. Es importante evitar la colocación del Centro de Computo en zonas donde exista trafico excesivo (tanto terrestre, aéreo, ferroviario, etc.), o cerca de algún complejo industrial, pues la vibraciones constantes pueden dañar el equipo. Magnetismo. Se debe evitar fuentes de magnetismo como imanes, transformadores, cables de alta tensión, ya que las emisiones de magnetismo generadas pueden dañar o alterar medios de almacenamiento como disquetes, discos duros, cintas, etc. SEGURIDAD EN UN CENTRO DE CÓMPUTO Seguridad Seguridad es el conjunto de metodologías, documentos, programas y dispositivos físicos encaminados a lograr que los recursos de cómputo disponibles en un ambiente dado, sean accedidos única y exclusivamente por quienes tienen la autorización para hacerlo. La seguridad informática debe propiedades: vigilar principalmente las siguientes UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Privacidad.- La información debe ser vista y manipulada únicamente por quienes tienen el derecho o la autoridad de hacerlo. Un ejemplo de ataque a la privacidad es la divulgación de información confidencial. Integridad.- La información debe ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataque a la integridad es la modificación no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar. Disponibilidad.- La información debe estar en el momento que el usuario requiera de ella. División de las áreas de administración de la seguridad Para simplificar, es posible dividir las tareas de administración de seguridad en tres grandes rublos. Estos son: Autenticación: se refiere a establecer las entidades que puedan tener acceso al universo de recursos de computo que cierto ambiente puede ofrecer. Autorización: es el hecho de que las entidades autorizadas a tener acceso a los recursos de cómputo, tengan efectivamente acceso únicamente a las áreas de trabajo sobre las cuales ellas deben tener dominio. Auditoria: se refiere a la continua vigilancia de los servicios en producción. Entra dentro de este rublo el mantener estadísticas de acceso, estadísticas de uso y políticas de acceso físico a los recursos. Seguridad total en computación Se requiere un enfoque amplio que abarque cierto número de aspectos relacionados entre sí de manera metódica. Hay dos grandes áreas que se deben incorporar a tal enfoque: Aspectos administrativos Aspectos técnicos ASPECTOS ADMINISTRATIVOS Políticas de seguridad en un centro de computo UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Seguridad física y contra incendios Organización y división de las responsabilidades Seguros. Políticas de seguridad en un centro de cómputo Es necesario que la institución defina políticas de seguridad, en las cuales se deben tener en cuenta que: La Seguridad debe ser considerada desde la fase de diseño de un Sistema, como parte integral del mismo. Las políticas de seguridad deben ser definidas por los funcionarios de alto nivel, los cuales deben ser motivados de manera que tengan un rol importante. Los encargados de soporte, aquellos que son responsables de gestionar la seguridad informática en la organización, han de considerar las siguientes medidas: Distribuir las reglas de seguridad. Escribir en una lista las reglas básicas de seguridad que los usuarios han de seguir, para mantener la seguridad y ponerlas en un lugar público destacado. Hacer circular regularmente avisos sobre la seguridad. Utilice ejemplos de daños y problemas procedentes de periódicos, revistas, para ilustrar la necesidad de la vigilancia por mantener la seguridad. Establecer incentivos para la seguridad. Establezca premios para las ideas que supongan trucos de seguridad y que apoyen las medidas de seguridad oficiales. Haga que los responsables ofrezcan recompensas sustanciosas a los ganadores. Establezca una línea de comunicación sobre seguridad. El personal debe conocer dónde puede obtener consejos sobre los temas de seguridad. Seguridad física y contra incendios de los equipos La seguridad física y contra incendios es un aspecto de suma importancia es de suma importancia en un centro de computo. Las siguientes recomendaciones, prolongarán la vida de los equipos: Ubique el equipo en un área donde no exista mucho movimiento de personal. No traslade la computadora sin la autorización y asesoría del Centro de Cómputo. Instale la computadora sobre escritorios o muebles estables o especialmente diseñados para ello. UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Ubique el equipo lejos de la luz del sol y de ventanas abiertas. La energía eléctrica debe ser regulada a 110 voltios y con polo a tierra. Asesórese debidamente para garantizar una buena toma eléctrica No conecte otros aparatos (Radios, maquinas de escribir, calculadoras, etc. ) en la misma toma de la computadora. Cada usuario, al momento de terminar las labores diarias, deberá apagar los equipos (Computadora, Impresoras, Escanners). Evite colocar encima o cerca de la computadora ganchos, clips, bebidas y comidas que se pueden caer accidentalmente dentro del equipo. No fume cerca del equipo, el alquitrán se adhiere a las piezas y circuitos internos del equipo. Mantenga libre de polvo las partes externas de la computadora y de las impresoras. Utilice un paño suave y seco. Jamas use agua y jabón. Mantenga la pantalla y el teclado cubiertos con fundas cuando no haga uso de ellos por un tiempo considerable o si planea el aseo o reparaciones de las áreas aledañas a la computadora. Utilice en la impresora el ancho del papel adecuado. El contacto directo de la cabeza de impresión sobre el rodillo puede estropear ambas partes. (Usuarios con impresoras de matriz de punto) Está prohibido destapar y tratar de arreglar los equipos por su cuenta. En todos los casos asesórese del Centro de Computo o del encargado de esta operación. No preste los equipos o asegúrese que la persona que lo utilizara conoce su correcta operación. Organización y división de las responsabilidades La división de responsabilidades permite lograr la revisión y los balances sobre la calidad del trabajo. Cada persona que labora en la institución debe de tener diferentes actividades dentro de ella, de manera que se puedan organizan para que puedan dividirse las responsabilidades. Por ejemplo, el personal que prepara los datos y los programadores no deben de tener acceso a las actividades de operación. Es por eso que un centro de cómputo debe de contar con funciones clave, a continuación mencionaremos las más comunes que existen en él: Programación Preparación de datos Redes y comunicaciones Control UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Preservación de archivos, etc. El grado de división entre las diferentes funciones depende del nivel de seguridad que la instalación necesite. En un centro de cómputo también es de suma importancia que se lleve un control interno de las operaciones que se efectúan. Todas estas operaciones efectuadas en el centro de computo son verificadas por auditores tanto internos como externos, los cuales deben de revisar las división de responsabilidades y los procedimientos para verificar que todo este correcto . Seguros En un centro de cómputo existen áreas de mayor riesgo que otras las cuales debe de ser aseguras, estas son: Lugar de la instalación Equipos Software Personal que labora ASPECTOS TECNICOS Los aspectos técnicos a los cuales nos enfocaremos son: Seguridad de los sistemas Auditoría interna y externa Seguridad en los sistemas La seguridad de los sistemas esta enfocada principalmente a la seguridad en los equipos de cómputo como: Ø Software. La seguridad de la programación pretende: Ø Restringir el acceso a los programas y archivos. Ø Asegurar que los operadores puedan trabajar sin la supervisión minuciosa y no modificar los programas ni los archivos. Ø Asegurar que se estén utilizando los datos, archivos y programas correctos en el procesamiento. UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Ø Redes y comunicaciones. El mayor riesgo reside en el acceso no autorizado a las redes, con el propósito de obtener información confidencial o hacer uso indebido de las instalaciones de procesamiento. La única medida de seguridad realista consiste en usar un código o la criptografía, a fin de preservar la confidencialidad de la información aun en caso de que exista una brecha en la seguridad. Ø Terminales. al revisar la seguridad de las terminales, estas se deben de tratar como pequeñas computadoras. Aquí se deben de revisar los siguientes aspectos: La ubicación de las terminales, el conocimiento general de ello y él acceso físico a la terminal misma. El control sobre la operación no autorizada de la terminal por medio de claves físicas, códigos u otros métodos de identificación. El equipo, los programas y otras verificaciones que permitan garantizar que los controles mencionados anteriormente se reforzaran. Ø Seguimiento del desempeño. Algunos proveedores de equipo ofrecen programas completos de seguimiento de desempeño, otros no. También existen bastantes monitores de equipos y programación independiente muchos a bajo costo. Todos ellos facilitan los análisis de uso y la medición de efectividad y destacan los procesamientos no planeados o autorizados. Función de los auditores tanto internos como externos. Con frecuencia se experimenta sorpresa al descubrir que la función de auditoría es una parte del concepto de seguridad total. Hasta ahora se ha tratado de demostrar que cada elemento del concepto es importante tanto de manera aislada como al formar parte integral del mismo. Funciones generales de la auditoria. Funciones y seguridad de la auditoria en computación. Funciones generales de la auditoria. Auditores externos. La responsabilidad del auditor externo se refiere de manera fundamental a estatus legales. El auditor no es responsable de la detección de fraudes. UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Auditores internos. El auditor interno no tiene responsabilidades legales. El alcance de sus actividades varia de una institución a otra. Algunas veces, desempeña funciones de alto nivel que consiste en informar sobre la efectividad general de la institución; en otras, su función principal es verificar los sistemas y procedimientos y encargarse de que se refuercen. De acuerdo con esta línea la relación informativa del auditor interno se ha elevado y en muchos casos, el ahora informa a un miembro de la mesa directiva o a un alto ejecutivo. De este modo, se ve como el auditor interno maneja un alcance muy amplio de responsabilidades diferentes al del auditor externo. Funciones y seguridad de la auditoria en computación. A continuación se muestra que tanto los auditores internos como externos constituyen una forma independiente e importante de verificación de la eficiencia y, por lo tanto la seguridad de las actividades computacionales. La seguridad se puede mejorar mediante la consideración de los procedimientos vigentes para la prevención de las fallas en seguridad, su detección y los procedimientos de recuperación en caso de desastres. Se puede decir entonces que las funciones y seguridad de la auditoria en computación son: El alcance de la auditoría interna en la seguridad computacional. Una relación clara entre los auditores internos y externos. El papel de la auditoría interna en la sociedad. El papel de la auditoría interna en los sistemas de operación. La instrucción y capacitación para la auditoría interna efectiva. ESTÁNDARES Y PROCEDIMIENTOS Los estándares establecen qué debería ser realizado, y los procedimientos establecen cómo debería ser realizados. Los estándares y procedimientos inculcan disciplina. Los beneficios que se presentan en la aplicación de estándares y procedimientos en el centro de cómputo: Control de actividades de procesamiento. Control de calidad de procesamiento. Control de tiempo, costos y recursos. Mejoras de la moral del personal. UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Tipos de estándares y procedimientos Los estándares y procedimientos han sido definidos como dos tipos de estándares los cuales son: Estándares de métodos. Se utilizan como guías, los estándares son utilizados para establecer prácticas uniformes y técnicas comunes. Estándares de desempeño. Son utilizadas como normas, los estándares son utilizados para medir el desempeño de la función del procesamiento de datos. OTRA CLASIFICACIÓN Estándares de compra: Se establecerán todas las reglas para la realización de todas las compras dentro de un centro de cómputo. Estándares de productividad: Se establecerán procedimientos para medir y obtener la mayor productividad posible. Estándares de comunicación: Se establecerán formas para que los directivos puedan visualizar el potencial real del centro de cómputo y no pidan imposibles. Estándares de trabajo: Se establecerán las reglas para el trabajo dentro del centro de cómputo. Estándares de programación: Menciona los estándares a seguir en la programación y la operación de sistemas, para aumentar la seguridad de estos. Como en el caso de la documentación de sistemas y programación las instrucciones de operación de la aplicación se deben copiar y ubicar en algún lugar distante. PLANES Y SIMULACROS PARA LA RECUPERACIÓN EN CASO DE DESASTRE. Tipos de desastres Destrucción total o parcial de los recursos de procesamiento de datos. Destrucción o mal funcionamiento de los recursos ambientales destinados al procesamiento de datos. Destrucción total o parcial de los recursos no destinados al procesamiento de datos Destrucción total o parcial de los procedimientos manuales del usuario. Pérdida del personal clave UNIVERSIDAD NACIONAL EXPERIMENTAL“SIMÓN RODRÍGUEZ” NÚCLEO SAN CARLOS. ADMINISTRACIÓN DE CENTROS DE PROCESAMIENTO ELECTRÓNICO DE DATOS. Huelgas. Alcance de la planeación contra los desastres La planeación contra desastres debe abarcar tanto las aplicaciones en proceso de desarrollo como las operativas. Para las operativas existen ciertas áreas que necesitan protección en caso de desastre o algunos recursos que deben estar disponibles para la recuperación: Ø Ø Documentación de los sistemas, programación y operaciones. Recursos de procesamiento que incluyen: Todo tipo de equipo. Ambiente para el equipo. Datos y archivos. Programas. Papelería. Simulación de los desastres Es necesario llevar a cabo simulaciones de desastres ya que, aunque existen compañías que tienen planes de prevención contra desastres, estos no son puestos en marcha hasta el momento en que ocurre el desastre. Algunas de las siguientes razones son importantes por las cuales realizar un simulacro: Se prueba la preparación del personal para enfrentar el desastre. Se identifican las omisiones en los planes contra desastres El factor sorpresa del simulacro es una buena forma de verificar que existan buenas prácticas de seguridad. Los simulacros de desastres necesitan de la experiencia y se deben realizar en momentos convenientes. Posteriormente cuando existe mayor experiencia en simulacros dentro del centro de cómputo, estos se deben realizar en un momento no conveniente con el fin de probar la eficiencia de los procedimientos de recuperación. Cuando se lleva a cabo un simulacro lo que debe pasar es: El trabajo cesará en forma temporal, para tomar nota de el avance del procedimiento Se completa un inventario de cualquier información que fue destruida por el desastre.